O Regulamento Geral da União Europeia em matéria de proteção de dados pessoais  *(conhecido pela sigla inglesa – GDPR) entrou em vigor dia 25 de maio de 2018.

A nova regulamentação vem para reforçar as regras de proteção de dados pessoais dos indivíduos dentro da União Europeia quando uma empresa vende produtos, presta serviços, monitoram comportamentos, mesmo que sejam de maneira gratuita. Mas é importante registrar que essa nova norma deverá ser respeitada não somente por empresas localizadas na União Europeia, mas também todas as outras que usam ou tem acesso às informações de pessoas ou clientes situados na União Europeia.

Isso significa dizer que empresas brasileiras e suas filiais que processem ou coletem dados pessoais de residentes na União Europeia devem da mesma maneira se adequar às novas regras. Caso contrário, podem ser objeto de sanções. Isso vale também para empresas contratadas ou terceirizadas que participem de alguma etapa no processamento ou estocagem de dados pessoais de residentes da União Europeia.

Ou seja, empresas brasileiras que processem dados de indivíduos localizados na União Europeia estão também sujeitas ao GDPR, mesmo que o processamento dos dados seja feito fora da União Europeia.

Mas o que são dados pessoais?

A noção de dados pessoais segundo o Regulamento geral da União Europeia de proteção de dados tem uma conotação extremamente abrangente, tratando de simples dados sobre nome, sexo, idade, telefone, endereço, dados sobre localização de uma pessoa, mas também seus dados psicológicos, físicos, culturais, econômicos e sociais.
Já processar dados para o GDPR significa qualquer operação, envolvendo dados pessoais, que colete, registre, organize, conserve, utilize ou extraia dados pessoais.

Quais são as principais obrigações das empresas?

Nesses casos, no ato da coleta ou tratamento de dados, a empresa deverá informar a pessoa sobre quais dados estão sendo coletados, os motivos da coleta, quem terá acesso às suas informações, por quanto tempo, se os dados são transferidos para fora da União Europeia, explicitar qual país será enviado os dados e qual é o nível de proteção.

Ademais, as empresas deverão introduzir processos internos onde deverão responder rapidamente aos questionamentos sobre dados pessoais.

Quais são os direitos dos indivíduos?

São garantidos diversos direitos às pessoas, como o de saber sobre seus dados pessoais, dados de acesso, da retificação, e até o direito ao esquecimento. A empresa deverá também garantir que os dados do cliente ou usuário não sejam perdidos, roubados, nem divulgados sem autorização.

Quais são multas aplicadas em caso de desrespeitos às normas do GDPR?

Em caso de não respeito aos termos do regulamento de proteção de dados, as empresas poderão ser objeto de multas elevadas, que conforme a gravidade da violação, poderão chegar a 20 milhões de euros ou 4% do faturamento anual global da empresa, o que for maior.

Por fim, importante a empresa se atentar para o seguinte:

  • – coletar somente dados estritamente necessários;
  • – ser transparente, informando o objeto e meios pelos quais está usando os dados;
  • – responder aos questionamentos sobre os dados pessoais coletados;
  • – garantir que toda transferência de dados pessoais e sua circulação sejam reguladas através de contratos para garantir a segurança e cuidado com as informações tratadas;
  • – adotar todas as medidas de segurança necessárias para evitar vazamento ou o uso indevido de informações por terceiros.

  1. * Regulamento europeu n° 2016/679. O GDPR veio também para atualizar o regramento contido em uma diretiva europeia de 1995.