{"id":1436,"date":"2018-05-25T15:12:34","date_gmt":"2018-05-25T18:12:34","guid":{"rendered":"http:\/\/noblind.com.br\/clientes\/CMA\/site\/?post_type=publicacoes&#038;p=1436"},"modified":"2023-06-28T21:09:20","modified_gmt":"2023-06-29T00:09:20","slug":"consideracoes-sobre-a-nova-lei-europeia-de-protecao-de-dados-e-seus-impactos-no-brasil","status":"publish","type":"conteudos","link":"https:\/\/cmalaw.com\/homolog\/conteudos\/consideracoes-sobre-a-nova-lei-europeia-de-protecao-de-dados-e-seus-impactos-no-brasil\/","title":{"rendered":"CONSIDERA\u00c7\u00d5ES SOBRE A NOVA LEI EUROPEIA DE PROTE\u00c7\u00c3O DE DADOS E SEUS IMPACTOS NO BRASIL"},"content":{"rendered":"<p>No pr\u00f3ximo dia 25 de maio, entrar\u00e1 em vigor o Regulamento Geral de Prote\u00e7\u00e3o de Dados, tamb\u00e9m conhecido como \u201cGDPR\u201d (<em>General Data Protection Regulation)<\/em>. Com o in\u00edcio da sua vig\u00eancia, o processamento de dados pessoais de pessoas naturais passa a ser motivo de aten\u00e7\u00e3o e adapta\u00e7\u00e3o mundo afora. Neste sentido, o objetivo do presente trabalho \u00e9 fornecer, de forma pr\u00e1tica e objetiva, uma vis\u00e3o geral das novas regras trazidas pelo GDPR, em aten\u00e7\u00e3o \u00e0s regras atualmente existentes na legisla\u00e7\u00e3o brasileira, e as suas implica\u00e7\u00f5es para o Brasil.<\/p>\n<p><span style=\"color: #0777bc;\"><strong>TERRITORIALIDADE DO GDPR<\/strong><\/span><\/p>\n<p>Para que seja pass\u00edvel de sua aplica\u00e7\u00e3o, basta que o processamento de dados pessoais se d\u00ea em estabelecimento situado no territ\u00f3rio europeu. Todavia, o GDPR ser\u00e1 igualmente aplicado a agentes localizados fora da Europa sempre que (i) ocorrer a oferta de bens e servi\u00e7os na Uni\u00e3o Europeia, ou (ii) no caso de monitoramento de comportamento de titulares de dados europeus. Da\u00ed a necessidade de aten\u00e7\u00e3o das empresas brasileiras sobre a possibilidade de aplica\u00e7\u00e3o ou n\u00e3o deste regulamento em suas atividades.<\/p>\n<p>Ainda h\u00e1, no entanto, muitas quest\u00f5es pendentes no que diz respeito ao alcance do GDPR, inclusive quanto \u00e0 oferta de servi\u00e7os e produtos para pessoas jur\u00eddicas e n\u00e3o para indiv\u00edduos. Independente disso, j\u00e1 \u00e9 poss\u00edvel verificar que muitas empresas brasileiras se enquadram neste regulamento. Em outros casos, seria preciso um exame mais detalhado de suas atividades para determinar a aplica\u00e7\u00e3o da legisla\u00e7\u00e3o europeia ou evit\u00e1-la com uma eventual blindagem t\u00e9cnica, jur\u00eddica e de marketing.<\/p>\n<p><strong>(i) Oferta de Servi\u00e7os<\/strong>: As empresas que diretamente direcionam seus servi\u00e7os para cidad\u00e3os europeus estar\u00e3o sujeitas ao GDPR. H\u00e1, contudo, d\u00favidas sobre como caracterizar este direcionamento. Por exemplo, o mero acesso a um website brasileiro por um cidad\u00e3o europeu, sem que tenha existido o direcionamento dos servi\u00e7os a esse estrangeiro, n\u00e3o deveria sujeitar a empresa ao GDPR. A quest\u00e3o de venda na moeda ou em l\u00edngua pertencente \u00e0 Uni\u00e3o Europeia tamb\u00e9m ser\u00e1 relevante para a an\u00e1lise da aplica\u00e7\u00e3o do GDPR. Assim, hot\u00e9is, empresas de turismo, seguradoras, hospitais, empresas de marketplace (vendas online), empresas de cart\u00f5es de fidelidade ou quaisquer outras empresas que direcionam seus servi\u00e7os \u00e0 Uni\u00e3o Europeia podem estar enquadrados na obrigatoriedade de cumprimento de seu regulamento, sempre dependendo de uma an\u00e1lise concreta do caso.<\/p>\n<p><strong>(ii) Monitoramento de dados<\/strong>: As empresas que monitoram o comportamento de titulares de dados na Comunidade Europeia tamb\u00e9m devem estar sujeitas ao GDPR, como, por exemplo, no caso de empresas que realizam uma pol\u00edtica de rastreamento de cookies e outros aplicativos que monitoram a navega\u00e7\u00e3o dos cidad\u00e3os na internet. No entanto, o uso de cookies que n\u00e3o utilizam, rastreiam ou coletam dados pessoais n\u00e3o deve estar, a princ\u00edpio, sujeito ao GDPR. De toda forma, ainda n\u00e3o est\u00e1 claro o qu\u00e3o detalhado o monitoramento precisa ser efetuado para sujeitar a empresa ao GDPR.<\/p>\n<p>Feitas estas considera\u00e7\u00f5es, \u00e9 importante discorrer brevemente sobre a regula\u00e7\u00e3o atualmente existente no Brasil para que possamos efetuar um breve comparado de cada legisla\u00e7\u00e3o.<\/p>\n<p><strong>\u00a0<\/strong><span style=\"color: #0777bc;\"><strong>LEGISLA\u00c7\u00c3O BRASILEIRA<\/strong><\/span><\/p>\n<p>O Brasil n\u00e3o possui uma legisla\u00e7\u00e3o espec\u00edfica sobre prote\u00e7\u00e3o de dados, sendo que a maioria das disposi\u00e7\u00f5es envolvendo este tema est\u00e1 regulada pelos princ\u00edpios gerais e disposi\u00e7\u00f5es previstas na Constitui\u00e7\u00e3o Federal, no C\u00f3digo Civil e no C\u00f3digo do Consumidor. Al\u00e9m disso, o Marco Civil da Internet (Lei Federal n\u00ba 12.965\/2014) e seu Decreto (Decreto n\u00ba 8.771\/2016) estabelecem princ\u00edpios gerais para uso da internet, inclusive no que concerne a coleta, armazenamento, guarda e tratamento de registros de dados pessoais online. Nota-se que o princ\u00edpio basilar das disposi\u00e7\u00f5es esparsas sobre esse tema est\u00e1 na necessidade de consentimento do titular dos dados pessoas para seu tratamento.<\/p>\n<p>Em meio a esse avan\u00e7o legislativo internacional, a press\u00e3o por uma lei espec\u00edfica sobre prote\u00e7\u00e3o de dados vem aumentando a cada dia, principalmente em virtude de esc\u00e2ndalos atuais envolvendo vazamento de dados, como o caso do Facebook e Cambridge Analytics e a crescente conscientiza\u00e7\u00e3o da popula\u00e7\u00e3o acerca da necessidade de uma tutela de sua privacidade em meio digital. Diferentes projetos de lei v\u00eam sendo discutidos no Congresso Nacional, em uma tentativa de unificar os preceitos j\u00e1 existentes na legisla\u00e7\u00e3o p\u00e1tria, os tornando mais modernos e harm\u00f4nicos com os entendimentos j\u00e1 firmados em legisla\u00e7\u00f5es estrangeiras, criando um arcabou\u00e7o jur\u00eddico mais completo para atender as novas demandas trazidas pelos avan\u00e7os tecnol\u00f3gicos.<\/p>\n<p>A seguir, ser\u00e3o elencadas as quest\u00f5es principais do GDPR e uma breve compara\u00e7\u00e3o com a legisla\u00e7\u00e3o brasileira existente sobre o tema, conforme aplic\u00e1vel.<\/p>\n<p><span style=\"color: #0777bc;\"><strong>DADOS PESSOAIS E DADOS SENS\u00cdVEIS<\/strong><\/span><\/p>\n<p>O GDPR define \u201cdados pessoais\u201d como qualquer informa\u00e7\u00e3o relacionada a uma pessoa natural identificada ou identific\u00e1vel, abarcando, assim, diversos tipos de dados, tais como dados de localiza\u00e7\u00e3o, identificadores eletr\u00f4nicos, elementos espec\u00edficos da identidade f\u00edsica, fisiol\u00f3gica, gen\u00e9tica, mental, econ\u00f4mica, cultural ou social de uma pessoa singular.<\/p>\n<p>No Brasil, a defini\u00e7\u00e3o de \u201cdados pessoais\u201d encontra-se em conson\u00e2ncia com o GDPR, sendo definido no Decreto que regulamenta o Marco Civil da Internet como \u201cdado relacionado \u00e0 pessoa natural identificada ou identific\u00e1vel, inclusive n\u00fameros identificativos, dados locacionais ou identificadores eletr\u00f4nicos, quando estes estiverem relacionados a uma pessoa\u201d.<\/p>\n<p>Particular aten\u00e7\u00e3o tamb\u00e9m foi dada aos dados sens\u00edveis pelo GDPR, como dados relacionados \u00e0 sua origem racial ou \u00e9tnica, suas as opini\u00f5es pol\u00edticas, convic\u00e7\u00f5es religiosas ou filos\u00f3ficas, filia\u00e7\u00f5es sindicais, relativos \u00e0 sua vida ou orienta\u00e7\u00e3o sexual, ou seus dados gen\u00e9ticos, relativos \u00e0 sa\u00fade ou biom\u00e9tricos, desde que de identifica\u00e7\u00e3o inequ\u00edvoca. Para essas informa\u00e7\u00f5es, o processamento \u00e9 expressamente vedado, salvo quando verificado casos excepcionais previstos nas leis, como atrav\u00e9s da coleta do consentimento expl\u00edcito do indiv\u00edduo, bem como se o tratamento dessas informa\u00e7\u00f5es for necess\u00e1rio para o cumprimento de obriga\u00e7\u00f5es e exerc\u00edcio de direitos de legisla\u00e7\u00e3o trabalhista, de seguran\u00e7a e prote\u00e7\u00e3o social, ou, ainda, para garantir a prote\u00e7\u00e3o de interesses vitais do sujeito ou de outro indiv\u00edduo, quando esse estiver incapacitado de fornecer seu consentimento.<\/p>\n<p>No Brasil, h\u00e1 uma men\u00e7\u00e3o expressa sobre a proibi\u00e7\u00e3o de anota\u00e7\u00e3o de dados sens\u00edveis pelos bancos de dados, conforme a Lei do Cr\u00e9dito (Lei Federal n\u00ba 12.414\/2011), que considera informa\u00e7\u00f5es sens\u00edveis aquelas pertinentes \u00e0 origem social e \u00e9tnica, \u00e0 sa\u00fade, \u00e0 informa\u00e7\u00e3o gen\u00e9tica, \u00e0 orienta\u00e7\u00e3o sexual e \u00e0s convic\u00e7\u00f5es pol\u00edticas, religiosas e filos\u00f3ficas. No entanto, ainda n\u00e3o h\u00e1 uma disposi\u00e7\u00e3o espec\u00edfica sobre a prote\u00e7\u00e3o dos dados sens\u00edveis de cada indiv\u00edduo.<\/p>\n<p><span style=\"color: #0777bc;\"><strong>CONTROLADOR E PROCESSADOR<\/strong><\/span><\/p>\n<p>O GDPR atenta-se em estabelecer importantes conceitos aplic\u00e1veis ao tema, tais como os da figura do \u201ccontrolador\u201d, encarregado de determinar as finalidades e os meios para o tratamento dos dados. Importante ressaltar a possibilidade de cumula\u00e7\u00e3o deste cargo entre dois ou mais respons\u00e1veis (\u201c<em>joint controllers<\/em>\u201d), desde que as obriga\u00e7\u00f5es de cada um sejam determinadas especificadamente por contrato, ficando ambos aptos a responder quando do exerc\u00edcio de qualquer direito de um indiv\u00edduo. J\u00e1 o \u201cprocessador\u201d \u00e9 a figura contratada pelo controlador para exercer a atividade do tratamento, a partir da apresenta\u00e7\u00e3o de garantias suficientes para sua execu\u00e7\u00e3o, e desde que regulado por um contrato ou ato normativo que vincule as partes, estabelecendo suas obriga\u00e7\u00f5es e direitos, o objeto, a dura\u00e7\u00e3o, a natureza e finalidade do tratamento, assim como os tipos de dados pessoais e as categorias dos titulares dos dados envolvidos.<\/p>\n<p>Estes conceitos de \u201cprocessador\u201d e \u201ccontrolador\u201d ainda n\u00e3o est\u00e3o definidos na legisla\u00e7\u00e3o brasileira. Contudo, o Decreto do Marco Civil da Internet buscou definir tratamento de dados pessoais como \u201ctoda opera\u00e7\u00e3o realizada com dados pessoais, como as que se referem a coleta, produ\u00e7\u00e3o, recep\u00e7\u00e3o, classifica\u00e7\u00e3o, utiliza\u00e7\u00e3o, acesso, reprodu\u00e7\u00e3o, transmiss\u00e3o, distribui\u00e7\u00e3o, processamento, arquivamento, armazenamento, elimina\u00e7\u00e3o, avalia\u00e7\u00e3o ou controle da informa\u00e7\u00e3o, modifica\u00e7\u00e3o, comunica\u00e7\u00e3o, transfer\u00eancia, difus\u00e3o ou extra\u00e7\u00e3o\u201d.<\/p>\n<p><span style=\"color: #0777bc;\"><strong>PRINC\u00cdPIOS DO GDPR<\/strong><\/span><\/p>\n<p>O GDPR busca, atrav\u00e9s de um arcabou\u00e7o legal robusto, tutelar a preserva\u00e7\u00e3o da privacidade e da garantia da prote\u00e7\u00e3o \u00e0s pessoas naturais em rela\u00e7\u00e3o ao processamento de suas informa\u00e7\u00f5es como um direito fundamental.<\/p>\n<p>Dentre os princ\u00edpios trazidos, \u00e9 estabelecida a obriga\u00e7\u00e3o de oferecer um tratamento de dados l\u00edcito, justo e transparente (\u201cprinc\u00edpio da licitude, lealdade e transpar\u00eancia\u201d), coletados para finalidades determinadas, expl\u00edcitas e leg\u00edtimas (\u201c<em>purpose limitation<\/em>\u201d), que sejam adequados, pertinentes e limitados ao necess\u00e1rio \u00e0 finalidade a que se destinam (\u201c<em>data minimization<\/em>\u201d) e armazenados apenas durante o per\u00edodo necess\u00e1rio (\u201c<em>storage limitation<\/em>\u201d).<\/p>\n<p>No Brasil, estes princ\u00edpios n\u00e3o s\u00e3o claramente definidos, mas \u00e9 poss\u00edvel notar que o Marco Civil da Internet determina que os dados pessoais somente poder\u00e3o ser utilizados para finalidades que justifiquem sua coleta, que n\u00e3o sejam vedadas pela legisla\u00e7\u00e3o e que estejam especificadas nos respectivos contratos. Al\u00e9m disso, o C\u00f3digo de Defesa do Consumidor disp\u00f5e que o consumidor, sempre que encontrar inexatid\u00e3o nos seus dados e cadastros, poder\u00e1 exigir sua imediata corre\u00e7\u00e3o.<\/p>\n<p>O GDPR, por sua vez, inova ao trazer direitos pioneiros, tal como a portabilidade dos dados pessoais, atrav\u00e9s do qual \u00e9 poss\u00edvel requer a migra\u00e7\u00e3o de dados de um controlador ao outro, por meio de formato estruturado, de uso corrente e de leitura autom\u00e1tica. Igualmente \u00e9 garantido ao indiv\u00edduo o direito de oposi\u00e7\u00e3o ao tratamento de seus dados e de decis\u00f5es individualizadas automatizadas. Assim, o titular dos dados poder\u00e1, a qualquer tempo, exercer o direito de se opor, inclusive para fins de <em>profiling<\/em> e marketing direto. Nesse mesmo sentido, em rela\u00e7\u00e3o ao processamento automatizado para avalia\u00e7\u00e3o de prefer\u00eancias, interesses e previs\u00e3o comportamental de uma pessoa (\u201ctomada de decis\u00e3o individual automatizada\u201d e <em>profiling)<\/em>, o GDPR pro\u00edbe o seu uso quando produzir efeitos jur\u00eddicos ou afetar significamente o indiv\u00edduo, tal como no evento de uma recusa autom\u00e1tica de um pedido de cr\u00e9dito por via eletr\u00f4nica ou de pr\u00e1ticas de recrutamento eletr\u00f4nico sem qualquer interven\u00e7\u00e3o humana.<\/p>\n<p>Destacados tamb\u00e9m se encontram o direito a requerer a retifica\u00e7\u00e3o dos dados pessoais e a possibilidade de ser requerida a exclus\u00e3o definitiva das informa\u00e7\u00f5es \u2013 o chamado direito ao esquecimento. Tal garantia deve ser observada sem demora pelo controlador, quando da observ\u00e2ncia de cen\u00e1rios indicados pelo GDPR. \u00c9 o que ocorre, por exemplo, na hip\u00f3tese dos dados pessoais n\u00e3o serem mais necess\u00e1rios em rela\u00e7\u00e3o ao prop\u00f3sito pelo qual haviam sido coletados, pela revoga\u00e7\u00e3o do consentimento do seu titular ou, ainda, no caso de obje\u00e7\u00e3o ao processamento, conforme tamb\u00e9m garantido pela lei. No Brasil, ao usu\u00e1rio \u00e9 concedido o direito de exclus\u00e3o definitiva dos dados pessoais, a seu requerimento, ao t\u00e9rmino da rela\u00e7\u00e3o entre as partes, ressalvadas as hip\u00f3teses de guarda obrigat\u00f3ria de registros previstas no Marco Civil da Internet. Ocorre que o direito de esquecimento n\u00e3o \u00e9 expressamente regulado por lei, sendo reconhecido doutrinariamente, a partir de interpreta\u00e7\u00e3o do C\u00f3digo Civil, como um dos direitos de personalidade do indiv\u00edduo. Na jurisprud\u00eancia, sua aplica\u00e7\u00e3o ocorreu pela primeira vez em 2013 pelo Superior Tribunal de Justi\u00e7a e, desde ent\u00e3o, diversos casos esparsos j\u00e1 foram decididos na justi\u00e7a sobre o tema, tanto a favor como contra a sua aplica\u00e7\u00e3o. De todo modo, ainda que sem a sua clara determina\u00e7\u00e3o em lei, o Brasil \u00e9 o segundo pa\u00eds com mais demanda ao Google por remo\u00e7\u00e3o de conte\u00fado da Internet, superando pa\u00edses mais populosos e com maiores \u00edndices de conectividade.<\/p>\n<p><span style=\"color: #0777bc;\"><strong>\u00a0<\/strong><strong>BASE LEGAL PARA COLETA DE DADOS PESSOAIS<\/strong><\/span><\/p>\n<p>Importante atentar sobre o desenvolvido aspecto da licitude para o processamento de dados. O GDPR avan\u00e7a novamente ao prever diversos fundamentos legais que embasam o tratamento de dados pessoais (o chamado \u201c<em>legal basis<\/em>\u201d). Diferentemente da legisla\u00e7\u00e3o brasileira, a qual pauta-se majoritariamente no fornecimento do consentimento do indiv\u00edduo para a coleta e tratamento de suas informa\u00e7\u00f5es, o GDPR tamb\u00e9m prev\u00ea outras possibilidades, tal como o processamento se pautar pela pr\u00f3pria necessidade em virtude da execu\u00e7\u00e3o de um contrato da qual se fa\u00e7a parte.<\/p>\n<p>O tratamento de dados pessoais tamb\u00e9m ser\u00e1 considerado l\u00edcito quando necess\u00e1rio para o cumprimento de uma obriga\u00e7\u00e3o jur\u00eddica do controlador ou em virtude de interesses leg\u00edtimos por esse ou terceiros (\u201c<em>legitimate interest<\/em>\u201d), desde que n\u00e3o violem interesses ou direitos fundamentais no individuo (como no caso de menores). Na hip\u00f3tese de fundamentar o processamento pelo leg\u00edtimo interesse, devem ser levadas em considera\u00e7\u00e3o as expectativas razo\u00e1veis do titular dos dados pessoais no momento da coleta de suas informa\u00e7\u00f5es e sua rela\u00e7\u00e3o com o controlador. Nesse sentido, o processamento de dados para fins de marketing poderia ser considerado como um leg\u00edtimo interesse do controlador caso esse exer\u00e7a atividades de com\u00e9rcio, por exemplo, e, para fins de <em>compliance<\/em>, seria recomend\u00e1vel a oferta do mecanismo de <em>opt-out<\/em> para salvaguardar os direitos do indiv\u00edduo \u2013 tal como orientado no contexto brasileiro. Por fim, a lei tamb\u00e9m vislumbra a possibilidade de um tratamento leg\u00edtimo em raz\u00e3o da defesa de interesses vitais do indiv\u00edduo ou de outrem, bem como se necess\u00e1rio para o exerc\u00edcio de fun\u00e7\u00f5es de interesse p\u00fablico.<\/p>\n<p>Em que pese \u00e0s determina\u00e7\u00f5es acima, em cen\u00e1rios no qual o tratamento caminhe para outras finalidades das quais os dados foram inicialmente coletados ou sem que tenha sido obtido o consentimento do titular (\u201c<em>further processing<\/em>\u201d), o controlador dever\u00e1 verificar a compatibilidade deste novo escopo com a coleta inicial, analisando a liga\u00e7\u00e3o entre essas finalidades, o contexto para o novo uso, a natureza dos dados tratados, poss\u00edveis consequ\u00eancias para esse uso posterior e a possibilidade de aplica\u00e7\u00e3o de salvaguardas, tais como encripta\u00e7\u00e3o e pseudonimiza\u00e7\u00e3o.<\/p>\n<p><span style=\"color: #0777bc;\"><strong>CONSENTIMENTO<\/strong><\/span><\/p>\n<p>N\u00e3o obstante o acima exposto, o consentimento possui posi\u00e7\u00e3o de destaque no GDPR, o qual determina aspectos fundamentais para sua coleta e garantia de validade. Segundo o Artigo 7\u00ba, \u00e9 condi\u00e7\u00e3o fundamental que o consentimento seja fornecido livremente e, caso tenha sido obtido em meio a outros assuntos, o consentimento dever\u00e1 ser obtido atrav\u00e9s de uma declara\u00e7\u00e3o escrita, a partir de um pedido distinto dos demais, apresentado de modo intelig\u00edvel, de f\u00e1cil acesso e de linguagem clara e simples. Assim, a sua validade \u00e9 condicionada \u00e0 obten\u00e7\u00e3o livre, espec\u00edfica, informada e inequ\u00edvoca da vontade do titular dos dados pessoais, atrav\u00e9s de uma declara\u00e7\u00e3o ou uma clara a\u00e7\u00e3o de afirma\u00e7\u00e3o. Nesse sentido, o sil\u00eancio, o uso de caixas de coleta de consentimento j\u00e1 preenchida (\u201c<em>pre-ticked boxes<\/em>\u201d) ou a inatividade do usu\u00e1rio n\u00e3o s\u00e3o suficientes para caracterizar v\u00e1lido o consentimento.<\/p>\n<p>No Brasil, o Marco Civil da Internet assegura ao cidad\u00e3o o direito de consentimento expresso sobre a coleta, uso, armazenamento e tratamento de dados pessoais, que dever\u00e1 ocorrer de forma destacada das demais cl\u00e1usulas contratuais.<\/p>\n<p>Tamb\u00e9m inova o GDRP ao garantir a esse indiv\u00edduo o direito de revogar o consentimento fornecido a qualquer momento. Tal direito deve ser obrigatoriamente informado ao sujeito e a sua execu\u00e7\u00e3o dever\u00e1 ser realizada de forma igualmente simples quanto o meio de obten\u00e7\u00e3o do consentimento.<\/p>\n<p><span style=\"color: #0777bc;\"><strong>PSEUDONIMIZA\u00c7\u00c3O E ANONIMIZA\u00c7\u00c3O<\/strong><\/span><\/p>\n<p>\u00c9 poss\u00edvel tamb\u00e9m perceber que o conceito de pseudonimiza\u00e7\u00e3o atua um importante papel no GDPR e, em especial, em rela\u00e7\u00e3o \u00e0 an\u00e1lise de <em>big data<\/em>. Essa medida, entendida como o processamento de dados pessoais que n\u00e3o s\u00e3o mais pass\u00edveis de atribui\u00e7\u00e3o a um determinado indiv\u00edduo sem o uso de informa\u00e7\u00f5es adicionais (desde que essas sejam mantidas em separado e sujeitas \u00e0s medidas t\u00e9cnicas e organizacionais que assegurem a sua preserva\u00e7\u00e3o), pode diminuir os riscos associados \u00e0s obriga\u00e7\u00f5es previstas pelo GDPR, ao garantir um n\u00edvel maior de seguran\u00e7a ao tratamento. Ainda, constitui uma interessante medida para atender aos princ\u00edpios de \u201c<em>privacy by design<\/em>\u201d e \u201c<em>privacy by default<\/em>\u201d, que estabelecem, de uma forma geral, a integra\u00e7\u00e3o de medidas t\u00e9cnicas de seguran\u00e7a para prote\u00e7\u00e3o dos dados e da implementa\u00e7\u00e3o de salvaguardas por <em>default<\/em> para limitar o acesso aos dados a um n\u00famero restrito de pessoas. Nesse mesmo vi\u00e9s, a utiliza\u00e7\u00e3o de t\u00e9cnicas como anonimiza\u00e7\u00e3o tamb\u00e9m se fazem relevantes, uma vez que, n\u00e3o sendo mais poss\u00edvel a associa\u00e7\u00e3o de dados com um indiv\u00edduo espec\u00edfico (por exemplo, como no caso de an\u00e1lise de big data restrita a dados anonimizados), as normativas de privacidade n\u00e3o ser\u00e3o aplic\u00e1veis. No Brasil, tais conceitos n\u00e3o se encontram estabelecidos expressamente em nossa legisla\u00e7\u00e3o.<\/p>\n<p><strong>\u00a0<\/strong><span style=\"color: #0777bc;\"><strong>AUTORIDADE SUPERVISORA E DPO<\/strong><\/span><\/p>\n<p>O GDPR prev\u00ea a figura da Autoridade Supervisora, uma autoridade p\u00fablica independente, respons\u00e1vel pela fiscaliza\u00e7\u00e3o da aplica\u00e7\u00e3o e cumprimento do Regulamento. Al\u00e9m desse instituto, outro importante personagem designado pelo GDPR \u00e9 o Oficial de Prote\u00e7\u00e3o de Dados (<em>Data Protection Officer<\/em>, ou \u201cDPO\u201d), encarregado a garantir a prote\u00e7\u00e3o dos dados pessoais de uma empresa ou de seu grupo econ\u00f4mico. Sua fun\u00e7\u00e3o ser\u00e1 necess\u00e1ria sempre que o tratamento for efetuado por uma autoridade ou um organismo p\u00fablico, quando as atividades principais do controlador ou processador for o tratamento de dados que, devido \u00e0 sua natureza, \u00e2mbito e\/ou finalidade, exijam um controle regular e sistem\u00e1tico, e, por fim, quando as atividades principais do controlador ou processador consistam em opera\u00e7\u00f5es de tratamento em grande escala de categorias especiais de dados ou dados pessoais relacionados com condena\u00e7\u00f5es penais e infra\u00e7\u00f5es. Esse Oficial dever\u00e1 ser designado com base nas suas qualifica\u00e7\u00f5es profissionais e, em especial, com base nos seus conhecimentos especializados em direito e <em>know-how<\/em> em prote\u00e7\u00e3o de dados, devendo exercer as suas fun\u00e7\u00f5es com base em um contrato de presta\u00e7\u00e3o de servi\u00e7os, devidamente comunicado \u00e0 Autoridade Supervisora.<\/p>\n<p>A figura da Autoridade Supervisora e do DPO n\u00e3o se encontram previstos na legisla\u00e7\u00e3o brasileira atualmente. Essa lacuna estrutural deixada pela inexist\u00eancia de um \u00f3rg\u00e3o centralizador e fiscalizador no Brasil, inclusive, segue como um dos principais pontos de aten\u00e7\u00e3o nos debates dos projetos de lei sobre prote\u00e7\u00e3o de dados.<\/p>\n<p><strong>\u00a0<\/strong><span style=\"color: #0777bc;\"><strong>DPIA<\/strong><\/span><\/p>\n<p>Outra importante inova\u00e7\u00e3o imposta pelo GDPR, tamb\u00e9m n\u00e3o prevista na legisla\u00e7\u00e3o brasileira, \u00e9 a condu\u00e7\u00e3o de uma an\u00e1lise pr\u00e9via de impacto (<em>Data Protection Impact Assessment<\/em>, ou \u201cDPIA\u201d), elaborada com a ajuda e monitoramento do DPO, nos cen\u00e1rios em que o processamento desejado seja pass\u00edvel de resultar alto risco aos direitos e garantias das pessoas naturais, tal como no caso da utiliza\u00e7\u00e3o de novas tecnologias.<\/p>\n<p>O GDPR prev\u00ea a publica\u00e7\u00e3o de uma lista espec\u00edfica que estabelece quais os tipos de processamento estar\u00e3o sujeitos \u00e0 condu\u00e7\u00e3o do DPIA. Nesse \u00ednterim, o GDPR j\u00e1 estabelece determinados cen\u00e1rios que demandam a realiza\u00e7\u00e3o do DPIA, quais sejam: (i) no caso de avalia\u00e7\u00e3o sistem\u00e1tica e completa por meio automatizado e que impliquem efeitos jur\u00eddicos ou impactos significativos no titular dos dados; (ii) tratamento em grande escala de categorias especiais de dados ou de dados relacionados com condena\u00e7\u00f5es penais e infra\u00e7\u00f5es; e (iii) controle sistem\u00e1tico de zonas p\u00fablicas acess\u00edveis em grande escala. Nesse contexto, relevante o acompanhamento das discuss\u00f5es e da implementa\u00e7\u00e3o desta mat\u00e9ria para a consolida\u00e7\u00e3o dos entendimentos sobre a necessidade da condu\u00e7\u00e3o do DPIA pelos controladores e processadores de informa\u00e7\u00f5es pessoais.<\/p>\n<p><span style=\"color: #0777bc;\"><strong>\u00a0<\/strong><strong>TRANSFER\u00caNCIA DE DADOS<\/strong><\/span><\/p>\n<p>Em rela\u00e7\u00e3o \u00e0 transfer\u00eancia de dados pessoais para tratamento em outro pa\u00eds (denominados como \u201c<em>third countries<\/em>\u201d) ou para uma organiza\u00e7\u00e3o internacional, o GDPR prev\u00ea disposi\u00e7\u00f5es para sua realiza\u00e7\u00e3o, em adi\u00e7\u00e3o ao cumprimento das demais provis\u00f5es estabelecidas pelo Regulamento, de modo a resguardar os n\u00edveis de prote\u00e7\u00e3o adequados j\u00e1 atingidos pela Uni\u00e3o Europeia.<\/p>\n<p>Nesse caso, decis\u00f5es de adequa\u00e7\u00e3o (\u201c<em>adequacy decisions<\/em>\u201d) j\u00e1 foram emitidas em rela\u00e7\u00e3o a determinados pa\u00edses e organiza\u00e7\u00f5es, atualmente classificados como aptos a receber dados pessoais e garantir sua prote\u00e7\u00e3o, sem a necessidade de ser requisitada posteriormente uma nova autoriza\u00e7\u00e3o espec\u00edfica pela Autoridade Supervisora competente para a transfer\u00eancia desejada. \u00c9 o caso, por exemplo, da Su\u00ed\u00e7a, Uruguai, Argentina, Israel, Nova Zel\u00e2ndia, entre outros pa\u00edses. Outras salvaguardas tamb\u00e9m s\u00e3o previstas para dispensar a necessidade da obten\u00e7\u00e3o da autoriza\u00e7\u00e3o, tal como a ado\u00e7\u00e3o de regras vinculativas \u00e0s empresas (\u201c<em>Binding Corporate Rules<\/em>\u201d) ou a ado\u00e7\u00e3o de cl\u00e1usulas padr\u00f5es de prote\u00e7\u00e3o de dados adotadas pela Comiss\u00e3o Europeia. Ademais, o GDPR prev\u00ea derroga\u00e7\u00f5es espec\u00edficas aplic\u00e1veis na falta de decis\u00f5es de adequa\u00e7\u00e3o ou das salvaguardas mencionadas, como no caso da obten\u00e7\u00e3o do consentimento expl\u00edcito do titular dos dados para a transfer\u00eancia, mediante a sua ci\u00eancia sobre os poss\u00edveis riscos, bem como na eventualidade da transfer\u00eancia ser necess\u00e1ria para a celebra\u00e7\u00e3o ou execu\u00e7\u00e3o de um contrato de interesse do titular, dentre outros.<\/p>\n<p><span style=\"color: #0777bc;\"><strong>SEGURAN\u00c7A E VAZAMENTO DE DADOS<\/strong><\/span><\/p>\n<p>No decorrer de seu texto, verifica-se a relev\u00e2ncia da tem\u00e1tica da seguran\u00e7a destinada aos dados pessoais pelo GDPR, eis que de suma import\u00e2ncia para a preserva\u00e7\u00e3o da intimidade da pessoa natural. O regulamento prev\u00ea artigos relacionados ao uso de medidas t\u00e9cnicas e operacionais adequados, como a encripta\u00e7\u00e3o e pseudonimiza\u00e7\u00e3o, que visem assegurar um n\u00edvel de seguran\u00e7a adequado ao tratamento de dados pessoais. A capacidade para assegurar a confidencialidade, integridade, disponibilidade e resili\u00eancia permanentes aos sistemas utilizados, bem como a ado\u00e7\u00e3o de um processo para avaliar regularmente a efic\u00e1cia das medidas utilizadas s\u00e3o importantes medidas trazidas pela normativa. Nesta seara, quando da ocorr\u00eancia de uma viola\u00e7\u00e3o ou vazamento dos dados pessoais que resultem riscos aos seus titulares, determina o GDPR que seja notificada a Autoridade Supervisora em at\u00e9 72 horas, e, quando resultar em alto risco aos direitos e liberdades dos indiv\u00edduos, a comunica\u00e7\u00e3o tamb\u00e9m dever\u00e1 ser fornecida diretamente aos titulares dos dados pessoais.<\/p>\n<p>J\u00e1 no Brasil, n\u00e3o h\u00e1 qualquer obriga\u00e7\u00e3o legal de notifica\u00e7\u00e3o no caso de vazamento de dados pessoais, mas t\u00e3o somente diretrizes a serem seguidas, sem for\u00e7a legal, conforme recomenda\u00e7\u00f5es disponibilizadas pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Seguran\u00e7a no Brasil (\u201cCert.br\u201d), mantido pelo NIC.br, do Comit\u00ea Gestor da Internet. Com rela\u00e7\u00e3o \u00e0 seguran\u00e7a, o Decreto regulamentador do Marco Civil disp\u00f5e sobre a necessidade de se observar as seguintes diretrizes sobre padr\u00f5es de seguran\u00e7a: controle estrito sobre o acesso aos dados; a previs\u00e3o de mecanismos de autentica\u00e7\u00e3o de acesso aos registros; cria\u00e7\u00e3o de invent\u00e1rio detalhado dos acessos aos registros de conex\u00e3o e de acesso a aplica\u00e7\u00f5es; e uso de solu\u00e7\u00f5es de gest\u00e3o dos registros por meio de t\u00e9cnicas que garantam a inviolabilidade dos dados, como encripta\u00e7\u00e3o ou medidas de prote\u00e7\u00e3o equivalentes.<\/p>\n<p><span style=\"color: #0777bc;\"><strong>MULTAS<\/strong><\/span><\/p>\n<p>De acordo com o GDPR, a aplica\u00e7\u00e3o de multas administrativas pode advir como consequ\u00eancia ao n\u00e3o cumprimento das normas e dos princ\u00edpios determinados do Regulamento. Conforme estabelecido no Artigo 83, a viola\u00e7\u00e3o de determinadas disposi\u00e7\u00f5es sujeita ao pagamento de multas de \u20ac10.000.000 a \u20ac20.000.00 ou de 2% a 4% do faturamento anual global da empresa, sendo aplic\u00e1vel o que for maior. Para aplica\u00e7\u00e3o dessa multa, o mesmo artigo prev\u00ea a necessidade de pondera\u00e7\u00e3o pelas Autoridades Supervisoras, que dever\u00e3o se atentar a determinadas condi\u00e7\u00f5es do caso espec\u00edfico, tal como a natureza e a gravidade da infra\u00e7\u00e3o, a inten\u00e7\u00e3o ou neglig\u00eancia dos respons\u00e1veis, ou, ainda, as a\u00e7\u00f5es tomadas para cessar a infra\u00e7\u00e3o, dentre outros.<\/p>\n<p>Paralelamente no Brasil, o Marco Civil da Internet prev\u00ea, sem preju\u00edzo das san\u00e7\u00f5es c\u00edveis, criminais ou administrativas aplic\u00e1veis, san\u00e7\u00f5es que variam, desde de advert\u00eancia, multa de 10% do faturamento do grupo econ\u00f4mico no Brasil, at\u00e9 a suspens\u00e3o ou proibi\u00e7\u00e3o do exerc\u00edcio das atividades no Brasil, aplic\u00e1veis isolada ou cumulativamente. Tais san\u00e7\u00f5es s\u00e3o tamb\u00e9m aplic\u00e1veis a empresas estrangeiras, respondendo sua filial, sucursal, escrit\u00f3rio ou estabelecimento situado no territ\u00f3rio brasileiro solidariamente pelo pagamento da multa cab\u00edvel.<\/p>\n<p>Com rela\u00e7\u00e3o \u00e0s multas, n\u00e3o est\u00e1 bem delineado como seria a aplica\u00e7\u00e3o de eventual san\u00e7\u00e3o aplicada pelas autoridades competentes a uma empresa estrangeira, fora da Uni\u00e3o Europeia. De qualquer forma, o GDPR estabelece que o controlador ou o processador deve designar um representante na Uni\u00e3o Europeia, salvo se o processamento for ocasional, n\u00e3o incluir processamento, em uma larga escala, de categorias especiais de dados pessoais ou processamento de dados pessoais relacionado a ofensas criminais e caso seja improv\u00e1vel que se resulte em risco nos direitos e liberdades das pessoas naturais.<\/p>\n<p><span style=\"color: #0777bc;\"><strong>CONCLUS\u00c3O<\/strong><\/span><\/p>\n<p>Como visto nestas considera\u00e7\u00f5es iniciais sobre o novo regulamento europeu de prote\u00e7\u00e3o de dados pessoais, diversas inova\u00e7\u00f5es dever\u00e3o ser incorporadas e adequadas ao tradicional <em>modus operandi<\/em> aplicado aos neg\u00f3cios.<\/p>\n<p>Em meio ao exponencial desenvolvimento de novas tecnologias e da crescente utiliza\u00e7\u00e3o de dados pessoais por diversos setores, o risco de exposi\u00e7\u00e3o da intimidade dos indiv\u00edduos deve ser ao m\u00e1ximo minimizado, tanto como pela preserva\u00e7\u00e3o deste direito fundamental quanto pela contens\u00e3o de riscos pelas empresas.<\/p>\n<p>O Brasil, a vagarosos passos, ainda caminha para a promulga\u00e7\u00e3o de sua pr\u00f3pria legisla\u00e7\u00e3o aplic\u00e1vel ao tema, a partir do debate de diferentes projetos de lei na C\u00e2mara e no Senado. Assim, neste cen\u00e1rio globalizado e de constante troca de informa\u00e7\u00f5es, \u00e9 imprescind\u00edvel estar atento aos novos paradigmas trazidos pela GDPR, o qual ser\u00e3o certamente tomados como base para o desenvolvimento e aperfei\u00e7oamento deste campo do direito.<\/p>\n<p><strong>AUTORES DO ARTIGO:<\/strong><\/p>\n<table>\n<tbody>\n<tr>\n<td width=\"354\"><strong>Paula Mena Barreto<br \/>\n<\/strong>S\u00f3cia<br \/>\n<strong>T: <\/strong>+55 21 3262-3028<br \/>\n<strong>E:<\/strong> <a href=\"mailto:paula.menabarreto@cmalaw.com\">paula.menabarreto@cmalaw.com<\/a><strong>\u00a0<\/strong><\/td>\n<td width=\"342\"><strong>Manoela Esteves<br \/>\n<\/strong>Associada da \u00e1rea de P.I e Prote\u00e7\u00e3o de Dados<br \/>\n<strong>T: <\/strong>+55 21 3262 3042<br \/>\n<strong>E:<\/strong> manoela.esteves@cmalaw.com<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n","protected":false},"featured_media":0,"parent":0,"menu_order":0,"template":"","categories":[201],"tags":[],"voce-sabia":[],"class_list":["post-1436","conteudos","type-conteudos","status-publish","hentry","category-publicacoes"],"acf":[],"_links":{"self":[{"href":"https:\/\/cmalaw.com\/homolog\/wp-json\/wp\/v2\/conteudos\/1436","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cmalaw.com\/homolog\/wp-json\/wp\/v2\/conteudos"}],"about":[{"href":"https:\/\/cmalaw.com\/homolog\/wp-json\/wp\/v2\/types\/conteudos"}],"version-history":[{"count":1,"href":"https:\/\/cmalaw.com\/homolog\/wp-json\/wp\/v2\/conteudos\/1436\/revisions"}],"predecessor-version":[{"id":12971,"href":"https:\/\/cmalaw.com\/homolog\/wp-json\/wp\/v2\/conteudos\/1436\/revisions\/12971"}],"wp:attachment":[{"href":"https:\/\/cmalaw.com\/homolog\/wp-json\/wp\/v2\/media?parent=1436"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cmalaw.com\/homolog\/wp-json\/wp\/v2\/categories?post=1436"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cmalaw.com\/homolog\/wp-json\/wp\/v2\/tags?post=1436"},{"taxonomy":"voce-sabia","embeddable":true,"href":"https:\/\/cmalaw.com\/homolog\/wp-json\/wp\/v2\/voce-sabia?post=1436"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}