Em vigor a partir de 25 de maio de 2018, o General Data Protection Regulation é resultado da iniciativa da União Europeia que objetivou garantir a proteção de dados pessoais em uma época caracterizada pela facilidade de obtenção destas informações e pelo alto valor que possuem para empresas dos mais diversos setores.
O tema suscita preocupação na esfera da privacidade de dados há muito tempo, sendo inclusive objeto de regulamentação específica na Europa desde 1995. Porém, os avanços tecnológicos da última década não só multiplicaram a importância destas informações – primordiais para a definição de estratégias de marketing digital, melhoramento de serviços, oportunidades de negócios, entre outras estratégias de mercado –, como também passaram a possibilitar aos detentores destes dados uma ferramenta de manipulação de pessoas e propagação de notícias falsas.
Neste sentido, o recente caso da Cambridge Analytica, empresa que, por meio da utilização de dados pessoais obtidos por terceiros e cujo acesso lhe foi concedido sem a anuência dos titulares dos dados, influenciou as últimas eleições americanas, serve como exemplo de consequência que o uso desmedido e não regulado de dados pessoais pode causar.
Embora o caso acima não tenha sido o gatilho para a iniciativa legislativa da União Europeia, a exposição das consequências do uso indevido dos dados veio em momento chave para a discussão sobre o regulamento. Houvesse a definição clara dos papéis para os envolvidos na comercialização e uso de dados e consequências para o uso indevido, é provável que o assunto fosse tratado com mais cautela pelas empresas envolvidas nas práticas relatadas.
Em meio a toda comoção que o assunto vem causando mundo afora, resta natural a preocupação sobre a aplicabilidade da norma. O regulamento endereça esta questão prevendo três situações principais, para as quais faz-se necessária a compreensão dos papéis de sociedades controladoras, quando atuarem na coleta de dados pessoais e definição de meios e fins do processamento de tais dados, e processadoras, assim chamadas as sociedades que prestam serviços de tratamento de dados para as controladoras.
A primeira hipótese é o processamento de dados pessoais por um controlador ou processador situado na União Europeia, independentemente de o efetivo processamento dos dados ocorrer dentro ou fora do referido território. Ou seja, estando o controlador dentro da União Europeia, mesmo que seus dados sejam tratados por uma unidade própria ou por um processador fora da União Europeia, o regulamento deverá ser observado. Afeta-se, por esta previsão, por exemplo, serviços de nuvem qualificados como processadores e que armazenam os dados fora da União Europeia.
A segunda possibilidade diz respeito à hipótese de o controlador ou processador não estar situado na União Europeia, mas ser o responsável pelo processamento de dados pessoais de titulares que se encontrem no território europeu. A hipótese abrange tanto as situações em que o controlador ou processador ofereçam bens ou serviços aos titulares de dados que estejam na Europa, quanto aquelas em que os serviços e produtos oferecidos têm como objetivo o controle do comportamento destes indivíduos, a exemplo de serviços de localização, relógios e marcadores inteligentes.
Ressalta-se que a aplicação do regulamento engloba também os serviços gratuitos, pois em muitos casos, a principal contrapartida da prestação de tais serviços é o recebimento de dados pessoais de seus clientes.
A terceira hipótese é a de um controlador ou processador responsável pelo processamento de dados em um país em que se aplica a legislação europeia, por força do direito internacional público, a exemplo de missões diplomáticas e serviços consulares. Tal possibilidade é mais específica e será analisada caso a caso em conexão com o direito internacional público.
Dessa forma, entende-se que qualquer empresa brasileira que tenha filiais na União Europeia, ou ofereça produtos e serviços ao público europeu, ou monitore o comportamento de pessoas localizadas na União Europeia, ou preste serviços de tratamento e armazenamento de dados para terceiros localizados na União Europeia, deverá tratar dados pessoais de acordo com as obrigações do regulamento.
As próprias premissas do regulamento indicam alguns critérios que poderão ser utilizados como base para analisar se o público-alvo da empresa inclui o público europeu, como o idioma em que o serviço é oferecido, a moeda de pagamento aceita, ou menção a usuários que estejam na União Europeia.
Cumpre ressaltar que várias das obrigações a serem cumpridas vem ao encontro com as disposições que são esperadas na futura lei brasileira de proteção de dados pessoais – é possível que o projeto seja votado ainda neste ano – tais como a solicitação de consentimento para coleta e uso de dados, uso de dados com finalidade limitada, atenção especial a dados sensíveis, dentre outras.
Nota-se que, discussões sobre a aplicabilidade do General Data Protection Regulation à parte, o cuidado com o tema da proteção de dados deverá ser tema obrigatório em todas as empresas brasileiras no curto prazo.
Diante deste cenário, é aconselhável que as empresas brasileiras verifiquem se devem – e como devem – estar em conformidade com o regulamento. As vultosas multas previstas no regulamento, muito comentadas como sendo o principal incentivo para garantir a conformidade, de fato devem ser levadas a sério; porém, no curto prazo, vale ter em mente que a conformidade com o regulamento passa a ser um requisito para a continuidade de muitas relações comerciais, principalmente entre controladores e processadores.
Portanto, o cumprimento com o regulamento, além de evitar as multas previstas, obriga as empresas a adotarem boas práticas relacionadas à segurança de dados pessoais, que poderão trazer vantagens competitivas, aumentar a segurança da empresa e até a possibilidade de expandir os negócios.
*ASSOCIADOS DO ESCRITÓRIO CESCON BARRIEU ADVOGADOS
