O Regulamento Geral de Proteção de Dados da União Europeia (RGPD)1, aprovado em 2016, entrará em vigor dia 25 de maio de 2018, e irá mudar a realidade jurídica das empresas que tratam dados pessoais dentro da União Europeia ou que tratam dados de residentes da União Europeia.
O Regulamento substituirá a Diretiva 95/46/EC, escrita na década de 1990, num momento ainda incipiente de internet, em que diversos conceitos – como big data, computação em nuvem, marketing comportamental, aplicativos e redes sociais – ainda não existiam. O principal objetivo do RGPD é a proteção de dados pessoais face às novas tecnologias, assegurando a livre circulação desses dados, e, ao mesmo tempo, transparência por parte dos responsáveis pelo tratamento de dados pessoais e controle dos cidadãos europeus sobre a suas informações.
Diferentemente da Diretiva – que estabelecia diretrizes para que cada Estado-Membro da União Europeia adotasse sua própria lei de proteção de dados –, o RGPD foi desenvolvido visando à harmonização das leis de proteção de dados dos países da União Europeia, sendo vinculativo e aplicável a todos os Estados-Membros. Por outro lado, o RGPD também garante aos Estados-Membros certa margem de autonomia para elaborarem disposições mais específicas para adaptar a aplicação das regras previstas no Regulamento.
Um dos principais aspectos do RGPD é a preocupação em proteger a privacidade dos cidadãos europeus em um ambiente de globalização e economia baseada na internet e cada vez mais dependente de dados para se sustentar (data driven economy). O ambiente de negócios da internet traz a peculiaridade de mitigar as fronteiras físicas convencionais, produzindo grandes vantagens para a comunicação e comércio eletrônico. Entretanto, a inexistência de fronteiras do mundo digital também apresenta um grande desafio quando se trata da aplicabilidade de normas fora de uma jurisdição.
Diante disso, uma das importantes inovações do RGPD é a sua eficácia extraterritorial. Ou seja, a jurisdição do RGPD não se limita somente à empresas localizadas na União Europeia, mas também considera o sujeito dos dados tratados e o âmbito dos negócios.
O Regulamento se aplica nos seguintes casos:
• Quando o tratamento dos dados ocorre no contexto das atividades de uma empresa estabelecida na União Europeia, independentemente do local do tratamento e da nacionalidade dos titulares dos dados;
• Quando o tratamento de dados pessoais é realizado por empresa não estabelecida na União Europeia, que ofereça bens e serviços, ainda que de forma gratuita, ou monitore o comportamento de residentes da UE.
A consequência dessa aplicação extraterritorial é que qualquer empresa que realize o tratamento de dados pessoais de residentes na União Europeia pode estar sujeita às regras do RGPD, tornando efetivamente global a esfera de aplicabilidade do Regulamento.
No entanto, ainda existem alguns aspectos que precisam ser esclarecidos sobre o RGPD, como, por exemplo, a definição dos termos “estabelecimento” e de “oferta de bens e serviços”. As orientações do Article 29 Working Party – autoridade de proteção de dados da União Europeia – serão cruciais para esclarecer o real alcance territorial do Regulamento.
Como norte, na vigência da Diretiva 95/46/CE, o Tribunal de Justiça da União Europeia, já adotou um conceito amplo e flexível de “estabelecimento”. No caso que ficou conhecido como Weltimmo v. NAIH (Processo nº C-230/14)2, a Weltimmo, sociedade constituída na Eslováquia, foi considerada estabelecida na Hungria, pois mantinha uma página internet de intermediação imobiliária onde divulgava, em Húngaro, imóveis localizados na Hungria; um representante local; um endereço postal local; e uma conta em um banco local.
O Tribunal considerou que o termo “estabelecimento” deve ser interpretado extensivamente, com vistas a afastar qualquer abordagem formalista baseada no local de registro da empresa. Assim, para determinar onde uma empresa que se dedica a oferecer serviços exclusivamente na internet está estabelecida, é preciso avaliar tanto o grau de estabilidade da instalação comercial como a realidade do exercício das atividades.
Outra questão relevante é como definir “oferta de bens e serviços” e “monitorar comportamento”, para se determinar em que medida uma empresa localizada fora da União Europeia está sujeita ao Regulamento3. Alguns fatores como uso da língua do Estado-Membro; uso de moeda corrente do Estado-Membro; referências a clientes que se encontrem na União Europeia; e ações de marketing direcionadas a residentes da União Europeia podem ser consideradas evidências dessa intenção4.
Não obstante essas indefinições, as empresas brasileiras que realizam tratamento de dados pessoais de residentes na União Europeia devem se preparar para o RGPD, adaptando seus procedimentos internos às regras e obrigações impostas pelo Regulamento.
Sem a pretensão de esgotar o assunto, selecionamos alguns pontos importantes a serem observados por empresas que se enquadrem nos requisitos acima mencionados.
Requisitos para tratamento de dados pessoais
O Artigo 13 do Regulamento estabelece seis hipóteses autorizativas para o tratamento de dados, a saber:
• O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades especificas;
• O tratamento é necessário para a execução de um contrato no qual o titular dos dados é parte, ou para demandas pré-contratuais a pedido do titular dos dados;
• O tratamento é necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento está sujeito;
• O tratamento é necessário para proteger interesses fundamentais do titular dos dados ou de outra pessoa natural;
• O tratamento é necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública que esteja responsável pelo tratamento;
• O tratamento é necessário para atender interesses e/ou fins legítimos do responsável pelo tratamento ou de terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.
Somente diante dessas hipóteses o tratamento de dados pessoais será considerado lícito e legítimo. Embora já estivessem previstas na antiga Diretiva, há uma mudança significativa trazida pelo RGPD no que se refere ao consentimento do titular para o tratamento dos dados pessoais. Pelo Considerando 32 do RGPD, é necessário que o consentimento seja obtido por uma resposta afirmativa do titular indicando sua manifestação de vontade livre, específica, inequívoca e informada, no sentido de que concorda que seus dados pessoais sejam objeto de tratamento.
A obtenção do consentimento deve ser feita de forma explícita, numa linguagem clara e simples, inclusive na forma eletrônica e por check mark. Nos casos em que o tratamento sirva para diversas finalidades, deverá ser dado um consentimento para todas elas. Portanto, a política de consentimento deve ser sempre a do opt-in, não sendo mais aceito o opt-out. O silêncio, as opções pré-validadas ou a omissão não são considerados meios apropriados de consentimento.
Dentre às exceções à regra do consentimento, a hipótese do legítimo interesse ainda carece de uma definição clara e precisa. Portanto, é necessário cuidado ao analisar como será utilizado dentro dos parâmetros legais. A hipótese do legítimo interesse vem acompanhada de limites relativos aos interesses ou direitos e liberdades fundamentais, assim não é uma autorização genérica para todo tipo de tratamento de dados, e até uma melhor definição doutrinária e jurisprudencial deve ser analisada com ressalvas.
A autoridade de proteção de dados da União Europeia – Article 29 Working Party – entende que o responsável pelo tratamento dos dados deve fazer uma análise entre os interesses e direitos fundamentais e o legítimo interesse, para determinar quais dados podem ou não ser utilizados licitamente sem um consentimento específico para o fim a que se destina.
Direitos do titular dos dados
O Regulamento estabelece uma série de direitos aos titulares dos dados pessoais no Capítulo III, tais como:
Direito de informação: o titular dos dados tem o direito de obter a identidade do responsável pelo tratamento; o contato da autoridade responsável pela proteção de dados (DPO), quando aplicável; as finalidades do tratamento; e qualquer informação necessária para garantir um tratamento justo e transparente dos dados.
Direito de acesso: o titular tem o direto de obter a confirmação de que seus dados estão ou não sendo objeto de tratamento e, em caso positivo, pode acessar os dados e receber informações sobre o tratamento e suas finalidades, ser informado para quais terceiros os dados serão divulgados e se existem decisões tomadas automaticamente a partir dos dados tratados.
Direito de retificação: o controlar tem a obrigação de retificar dados incorretos, sem demora injustiçada, a pedido do titular dos dados.
Direito de portabilidade dos dados: o titular dos dados tem o direito de receber os dados a seu respeito ou os dados tenha fornecido, num formado estruturado, de uso comum, fácil leitura e de uma forma legível por máquinas/computadores, e o direito de transmitir esses dados a outro responsável pelo tratamento sem oposição do responsável que recebeu os dados num primeiro momento.
Direito de restrição: o titular tem o direito de se opor ao tratamento de seus dados pessoais, a qualquer momento, por quaisquer motivos particulares. O responsável pelo tratamento deve cessar o tratamento sem demora injustificada, a não ser que prevaleçam outros interesses legais.
Direito ao esquecimento/apagamento: o titular dos dados tem o direito de reivindicar ao responsável pelo tratamento de dados o apagamento/exclusão dos seus dados pessoais sem demora injustificada quando não mais são necessários para a finalidade que motivaram sua coleta; e quando o titular retira seu consentimento para o tratamento de dados e não existe outro fundamento jurídico que justifique o tratamento.
O direito ao esquecimento não se aplica obrigatoriamente quando entrar em conflito com exercício da liberdade de expressão e informação, motivos de interesse público ou cumprimento de obrigação legal prevista pelo direito da União Europeia ou de Estado-Membro a que esteja sujeito.
Transferência internacional de dados
Em regra, a transferência de dados para países fora da União Europeia ou organizações internacionais pode ocorrer para países que asseguram um nível adequado de proteção de dados. A avaliação sobre a adequação é realizada pela Comissão Europeia levando em conta diversos elementos. Uma vez que a adequação do país terceiro é reconhecida, a transferência de dados pessoais pode ocorrer sem autorização específica da autoridade de proteção de dados, tampouco serão necessárias medidas protetivas posteriores. A relação de países com adequação reconhecida é avaliada periodicamente, a cada quatro anos, e encontra-se disponível no site da Comissão Europeia . Da América do Sul, apenas Chile e Argentina possuem um nível considerado adequado de proteção.
Em caso de transferência para países não aprovados, é necessário que os responsáveis pelo tratamento apresentem as chamadas “garantias de adequação”, tais como adoção de regras vinculativas aplicáveis à empresa (Binding Corporate Rules); assinatura de contrato aprovado pela Comissão Europeia ou pela autoridade de proteção de dados; adoção de códigos de conduta e certificações.
Diante da ausência de decisão de adequação, bem como de garantias de adequação, a transferência somente pode ocorrer mediante determinadas hipóteses autorizativas, como consentimento do titular; execução de contrato; razões de interesse público; defesa de direitos em juízo; proteção de interesses vitais do titular ou de terceiros; ou se a transferência seja necessária para informar o público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que possa provar nela ter um interesse legítimo, mas apenas na medida em que as condições de consulta estabelecidas no direito da União Europeia ou de um Estado-Membro se encontrem preenchidas nesse caso concreto.
Na ausência de decisão de adequação ou garantias de adequação, o Regulamento impõe que a transferência para um país terceiro ou uma organização internacional só pode ser efetuada se não for repetitiva, apenas disser respeito a um número limitado de titulares dos dados, for necessária para efeitos dos interesses legítimos visados pelo responsável pelo seu tratamento, desde que a tais interesses não se sobreponham os interesses ou os direitos e liberdades do titular dos dados, e o responsável pelo tratamento tiver ponderado todas as circunstâncias relativas à transferência de dados e, com base nessa avaliação, tiver apresentado garantias de adequação no que se refere à proteção de dados pessoais.
Privacy by Design e Privacy by Default
O Regulamento incorpora expressamente os princípios do privacy by design e privacy by default, no Artigo 25, como obrigação legal àqueles responsáveis pelo tratamento de dados pessoais. Dessa forma, é dever do responsável pelo tratamento de dados deve implementar medidas técnicas e organizacionais para garantir que os direitos do titular dos dados sejam respeitados durante todo o ciclo do tratamento de dados, como pseudominimização e minimização dos dados.
As empresas devem levar em conta o tipo de dado que está sendo tratado para adotar as medidas técnicas e organizacionais compatíveis com o risco a que os titulares dos dados estão sujeitos. Quanto mais sensível for o dado pessoal tratado, maior deve ser a preocupação com os riscos à privacidade e direitos fundamentais do titular dos dados.
O objetivo é garantir que os dados pessoais não sejam tratados para qualquer fim, sem o consentimento do usuário e por um número indefinido de pessoas. Ou seja, apenas os dados pessoais necessários para cumprir determinado serviço devem ser coletados. Esses princípios devem ser aplicados a todo o processo, a quantidade de dados pessoais coletados; ao tempo de armazenagem dos dados; à extensão do tratamento de dados; e à acessibilidade dos dados.
Responsabilidades e Penalidades
Diversos artigos do RGPD tratam da obrigatoriedade do responsável pelo tratamento de demonstrar que está trabalhando em conformidade com o Regulamento. Ou seja, o responsável pelo tratamento dos dados tem a obrigação e a responsabilidade de aplicar as medidas técnicas e organizacionais necessárias para demonstrar que todos os processos do tratamento de dados estão de acordo com o Regulamento.
O RGPD exemplifica o que pode ser considerado evidência de compliance, como documentos e logs de controle. Além disso, o responsável pelo tratamento deve manter os registros de tratamento sob a sua responsabilidade e deve cooperar com a autoridade de proteção de dados, disponibilizando os registros, quando necessário, para fiscalização das operações de tratamento.
Para empresas com mais de 250 funcionários ou que tenham no seu núcleo o tratamento de dados, é obrigatória a indicação de um encarregado pela proteção de dados pessoais (Data Protection Officer), que terá diversas atribuições, dentre elas exercer o controle sobre o cumprimento do Regulamento e responder requisições da autoridade de proteção de dados e outros órgãos governamentais.
Em caso de vazamento de dados, as empresas têm a obrigação de avisar, sem demora injustificada, as autoridades competentes em até 72 horas após tomar conhecimento do fato, a não ser que o vazamento não demonstre risco aos direitos e privacidade dos titulares dos dados.
As autoridades de controle têm competência para investigar os responsáveis pelo tratamento de dados pessoais, podendo requisitar informações, acessar as instalações da empresa, e determinar o cumprimento de medidas relativas ao cumprimento do regulamento. As autoridades também têm a prerrogativa de impor sanções administrativas, que podem chegar até 20 milhões de euros ou 4% do faturamento anual da empresa em nível mundial.
Conclusão
Pelo exposto, verifica-se que é de extrema importância que empresas brasileiras que tratam dados de residentes na União Europeia se adaptem ao RGPD até 18 de maio de 2018.
Às empresas brasileiras que não tratam dados pessoais de residentes na União Europeia, vale lembrar que atualmente tramita no Congresso Nacional o PL 5276/2016, que pretende implementar no Brasil uma Lei Geral de Proteção de Dados inspirada no RGPD. Com a aprovação do PL, empresas brasileiras estarão sujeitas ao prazo de adequação entre 3 meses a um ano.
O respeito às regras de privacidade e proteção de dados, embora envolva uma série de complexidades, deve ser visto pelas empresas não como custo, mas como um aspecto diferenciador para competitividade no mercado, capaz de transmitir uma imagem de confiança perante seus colaboradores e clientes. Trata-se de uma consequência da nova economia digital globalizada e baseada em dados.
*Esse artigo contou com a valiosa contribuição de Vitor Koketu da Cunha, interno do Azevedo Sette Advogados.
[1] Disponível em língua portuguesa neste link
[2] Disponível no link#
[3] Considerando 23 do RGPD.
[4] Caso Pammer vs. Hotel Alpenhof (Processo C-585/08). Disponível neste link#