Direito Digital
Em 25 de maio de 2018, entrará em vigor o Regulamento Geral de Proteção de Dados da União Europeia (General Data Protection Regulation, ou GDPR). Publicado em 2016, de modo a permitir um período de adaptação de dois anos, o GDPR estabelece uma série de direitos aos titulares de dados pessoais e tem como objetivo oferecer maior segurança jurídica em relação ao seu tratamento. Sua incidência, contudo, pode não se restringir à comunidade europeia: institutos como a aplicação extraterritorial e a transferência internacional de dados fazem com que a necessidade de adaptação a essa nova regulamentação também seja analisada por parte das entidades brasileiras cujas atividades envolvam o tratamento de dados pessoais em âmbito global.
Um dos principais dispositivos do GDPR diz respeito à sua aplicação extraterritorial. De acordo com o regulamento, sua aplicação incide também sobre as entidades que, mesmo não estabelecidas na União Europeia, efetuam atividades relacionadas ao tratamento de dados pessoais de titulares que se encontram no seu território, quando o tratamento se relacionar à oferta de bens ou serviços, sejam eles remunerados ou não, ou ao controle do seu comportamento, desde que ocorrido na União Europeia. Dessa forma, é possível que a GDPR impacte as empresas brasileiras que desenvolvem essas atividades, as quais se revelam cada vez mais frequentes em um contexto de crescente importância dos dados pessoais para a economia e para a sociedade em geral.
A transferência internacional de dados também é alvo de regulamentação por parte do GDPR, que limita a sua realização a países que apresentem um nível adequado de proteção de dados – categoria na qual o Brasil não se enquadra. Além disso, o cumprimento da regulamentação passa a ser fortemente estimulado diante das severas penalidades impostas às violações aos seus dispositivos, que envolvem limitações ao tratamento de dados e multas que podem atingir o montante de € 20.000.000,00, ou 4% do faturamento global anual da empresa, considerando o valor mais elevado.
Embora o Brasil disponha de leis esparsas que possibilitam a proteção dos dados pessoais, sobretudo no âmbito consumerista, inexiste uma lei específica regulando esse assunto. No intuito de sanar essa omissão legislativa, discutem-se, atualmente, diversos projetos de lei sobre essa matéria, dentre os quais se destacam o PL nº 5.276/2016, o PL nº 4.060/2012 e o PLS nº 330/2013. Convém ressaltar que o substitutivo a esse último projeto, apresentado em 03 de maio de 2018, aproxima bastante alguns dos seus dispositivos às normas do GDPR, a exemplo da ampliação das bases legais para o tratamento dos dados pessoais para além do consentimento do seu titular.
Diante da crescente preocupação com a proteção dos dados pessoais e da ausência de legislação específica sobre o tema no Brasil, a atuação em conformidade com os princípios do GDPR deve ser analisada com cuidado para as empresas que efetuem o tratamento de dados pessoais no seu cotidiano, de forma a se antecipar à tendência para as futuras normas legais em nosso país.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
