Publicado originalmente em: Justificando (30/05/2018)
Durante a última semana, muito se falou sobre o GDPR (General Data Protection Regulation, ou, em português, Regulamento Geral de Proteção de Dados), que é o novo regulamento de proteção de dados europeu. Nesse artigo, examinaremos os principais pontos para entender o GDPR e por que ele interessa a qualquer pessoa do mundo.
Por que se falou tanto no GDPR na semana passada, especialmente no dia 25/05/2018?
Apesar de ter sido publicado 2 anos antes, o GDPR passou a ser de aplicação obrigatória em todo o Espaço Econômico Europeu na última sexta-feira, 25/05, conhecido como o Dia D do Regulamento. Mesmo com o prazo de 2 anos para adaptação, muitas empresas deixaram o assunto para os últimos dias, o que gerou uma verdadeira corrida contra o tempo.O GDPR exige que todas as empresas por ele afetadas tomem uma série de medidas que, realmente, justificam os 2 anos de prazo concedido pelo legislador europeu.
Por que eu recebi tantos e-mails sobre alterações em Política de Privacidade recentemente?
Uma das revoluções trazidas pelo GDPR se refere ao direito à informação. Políticas de Privacidade genéricas, sem as informações mínimas estabelecidas pelo novo Regulamento, e que não sejam suficientemente claras, não serão consideradas válidas, violando o direito do titular dos dados. Já existem várias orientações das Autoridades Europeias de Proteção de Dados de como transmitir a informação sobre o uso dos dados aos respectivos titulares de maneira completa e, ao mesmo tempo, clara. O fato é que muitas das empresas não tinham Políticas de Privacidade aceitáveis à luz do Regulamento e, por esse motivo, tiveram que remodelar seus textos legais. A ideia do GDPR é que novas Políticas de Privacidade sejam um documento próprio, apresentando, logo no início, um resumo dos pontos essenciais, inclusive dos direitos dos titulares, vez que textos legais de dezenas de páginas desmotivam a leitura e não são suficientes para os fins propostos.
Por que se diz que o GDPR representa mudança de paradigma para a proteção de dados pessoais?
Nenhuma outra lei de privacidade ou de proteção de dados no mundo traz tanta importância aos dados pessoais quanto o GDPR. Você já deve ter lido por aí, nas mais diversas fontes, que os dados são o novo petróleo no contexto da economia digital, ou o tesouro do mundo moderno. Pois bem, o GDPR incorpora essa lógica e traz 173 considerandos e 99 artigos que, detalhadamente, regulamentam o tema da proteção de dados de forma unificada em todos os países do Espaço Econômico Europeu. Além disso, por ser um regulamento europeu, não há margem para que os países a eles submetidos disciplinem o tema de forma diferente (mais branda ou mesmo mais rigorosa), pois, pelas regras do Direito Comunitário, um regulamento europeu é hierarquicamente superior às leis nacionais. Ou seja, o GDPR é uma regulamentação que traz ao direito a relevância que os dados pessoais já possuem para a economia.
Com isso, o Regulamento faz com que todas as empresas da Europa (e do mundo! – já veremos o porquê) repensem a maneira como tratam dados pessoais, criem programas de compliance específicos para o tema, conscientizem profissionais sobre a importância do direito à proteção de dados e, ao mesmo tempo, disseminem às pessoas físicas o necessário conhecimento sobre os direitos que possuem, fomentando, assim, uma cultura de proteção de dados junto à sociedade.
Se é uma regulamentação europeia, por que se fala tanto dela no Brasil (e em outros países do mundo)?
Porque seus efeitos vão muito além da Europa. Dados pessoais estão espalhados em servidores de todo o globo terrestre. Além disso, empresas da economia digital não mais prestam serviços de forma a restringir suas atividades aos limites territoriais do país onde estão constituídas. Pelo contrário: o conceito de escalabilidade a qualquer país do mundo é o que qualquer empreendedor busca, desde a concepção de seu negócio. Na verdade, o avanço tecnológico coloca em cheque o próprio conceito de limite territorial, que tende a ficar cada vez mais ultrapassado.
Tendo esse contexto em conta, o GDPR estabelece que suas normas são aplicáveis a qualquer empresa, estabelecida em qualquer lugar do mundo, que: (i) oferte bens ou serviços a pessoas localizadas no território europeu, e/ou (ii)pratique atividade de monitoramento de comportamento – inclusive profiling– de pessoas localizadas no território europeu. Além disso, o legislador europeu pretendeu (e conseguiu) criar uma legislação que exigisse o compliance em proteção de dados de forma disseminada em uma cadeia de contratos. Vamos ser claros: empresas submetidas ao GDPR, para evitar riscos, buscarão realizar negócio que envolvam o fluxo de dados pessoais somente com outras empresas que garantam nível adequado de proteção.
Especialmente no atual momento do Brasil, os reflexos do GDPR são ainda mais sentidos. Nós estamos, aparentemente, na reta final de discussão legislativa para – finalmente – termos uma Lei Geral de Proteção de Dados, que nos é exigida não só internamente, pelas organizações que há tempos defendem a necessidade de mais direitos aos titulares de dados, mas externamente, pela pressão dos demais países que há tempos possuem marco regulatório definido sobre o tema e exigem o mesmo do Brasil, inclusive para viabilizar a entrada do país na Organização para a Cooperação e Desenvolvimento Econômico (OCDE). Inevitavelmente, nossa futura Lei Geral de Proteção de Dados será bastante influenciada pelas disposições do GDPR, conforme últimas versões dos Projetos de Lei da Câmara e do Senado, sendo que, no momento, ambas as casas legislativas estão conferindo sensível urgência à apreciação da matéria (havendo sido aprovado o Projeto de Lei no plenário da Câmara no último dia 29).
O que o GDPR traz de novo?
Basicamente, as principais novidades do GDPR são: novos direitos aos titulares dos dados e exigência de um robusto programa de governança em proteção de dados a todas as empresas.
Do ponto de vista do titular, por exemplo, é introduzido o direito à portabilidade de dados, segundo o qual uma pessoa física poderá levar as informações a seu respeito para outra empresa, muitas vezes concorrentes daquela com a qual mantinha relação anteriormente. Para ficar mais claro, imaginemos o caso de usuários de serviço de música via streaming, que poderão requisitar informações cadastrais, bem como playlists criadas e relação de músicas preferidas, em formato que seja possível de ser lido e integrado ao sistema de outra empresa que preste serviço equivalente.
Além disso, o GDPR é marcado por exigir nível muito maior de transparência e lealdade das empresas em relação aos usos que faz dos dados pessoais, sendo que, nas hipóteses em que for necessário obter o consentimento do titular dos dados (exemplo: compartilhamento de dados para finalidade de marketing), tal ato não poderá ser condição para a prestação de um serviço, ainda que este seja gratuito. E tem mais: a empresa deve utilizar o mínimo de dados possível, sendo que, em algumas situações nas quais não consiga encontrar uma justificativa legal prevista no GDPR para utilizá-los, estará proibida de praticar determinada atividade.
Com relação à estrutura de organização da empresa, o GDPR traz muitas novidades, como por exemplo a necessidade de: mapear todas as atividades de tratamento de dados, avaliaro risco de cada uma (e ainda um tipo de avaliação mais detalhado para aquelas atividades que podem submeter o titular dos dados a um alto risco) e, em muitos casos, designar alguém para função específica de encarregado da proteção de dados (famoso DPO, sigla em inglês para Data Protection Officer), espécie de gerente que fica responsável por assessorar a empresa para que ela cumpra suas obrigações em relação ao tema.
E não é só isso, incidentes de vazamento de dados, em muitos casos, terão que ser notificados à autoridade competente local, sendo que, em algumas situações (quando haja elevado risco), os próprios titulares devem ser comunicados sobre o episódio, sem demora. Por fim, a empresa precisa documentar todas as medidas que toma para estar de acordo com o GDPR (princípio de accountability).
É uma verdadeira revolução no modo de gerir internamente o tema da proteção e tratamento de dados.
Mas o que garante que o GDPR vai pegar?
Neste momento da leitura, você pode estar pensando: se os dados pessoais são o motor do lucro na nova economia, o que garante que uma regulamentação que impõe tantas obrigações e limites às empresas será efetivamente cumprida? Ora, é só lembrar que o GDPR traz ao mundo do direito a importância que os dados já têm para a economia, e isso não poderia acontecer sem a previsão de multas realmente assustadoras, como 20.000.000 (vinte milhões) de euros ou 4% do faturamento de todo o grupo econômico no ano anterior – aplicando-se o que for maior – em casos, por exemplo, de violação dos direitos dos titulares de dados. Por esse motivo, não é que o GDPR vai pegar; já pegou, sendo que, no primeiro dia de sua aplicação, uma série de procedimentos para apuração de irregularidades já foram iniciados, como mostram este e este exemplos.
O GDPR limita o desenvolvimento tecnológico?
Com todas as novas obrigações, esse tipo de questionamento é natural e esperado.Quanto a esse ponto, vale afirmar que o direito à privacidade (mais amplo, que, em muitas situações, abarca o direito à proteção de dados) sempre caminhou junto com o avanço tecnológico. Alguns afirmam, erroneamente, que a privacidade acabou no mundo moderno, mas, na verdade, foi justamente o início dele, com a invenção das máquinas fotográficas, que fez nascer a primeira menção ao direito à privacidade, quando Warren e Brandeis escreveram, em 1890, o artigo “The Right to Privacy”, muito influenciados pelos impactos das máquinas fotográficas na sociedade daquela época.
Isso serve para mostrar que o direito à privacidade evolui de acordo com as inovações tecnológicas, sendo exatamente nesse contexto, de repensar privacidade e proteção de dados na sociedade da informação, que surge o referido regulamento europeu. No campo do Direito e Tecnologia, nenhuma lei é perfeita, e o GDPR não foge à regra. No entanto, há de se ter em mente que uma das premissas do novo regulamento é garantir, de forma lícita, o fluxo de dados necessário para o desenvolvimento tecnológico, científico e cultural.
Nesse sentido, o principal risco é que os operadores do GDPR o desvirtuem e o utilizem como mero instrumento de aplicação de expressiva sanções pecuniárias por si só, o que não deve ser o objetivo. Não estamos diante de uma regulamentação cuja finalidade seja arrecadar fundos diante das atividades realizadas pelo setor privado; fosse isso, seria uma lei tributária.
O que a normativa pretende é prestigiar o avanço tecnológico que leve em consideração a proteção de dados pessoais. Se essa for a mentalidade adotada, todos ganharemos, inclusive o desenvolvimento das tecnologias, que, seguramente, deverá ser adaptado para garantir direitos, mas jamais irrazoavelmente interrompido. As câmeras fotográficas, assim como o direito à privacidade, seguem evoluindo, desde 1890.
Luis Fernando Prado Chaves é mestrando em Direito Digital pela Universidade de Barcelona, pós-graduado em Propriedade Intelectual e Novos Negócios pela FGV DIREITO SP, professor convidado do curso de extensão em Proteção de Dados e Privacidade do INSPER e advogado especialista em Direito Digital, Privacidade e Proteção de Dados no escritório Opice Blum, Bruno, Abrusio e Vainzof.
