Como anunciado, estamos presente no principal congresso do mundo relacionado aos profissionais de privacidade. O evento está ocorrendo em Bruxelas (Bélgica), entre os dias 08/11 e 09/11. Nosso advogado Luis Fernando Prado Chaves representa o Escritório e destaca os seguintes pontos até agora apresentados:
- Quando há indício de incidente relacionado à segurança da informação, o primeiro passo deve ser o de investigar se o evento afetou ou não dados pessoais. Portanto, equipes de TI e departamento jurídico devem trabalhar conjuntamente, de forma a mitigar as consequências do incidente.
- Nenhuma empresa está totalmente a salvo de incidentes relacionados à violação de dados pessoais (por exemplo, vazamentos). Portanto, todas devem estar preparadas para os possíveis incidentes. Isso significa que todas as empresas que tratam dados pessoais, idealmente, devem contar com plano de ação referente a incidente que afete dados pessoais, de forma a mitigar suas consequências negativas (tanto jurídicas, como de reputação). O plano de ação deve conter como parâmetros a extensão do incidente, estabelecendo-se, previamente, prazos e medidas a serem adotados.
- Independentemente de questões regulatórias, a prática mostra que empresas que tomaram medidas apropriadas de comunicação de vazamento de dados pessoais aos consumidores sofreram menos impactos negativos, tanto na esfera jurídica quanto na comercial.
- Setor privado acredita que não estará preparado para cumprir com a General Data Protection Regulation (GDPR) quando a regulamentação entrar em vigor (maio de 2018), segundo estudo conduzido pela Internacional Association of Privacy Professionals (IAPP). Vale lembrar que essa é a realidade europeia, mesmo após 2 anos de prazo entre a edição do novo regulamento e sua entrada em vigor. No Brasil, Projetos de Lei estipulam prazos muito menores para as empresas se prepararem às novas regulamentações (120 ou 180 dias).
- Atividades de treinamentos relacionados à GDPR concentram os investimentos das empresas nesse período de adaptação.
- Setor privado ainda tem dúvidas de como implementar e garantir aos titulares, na prática, o direito à portabilidade dos dados, uma das principais novidades que será implementada pela GDPR.
- Para as empresas europeias, a principal dificuldade relacionada ao cumprimento da GDPR está na falta de orçamento adequado. Para as americanas, está na dificuldade de entender adequadamente as imposições do novo regulamento.
- “Data breach” (assim entendida falha na proteção dos dados pessoais, sobretudo aquelas relacionadas a incidentes de vazamento) é a principal preocupação das empresas europeias.
- O direito à proteção de dados na esfera trabalhista não está à margem da GDPR, ainda que seja objeto de regulamentações específicas nos diversos países da União Europeia. Assim, deve-se lembrar que todas as disposições da GDPR são aplicáveis, também, às relações de trabalho.
Sendo esses os principais apontamentos do primeiro dia, vamos ao segundo e última dia de evento. Mais algumas horas de intensos estudos e debates sobre privacidade e proteção de dados nos esperam em Bruxelas.
