+55 11 2189-0061

Release sobre a nova Regulação de Proteção de Dados Pessoais aprovada na União Europeia

privacidade

Após cinco anos de intensas negociações, finalmente houve um acordo sobre o texto final da “General Data Protection Regulation” (“GDPR”), norma que possivelmente regerá a proteção de dados pessoais no velho continente, ainda pendente de aprovação no parlamento europeu. Um dos objetivos da modernização é não só proteger os dados pessoais dos cidadãos, mas também conferir segurança jurídica e permitir ao mercado usufruir ao máximo das oportunidades do intitulado “Digital Single Market”. Como muito bem colocado por um dos principais interlocutores das discussões, Jan Philipp Albrecht, do Partido Verde Europeu, “irá remover barreiras e destravar oportunidades”.

Além dessa nova regulação, que a Diretiva 95/46/EC, de 1995 (época em que não era possível se quer vislumbrar o futuro digital atual), a reforma do panorama legal inclui uma nova diretiva para o setor de polícia e investigação criminal, que tem por objeto proteger os dados pessoais de vítimas, testemunhas e suspeitos mesmo em procedimentos investigatórios, em que a troca de informação pode ser essencial para a efetividade de eventual medida repressiva.

No Brasil, o Anteprojeto de Lei Brasileiro de Proteção de Dados Pessoais, desde sempre, sofreu uma grande influência do texto europeu e das discussões de modernização que se arrastam desde 2012. A última versão do texto brasileiro, datada de outubro de 2015, já elenca diversos direitos e elementos somente agora vistos no texto acordado recentemente pela União Europeia. Por isso, observar e analisar os desdobramentos dessa norma pode servir de orientação para as futuras discussões a nível nacional, como mencionado por Eduardo Ustaran, “(…) a strict new legal framework that will have ripple effects globally”.

Segue um pequeno resumo das inovações da “GDPR” e da “Directive for Law Enforcement”, que reforçam os meios pelos quais os cidadãos podem ter controle sobre seus dados:

DIREITOS DOS CIDADÃOS

  • Direito de acesso: titulares de dados terão mais informações sobre como seus dados são processados, o que deve estar facilmente acessível e de um modo inteligível;
  • Direito de portabilidade: direito do titular dos dados de transferi-los de um serviço para um outro, de forma interoperável, em moldes similares, no Brasil, a portabilidade dos números de telefonia. O direito de portabilidade nos serviços de Internet passa a ser um elemento de competição no mercado. Os usuários podem escolher qual o melhor serviço, e migrar para este sem maiores prejuízos. Todavia, essa inovação poderá causar um impacto econômico significativo nas empresas, que terão que adaptar seus bancos de dados a padrões diferentes. Esse direito também está previsto na última versão do Anteprojeto Brasileiro;
  • Direito ao esquecimento: este direito hoje está previsto na União Europeia não com base em lei positivada, mas sim numa decisão do Tribunal de Justiça Europeu. A regulação vem clarear alguns pontos ainda dúbios, aumentar o escopo de aplicação e positivá-lo;
  • Direito a saber se os dados foram hackeados: o chamado “data breach notification” é uma ferramenta essencial para o usuário tomar as medidas adequadas para evitar danos caso seus dados tenham sido alvo de um vazamento ou um ataque hacker. Essa obrigação, que já se encontra prevista em quase todos os Estados norte-americanos, e é prevista no Anteprojeto Brasileiro, passa a incorporar o sistema europeu;
  • Take-or-leave-it consent: o consentimento ainda continua a pedra central do sistema de processamento de dados pessoais, incluindo o processamento com base em legítimos interesses, mas os tipos de consentimento conhecidos como “take-it-or-leave-it”, aqueles em que o titular ou fornece os dados ou não poderá ter acesso ao serviço/produto, não serão considerados livremente concedidos, e poderão não ser aceitos para fins de processamento. Esse direito também está previsto na última versão do Anteprojeto Brasileiro.

REGRAS CLARAS PARA OS NEGÓCIOS

  • Um continente, uma lei: a alteração de diretiva para regulamento terá um grande impacto. No lugar de terem que se valer de uma legislação nacional que internalizou os regramentos da diretiva, e que, portanto, pode ser diferente de um país para o outro, a regulação cria um regime jurídico único em todos os 28 países membros, conferindo uma maior segurança jurídica as empresas que atuam no Digital Market, que naturalmente não está adstrito a fronteiras geográficas;
  • “One-stop-shop”: da mesma forma que cada país tinha a sua própria lei de proteção de dados pessoais, as empresas tinham que se reportar às autoridades nacionais de proteção de dados pessoais de cada país em que atuavam. Agora, com um regime jurídico único, basta obter autorização de apenas uma autoridade, para este mandamento ter validade em todo o território europeu;
  • Regras europeias em solo europeu: uma das grandes dificuldades da diretiva de 1995 era conferir jurisdição aos países sobre práticas de empresas com sede fora da comunidade europeia. Agora, com o regulamento, o mero fato de algum ato de processamento de dados se dar em território de um dos 28 países membros já outorga jurisdição e este e cria a obrigação das empresas de estarem em conformidade com as regras do regulamento;
  • “Risk-based approach”: nível de algumas obrigações ou medidas de segurança será proporcional ao risco envolvido na atividade de processamento de dados pessoais, visando evitar fardos desnecessários em situações de menor risco. Esse direito também está previsto na última versão do Anteprojeto Brasileiro;
  • “Privacy by design”: a regulação garantirá que medidas visando proteger a privacidade e os dados pessoais dos cidadãos serão incluídas nos equipamentos e serviços desde o momento da sua concepção. Configurações de privacidade mais restritivas deverão ser padrão (“privacy by default”) e a implementação de métodos de anonimização serão encorajados e, em alguns casos, necessários. Esse direito também está previsto na última versão do Anteprojeto Brasileiro;
  • Multas e penalidades: as multas por eventuais ausências de conformidade com a regulação ou por práticas abusivas envolvendo dados pessoais de cidadãos europeus podem chegar a 20 milhões de Euros ou até 4% do faturamento anual mundial das empresas, o que para algumas empresas de Internet podem chegar a casa dos bilhões. Esse direito também está previsto na última versão do Anteprojeto Brasileiro, apesar desta não falar em porcentagens;
  • Dados biométricos e genéticos: a atual diretiva não considera dados biométricos e genéticos como sensíveis, o que muda com o novo regulamento. Esse direito também está previsto na última versão do Anteprojeto Brasileiro;
  • Accountability 2.0: o novo texto lista uma série de regras de accountability para os responsáveis pelo tratamento de dados pessoais, que serão mais restritas de acordo com os riscos das atividades de processamento. Essas obrigações incluem políticas de compliance, data protection by design, data protection by default, manutenção de dados, relatórios de impacto e situações em que o processamento somente poderá acontecer após consulta e autorização prévia da autoridade de proteção de dados pessoais. Esse direito também está previsto na última versão do Anteprojeto Brasileiro;
  • Transferência internacional de dados: além da possibilidade de transferência para países que conferem o mesmo nível de proteção, o novo texto lista opções como cláusulas padrão (standard clauses), binding corporate rules, contratos ad-hoc, códigos de conduta e certificações internacionais. Algumas dessas opções também estão previstas na última versão do Anteprojeto Brasileiro.

BENEFÍCIOS PARA PEQUENOS E GRANDES NEGÓCIOS

  • Notificações por violações: empresas terão que informar as autoridades de proteção de dados toda vez que houver um vazamento ou um incidente de segurança que envolva dados pessoais e que possa causar danos aos seus titulares. Além das notificações, outras medidas de publicidade podem ser impostas, como veiculação na mídia do acontecido, algo similar ao que hoje acontece com os recalls. Esse direito também está previsto na última versão do Anteprojeto Brasileiro;
  • Data Protection Officers: empresas deverão ter uma pessoa ou um departamento responsável pela conformidade das suas práticas com o regulamento de proteção de dados pessoais, além desta servir de ponte entre a companhia e a autoridade de proteção de dados. Esse direito também está previsto na última versão do Anteprojeto Brasileiro;
  • Relatórios de impacto: dependendo do tipo de processamento de dados, por exemplo, se dados sensíveis serão utilizados, as autoridades podem requisitar relatórios de impacto à privacidade. Estes documentos devem informar com clareza as práticas de processamento e o impacto que estas podem ter na vida pessoal dos titulares dos dados. Esse direito também está previsto na última versão do Anteprojeto Brasileiro.

PROTEÇÃO DE DADOS EM PROCEDIMENTOS CRIMINAIS INVESTIGATÓRIOS

  • Cooperação entre autoridades nacionais e internacionais: a nova diretiva, intitulada de Data Protection Directive for Police and Criminal Justice Authorities, tem como um dos objetivos aumentar e fortalecer a troca de informações entre law enforcements de países membros da união europeia e também com entidades supranacionais, como a Interpol, e ao mesmo tempo assegurar que os dados cambiados sejam devidamente protegidos.
  • Melhor proteção para os dados dos cidadãos: a diretiva de proteção de dados 1995 não se aplica aos tratamentos de dados pessoais para fins de investigação criminal, procedimentos de persecução judicial e de segurança nacional, apesar de constantemente dados sensíveis comporem o rol de informações utilizadas. Com a nova diretiva, haverá uma maior proteção, até mesmo no caso em que dados pessoais são usados para a prevenção de crimes, no que é conhecido como predictive analysis. O processamento desde dados também estará sob a supervisão da autoridade de proteção de dados pessoais. Apesar do Anteprojeto Brasileiro afirmar que a futura lei não se aplicará às atividades de investigação criminal e segurança nacional, estas ainda serão norteadas pelos princípios gerais de proteção de dados pessoais previstos na lei.

Próximos passos e a influência no resto do mundo e no Brasil

A regulação e a diretiva devem ser finalmente aprovadas pela Parlamento Europeu em janeiro de 2016. Os diferentes setores da sociedade terão 2 anos de vacatio legis para se adaptar. Apenas esse período alargado já demonstra o impacto que as novas regulações trarão à economia e praticamente qualquer outra atividade que utilize dados pessoais. Esse calendário deverá ser similar aos das discussões parlamentares do futuro Projeto de Lei Brasileiro de Proteção de Dados Pessoais, por isso será tão importante acompanharmos os desdobramentos das novas regras no velho continente.


COMPARTILHE


Renato Leite Monteiro

Publicado por: Renato Leite Monteiro

Advogado. Professor da Universidade Presbiteriana Mackenzie. Doutorando em Engenharia da Computação pela Universidade de São Paulo. LL.M. em Direito e Tecnologia pela New York University e pela National University of Singapore. Mestre em Direito Constitucional pela Universidade Federal do Ceará.

Web Design BangladeshWeb Design BangladeshMymensingh