REFLEXOS DO GDPR NO BRASIL
Valor Econômico · 6 junho 2018 · Opinião Jurídica – Fabio Vieira, Flávio Ramos e Carolina Costa
Dois acontecimentos têm inflamado o debate mundial sobre privacidade e proteção de dados, elevando o tema a um dos mais discutidos. O primeiro é a entrada em vigor do General Data Protection Regulation (GDPR), e o segundo diz respeito ao escândalo envolvendo o Facebook e as práticas de tratamento e divulgação de dados pessoais, ilustrado pelo depoimento de Mark Zuckerberg ao Congresso dos Estados Unidos.
Há um consenso nesse tema: apesar do titular do dado fornecer as informações aos mais variados provedores de serviços ou produtos, na maioria dos casos desconhece como seus dados pessoais são utilizados (inclusive de forma comercial), tratados ou armazenados por essas empresas. É essa situação de potencial insegurança jurídica – para usuários da rede de internet, que fornecem os dados, e para as próprias empresas que se sujeitam ao dever de tratá-los – que tem preocupado o mundo todo.
A discussão sobre proteção de dados no Brasil, no Congresso Nacional ou pela judicialização, está apenas começando.
Com o intuito de proteger as informações pessoais dos indivíduos e garantir os seus direitos fundamentais, entrou em vigor em 25 de maio, o GDPR: uma diretriz europeia que versa sobre a proteção dos dados pessoais dos cidadãos europeus, abordando os direitos dos titulares de dados pessoais, os deveres e obrigações das autoridades supervisoras, dos controladores e processadores, os procedimentos que asseguram a correta proteção de dados, além da organização e estruturação do sistema de proteção de dados, entre outros aspectos.
Há um consenso nesse tema: o de que o GDPR modificará todo o paradigma do tratamento de dados pessoais feito por empresas ao redor do mundo, ao oferecerem produtos e serviços, ou monitorarem o comportamento de cidadãos no território Europeu. Por essa razão, tornou-se prioridade para todos os gestores jurídicos, de compliance e de TI, pois prevê possíveis sanções, como multa em valores expressivos e suspensão de operações eletrônicas (via internet).
Para ilustrar o impacto dessa regulamentação no mercado, de acordo com os resultados obtidos através de uma pesquisa global realizada pela Deloitte, no fim de 2017, somente 15% das organizações pesquisadas conseguiriam cumprir os termos do GDPR até 25 de maio.
Um dos principais pontos do GDPR é a definição do conceito de dados pessoais. No Brasil, o PL 5.276/2016 e PLS 330/2013, ambos tramitando no Congresso Nacional, parecem seguir as mesmas bases propostas pelo GDPR, inclusive quanto à abrangência do conceito de dado pessoal, complementando o Marco Civil da Internet que não o define.
O GDPR permite, também, a transferência internacional de dados pessoais de cidadãos europeus com destino a países que não integram a UE, desde que esses mesmos países cumpram requisitos elementares de segurança, como adequação das leis sobre respeito aos direitos humanos e liberdades fundamentais; existência e eficiente funcionamento de autoridade supervisora independente; e respeito às regras de tratados e convenções dos quais o país originário seja signatário.
Outro importante aspecto inaugural do GDPR envolve os direitos que são conferidos aos titulares dos dados pessoais: transparência das informações; direito de retificar informações inverossímeis, irregulares ou desatualizadas; direito de impor restrições ao tratamento de dados pessoais; direito à portabilidade dos dados pessoais; e direito a objetar o tratamento do dado.
A dinâmica de atuação e cooperação prevista no GDPR também chama a atenção. Por exemplo, prevê o dever de cooperação entre as autoridades encarregadas de proteger os dados pessoais, incluindo o dever de elaborar códigos de conduta que deverão ser observados por todas as autoridades dos países membros da UE. Além disso, busca centralizar todos os aspectos relacionados à proteção de dados em uma única agência, responsável pelas decisões que direcionarão as condutas das demais autoridades incumbidas de proteger os dados dos cidadãos europeus.
Os projetos de lei que tramitam no Brasil, pautaram-se nas regras previstas no GDPR. Como já se imaginava, o regulamento europeu chegará primeiro que o brasileiro e, sendo esse um ano eleitoral e dadas as circunstâncias políticas do país, parece-nos que o tema ainda levará longo tempo em terras brasileiras, embora não podemos ignorar que o GDPR estimulará o Congresso Nacional a retomar o debate.
Mas se o tema caminha devagar no Congresso, o Poder Judiciário já tem mostrado que as discussões sobre proteção de dados, no Brasil, serão bastante acaloradas, especialmente na judicialização de situações envolvendo o tratamento de dados pelas empresas brasileiras.
Recentemente, a Justiça Federal de São Paulo, em decisão de natureza liminar proferida em ação civil pública movida pelo Ministério Público Federal, determinou que, em 30 dias, a empresa Microsoft fizesse adequações no seu sistema operacional com a finalidade de tornar clara e simples a opção do usuário consumidor de não fornecer seus dados à Microsoft. Na prática, a intenção é evitar que os dados pessoais do usuário sejam automaticamente transferidos, sem consentimento claro e adequado sobre a transferência.
A discussão sobre proteção de dados no Brasil, no Congresso Nacional ou pela judicialização, está apenas começando, longe de um cenário que garanta segurança jurídica às empresas e aos brasileiros. Nesse caso, sairão à frente as empresas que adaptarem suas práticas a partir de regras previstas no GDPR, ponderando as regras já minutadas nos projetos de lei brasileiros. E o papel das áreas jurídicas das empresas será fundamental para uma transição segura que elimine ou mitigue eventual impacto aos seus negócios.
Fabio Vieira, Flávio Ramos e Carolina Costa são advogados do Kestener, Granja & Vieira Advogados
