Nova Lei da União Europeia entra em vigor e atinge empresas Brasileiras.
Por Amanda Cassab* | Cassab Law Advogados – 28 de maio de 2018
Após um período de transição de 2 anos, em 25.05.2018, entrou em vigor o Regulamento Geral de Proteção de Dados (GPDR) da União Europeia, legislação que dispõe sobre a proteção de dados e privacidade para todos os indivíduos dentro da União Europeia, abordando, inclusive, a proteção conferida a exportação de seus dados para fora do bloco.
A lei têm, dentre seus objetivos, a finalidade de conceder aos cidadãos e residentes do bloco a proteção de seus dados pessoais, a fim de simplificar o ambiente regulatório para negócios internacionais, mediante unificação do assunto objeto de regulamentação na União Europeia.
O GPDR passa a substituir a Diretiva de Proteção de Dados 95/46/EC, do ano de 1995, responsável por, até esta data, harmonizar a defesa dos direitos e das liberdades fundamentais das pessoas singulares em relação às atividades de tratamento de dados, a fim de conferir a livre circulação de dados pessoais entre os Estados-Membros.
Dentre os pontos mais importantes do GPDR, podemos citar a correção ou exclusão das informações armazenadas pelas empresas, a requerimento dos usuários, a coleta racional de dados necessários para funcionamento dos serviços, a coleta e uso de dados somente com consentimento explícito dos usuários, informações de crianças com proteção especial, o direito ao esquecimento dos dados coletados, dentre outros.
O regulamento ainda prevê que os dados europeus só poderão ser transferidos para países com lei de proteção equivalentes à elaborada pela União Europeia. Aqui, vale dizer que, a Lei nº 12.965 de abril de 2014, denominada, popularmente, de “Marco Civil da Internet” e seu regulamento, o Decreto nº 8.771/2016, são responsáveis por dispor, no Brasil, de legislação similar à do bloco europeu, dispondo, desde 2014, sobre temas como, a necessidade de permissão para coleta, armamento, tratamento, entre outras ações com os dados pessoais do usuário, a coleta apenas dos dados pessoais necessários ao real uso das aplicações, sendo o prazo de armazenamento limitado ao alcance do objeto e obrigação legal imposta, a regulamentação sobre a guarda de registro de acesso a aplicações de internet e provisão de aplicações, dentre outros inúmeros pontos regulados a fim de harmonizar a necessidade de troca de dados para integração econômica e social visando o funcionamento do mercado e a proteção dos direitos e garantias individuais de cada indivíduo residente no Brasil ou que tenha seus dados coletados e tratados por pessoa jurídica com estabelecimento ou terminal em território nacional.
Neste ponto, importante mencionar que, subsidiárias de empresas europeias no Brasil que tratem de dados dos cidadãos europeus e pessoas residentes na Europa, empresas brasileiras que realizem qualquer transação de dados com pessoas residentes da Europa, empresas brasileiras que tratem de dados europeus, ainda que localizadas aqui devem observância ao novo regulamento.
No entanto, destaca-se que, do contrário, o regulamento não será válido se a legislação for aplicada isoladamente aos residentes no Brasil, uma vez que, no país, não se pode deixar de observar a legislação e os princípios do ordenamento jurídico brasileiro.
Portanto, empresas com sede ou terminal no Brasil, que operem dados de residentes da União Europeia e do Brasil, ou que tenham sede ou terminal no Brasil e operem dados pessoais de usuários residentes na União Europeia, devem obrigatoriamente atender às duas legislações, o que não pode ser considerado uma problemática, levando em consideração a similaridade das normas.
*Amanda Cassab é advogada e sócia do escritório Cassab Law – Advogados. Pós-graduanda em Propriedade Intelectual pela Escola Superior da Advocacia (ESA) – 2018-2020 com forte atuação em Direito Digital apoiando o desenvolvimento de novas tecnologias para segurança de dados por meio da análise, elaboração e revisão de contratos de Políticas de Privacidade e Termos e Uso.