Aplicação prática da Legislação Europeia de Proteção de Dados Pessoais (GDPR) no Brasil – será que a normativa mudou o cotidiano das empresas brasileiras?

Na última semana o Senado aprovou a nova Lei Geral de Proteção de Dados brasileira (LGPD-Br), incluindo o Brasil no grupo de países que já tem legislação sobre o tema. O texto ainda precisa ser sancionado pelo presidente Michel Temer, e as novas regras só vão entrar em vigor daqui a um ano e meio. Porém, nos próximos dias vamos completar dois meses de vigência do Regulamento Geral de Proteção de Dados (GDPR) e uma pergunta permanece: até que ponto as empresas brasileiras são impactadas por essa norma de direito internacional? Ou ainda, as empresas brasileiras se prepararam para seu cumprimento?

Desde a promulgação do Marco Civil da Internet no Brasil em 2014, muitas empresas iniciaram um processo de melhoria dos seus sistemas de guarda de dados pessoais; Tanto para cumprir com a normativa em vigor e aplicável, como também para resolver problemas implícitos gerados para manter a segurança dos dados.

O regulamento europeu é uma regra de aplicação direta em todos os Estados-Membros da União Europeia (UE). É aplicável a todas as empresas Europeias, mas também para as empresas de fora da UE, mesmo que não tenham qualquer tipo de presença física no território da União.

Isso inclui o Brasil e é importante ressaltar que o regulamento é diretamente aplicável, sem necessidade de um ato nacional de transposição. Ainda, o novo regulamento europeu tornou não aplicável qualquer norma brasileira incompatível com ele.

Devem atender à regulamentação Europeia todas as pessoas físicas, jurídicas, agências privadas e públicas do Brasil, desde que façam tratamento de dados pessoais das pessoas físicas que se "encontrarem" ou "residam" na UE e/ou quando oferecem bens ou serviços para a Comunidade Euro-peia, independentemente de estes serem pagos.

Da normativa que está em vigor para as empresas brasileiras que, diretamente ou como subcontratadas, tenham se voltado para o mercado europeu destacamos a obrigação de:

  1. Reforçar a segurança dos dados pessoais (anonimato, controle de sistemas etc.)
  2. Aplicação de um sistema de proteção de dados by default ou by design
  3. Obrigação de salvar registro de dados de tratamento
  4. Cooperar e notificar violações ou falhas de segurança para as autoridades europeias de supervisão.

Em matéria de riscos de não-cumprimento, aumentam consideravelmente os importes das sanções, que podem ser de até €20.000.000 ou 4% do volume total anual de negócios do exercício anterior de uma empresa, aplicando o maior de ambos.

Em suma, estamos em um período de transição complexo para o novo quadro comum no campo de proteção de dados, que afeta não só os vinculados pelo mesmo, os europeus, mas também os brasileiros incluídos dentro do regulamento.

O escritório BFAP e seus consultores possuem atuação em Direito Digital e Políticas de Proteção de Dados Pessoais e se encontram aptos a assessorar os interessados e esclarecer a respeito do impacto do GDPR para sua empresa.

Imagem por geralt, CC0 Creative Commons