GDPR: empresas brasileiras também são afetadas pela regulamentação europeia
Depois de dois anos da sua publicação, a Regulação Geral de Proteção a Dados (GDPR) da União Europeia entrará em vigor dia 25 de maio. Muitas empresas brasileiras não se deram conta ainda de que também estão sujeitas à esta regulamentação.
A General Data Protection Regulation, ou GDPR, é a mais abrangente regulamentação de proteção a dados pessoais já feita. Ela cria uma série de mecanismos de proteção a dados pessoais e sensíveis de cidadãos da União Europeia e estabelece pesadas penalidades em caso de descumprimento, podendo chegar a multas de €20 milhões.
Entre os tipos de dados protegidos pela GDPR estão:
- Informações básicas de identidade, como nome, endereço e números de documentos
- Dados da web ou eletrônicos como geolocalização, endereços IP, cookies e tags RFID
- Dados de saúde e genéticos
- Dados biométricos
- Informações sobre raça ou etnia
- Opiniões políticas
- Orientação sexual
A GDPR estabelece uma série de responsabilidades para as organizações, tais como obter o consentimento do usuário na captura dos dados, notificar os mesmos em até 72 horas após a identificação de um vazamento de dados, entre outros.
O ponto de atenção é que a GDPR é considerada uma legislação extraterritorial, podendo ser aplicada a qualquer empresa de outro país que realize negócios em território europeu ou que armazene dados de cidadãos europeus, mesmo que estes dados fiquem armazenados fora do território da UE.
As responsabilidades das empresas e os direitos assegurados aos cidadãos da UE implicam em mudanças técnicas e processuais para as organizações. Veja a lista de direitos assegurados aos indivíduos e considere se sua organização está pronta para atender a estes casos:
- Direito de acesso aos dados armazenados
- Direito de retificação de dados
- Direito de deleção (“direito ao esquecimento”)
- Direito de portabilidade dos dados
- Direito de ojbecionar o processamento dos seus dados pessoais, incluindo para fins de marketing direcionado
- Direito de não estar sujeito a decisões (como por exemplo concessão de crédito) baseado somente em processamento automatizado
Mesmo que sua empresa não esteja sujeita hoje à GDPR, é bom se preparar, por dois bons motivos. O primeiro é que no caso de mudanças de estratégia que levem sua empresa a começar a fazer negócios com a União Europeia, ela já estará preparada e não levará “sustos”. O segundo motivo é que a GDPR aponta para uma tendência que é global, de criar mecanismos para a proteção dos dados individuais. Este assunto já vem sendo discutido no Brasil e é razoável esperar que em um futuro próximo os direitos já assegurados pelo Marco Civil da Internet sejam ampliados para incluir clausulas similares às da GDPR.
Se você chegou até aqui e se deu conta de que o tempo já está correndo, comece agora mesmo a traçar um plano de ação para lidar com isto. No dia 25 de maio, sua empresa deve estar apta a comprovar conformidade com a GDPR se solicitada. Se isto não for possível, ao menos estabeleça um plano formal e aprovado internamente para assegurar esta conformidade no menor tempo possível.
