O Regulamento Geral de Proteção de Dados da União Europeia (GDPR, sigla em inglês) entrou em vigor maio de 2018 e a lei brasileira (13.709/18), segue os mesmos parâmetros. Ambas protegem os dados de pessoas físicas, no qual também se aplica o "direito de ser esquecido" e impõe a obrigação de obter o consentimento do titular/finalidade e o processamento de dados por motivos legítimos aos negócios – quais, por que e como os dados são processados.

A lei brasileira diferencia dados pessoais e dados sensíveis, sendo que ambos são protegidos tanto pela lei brasileira como pela GDPR. Para a lei brasileira, dados pessoais são os dados que podem identificar alguém (nome, foto, cédula de identidade, entre outros) e dados sensíveis são aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

A lei brasileira está em período de vacância, e mesmo entrando em vigor apenas em 2020, ainda há muito a ser feito para cumprir com os requisitos. "Haja vista que as empresas europeias tiveram dois anos para se ajustar ao GDPR, entretanto, muitas delas ainda não conseguiram se adequar completamente e podem sofrer sanções legais", explica a sócia sênior do WFaria Advogados e responsável pela área de Compliance, Alessandra Gonsales. A responsabilização pelo GDPR pode ocorrer por meio de multas que chegam a 20 milhões de euros ou 4% do faturamento bruto anual da empresa (pago para autoridades de controle, não à pessoa), restrições de direitos e pagamento de indenizações à pessoa lesada.

Se uma empresa brasileira negocia com clientes ou fornecedores de um país da União Europeia, mesmo que não tenha escritório no continente, ela pode sofrer sanções locais do GDPR.

Já a violação às regras brasileiras pode chegar a R$ 50 milhões (ou 2% do faturamento bruto anual da empresa, grupo ou conglomerado no Brasil), além da reparação à pessoa lesada. A lei brasileira prevê medidas para minimizar estas penalidades como a adoção de boas práticas e governança e pronta remediação. Cabe mencionar que há a responsabilidade solidária do operador e controlador.

Muitas pessoas já começaram a perceber as mudanças que estão ocorrendo, pois são consultadas acerca do recebimento de notificações sobre atualizações de determinada empresa ou serviço e precisam confirmar o interesse. Políticas de privacidade, contratos ainda em vigor e futuros, intranet, backups de arquivos e até mesmo recrutamento e seleção precisam ser atualizados para atender às normas. Independente de não utilizar as informações para fins comerciais, a manutenção do cadastro precisa ser autorizada. Cabe ressaltar que a política interna da corporação não se sobrepõe às leis.

Mas afinal, o que as empresas devem fazer para atender a estas legislações? Para Alessandra Gonsales, o programa de Compliance de proteção de dados das empresas pode ser dividido em seis pilares: conscientização e apoio da alta administração; nomeação do DPO (data protection officer); avaliação de riscos e do programa de forma periódica; elaboração de políticas e processos; treinamento e comunicação com o público interno e externo; controles internos, monitoramento e remediação. ///Dino


ESPERA. A lei brasileira está em período de vacância, e mesmo entrando em vigor apenas em 2020, ainda há muito a ser feito

Participe e comente