Fonte: Opice Blum, Bruno e Vainzof Advogados Associados
Os Emirados Árabes Unidos (EAU) publicaram sua primeira Lei Federal de Proteção de Dados, que entrou em vigor no dia 2 de janeiro deste ano. Assim como no GDPR (General Data Protection Regulation) e na LGPD (Lei Geral de Proteção de Dados), a legislação estabelece que os dados pessoais devem ser coletados apenas para finalidade específica e clara, não podendo ser posteriormente tratados de forma incompatível com o propósito inicial.
A Lei nº 45/2021 se aplica: (i) ao processamento de dados pessoais de titulares que residam ou trabalhem nos Emirados Árabes Unidos; e (ii) a controladores ou operadores estabelecidos nos Emirados Árabes Unidos e que realizem atividades de processamento de dados pessoais para titulares nacionais ou do exterior.
Ainda, a legislação prevê que controlador e operador devem nomear um Diretor de Proteção de Dados, que será responsável pela atividade, devendo possuir habilidades e conhecimentos relevantes e suficientes. Esse profissional poderá ser empregado ou nomeado pelo controlador e operador, não havendo obrigatoriedade de residir nos Emirados Árabes Unidos.
Além disso, o controlador será responsável por informar ao Emirates Data Office toda e qualquer violação a dados pessoais que tomar conhecimento. A notificação deve detalhar os resultados da investigação preliminar do incidente, bem como declaração sobre a natureza, causa e extensão dessa violação.
O comunicado também precisa incluir informações sobre o DPO, os efeitos possíveis e esperados da violação, os procedimentos e as medidas já tomadas pelo controlador e outras iniciativas propostas para mitigar os efeitos do incidente.
