Nova legislação de proteção de dados da União Europeia é debatida no Núcleo de Estudos em Direito Digital
Viviane Maldonado foi a expositora convidada.
O tema “O Regulamento Geral de Proteção de Dados (GDPR), sua estrutura normativa, impacto nos setores privado e público brasileiro – uma visão sobre sua implementação no TJSP” foi debatido pelos integrantes do Núcleo de Estudos em Direito Digital da EPM no último dia 15. O encontro teve como expositora a juíza Viviane Nóbrega Maldonado e contou com a participação do diretor da EPM, desembargador Francisco Eduardo Loureiro, e do coordenador do Núcleo, juiz Fernando Antonio Tasso.
Inicialmente, Viviane Maldonado apresentou um panorama da União Europeia (UE) e da Área Econômica Europeia (EEA), formada pelos 28 países da UE mais Islândia, Liechtenstein e Noruega, sobre a qual incide a abrangência primária de proteção de dados do Regulamento. E recordou a evolução normativa da proteção de dados no âmbito internacional, especialmente na UE.
Ela explicou que o GDPR (Regulamento nº 679/2016 do Parlamento e do Conselho da UE – General Data Protection Regulation) está com plena eficácia desde o último dia 25 de maio. Ela esclareceu que o Regulamento possui 173 considerandos e 99 artigos, enfatizando que os considerandos são a contextualização de cada tópico dos artigos, sendo essenciais para o entendimento da legislação. E acrescentou que é importante acessar o adendo denominado corrigendum, que são as correções das traduções.
A respeito da aplicação material, explicou que o GDPR se aplica ao tratamento de dados pessoais em qualquer meio, seja automatizado ou não. Ela observou que o Marco Civil da Internet trata de muitos aspectos regulados pelo GDPR, no entanto refere-se especificamente à informação que está na internet e estabelece que é obrigatória a existência de uma lei específica de proteção de dados que não se restrinja ao ambiente da internet.
Sobre a aplicação territorial e a eficácia extraterritorial, ressaltou que o GDPR se aplica ao tratamento de dados de qualquer pessoa que esteja localizada nos países integrantes da UE – ainda que seja turista – e mesmo a pessoas situadas fora do território, nas hipóteses em que se aplica a lei desses países por extensão, além das empresas sediadas na UE. E frisou que a submissão ao Regulamento independe de o tratamento de dados ocorrer dentro ou fora da UE. “Se uma empresa está fora da UE, mas oferta bens ou serviços a titulares de dados na UE, fica obriga ao compliance total com relação ao GDPR, o mesmo ocorrendo quando a empresa fora da UE faz monitoramento desses dados especificamente para marketing”, salientou.
A expositora informou que as sanções para as empresas que descumprirem o GDPR são severas: a multa pode chegar a 20 milhões de euros ou 4% do faturamento anual da empresa. “A questão é basicamente de compliance especificamente para o mercado europeu. Enquanto não houver adaptação específica, principalmente o atendimento dos parâmetros do Regulamento, do ponto de vista da coleta dos dados, há a possibilidade de se restringir a circulação desses dados”, salientou, observando que sites de jornais americanos de grande influência ficaram sem acesso na UE por alguns dias após a plena eficácia do GDPR.
Na sequência, ela explicou algumas definições e destacou princípios relativos ao tratamento de dados pessoais para uma primeira contextualização do que se deve fazer na prática, em especial: legalidade, justiça, transparência, finalidade específica, explícita e legítima, limitação do armazenamento (mantidos em um formato que permita a identificação dos titulares de dados por não mais do que o necessário, com posterior desidentificação ou eliminação), integridade e confidencialidade, devendo o responsável demonstrar o cumprimento desses deveres (artigo 5º do GDPR).
Por fim, Viviane Maldonado salientou que o regulamento se assenta em dois pilares básicos: toda a forma de se tratar os dados e as cautelas a serem tomadas para evitar incidentes de segurança. Em relação às políticas de privacidade de dados que circulam na internet, observou que, em geral, o que existe é o consentimento forçado em relação à política de dados adotada pelo responsável. E atentou que o direito ao esquecimento agora é lei, constando do artigo 17 do Regulamento, e tem aplicação extraterritorial.
RF (texto e fotos)