GDPR: a nova legislação de proteção de dados pessoais da Europa

O que mudará no ambiente de negócios internacional? E quais os efeitos sobre cidadãos e entidades brasileiras?

Entra em vigor na data de hoje, 25 de maio de 2018, a nova legislação europeia sobre proteção de dados pessoais, mais conhecida como GDPR (General Data Protection Regulation).

Dificilmente se passa um dia sem se falar na relevância da utilização de dados para a movimentação da economia, que potencializa mercados existentes e possibilita o surgimento de negócios inovadores. São igualmente recorrentes as notícias de que autoridades de diversos países iniciaram investigações para averiguar como tem sido coletados e tratados os dados pessoais de usuários de internet.

No Brasil, diversas empresas vêm sendo investigadas por autoridades nacionais, como é o caso das iniciativas do Ministério Público sobre possíveis vazamentos de dados pessoais de usuários. Por exemplo, recentemente a Netshoes enfrentou incidente de segurança1 e, mais recentemente, o vazamento de dados de usuários custou ao Banco Inter a revogação de seu certificado digital.

No exterior a situação não é diferente. Acaba de ser divulgado que a Altaba (ex-Yahoo) pagará multa de mais de 35 milhões de dólares nos Estados Unidos em razão da não comunicação sobre o vazamento de dados de mais 500 milhões de usuários. Em 2017 havia ocorrido um dos maiores vazamentos de dados no país, envolvendo o bureau de crédito Equifax, que afetou cerca de 147 milhões de consumidores (quase metade da população estadounidense).

A recorrência de incidentes com dados de usuários de Internet pode ser vista como fator de aceleração do movimento internacional de edição ou atualização das normas sobre proteção de dados pessoais. É o caso dos Estados Unidos, onde, após depoimento perante o Senado do fundador e presidente do Facebook, Mark Zuckerberg, tem sido anunciado interesse em editar nova norma para tratar de forma abrangente a proteção de dados pessoais.

Similarmente, o Senado chileno aprovou recentemente um projeto de lei que busca atualizar as políticas de proteção de dados pessoais do país. O conteúdo desse projeto de lei será discutido no Congresso do Chile a partir deste mês de maio e pretende levar em consideração as mudanças na legislação europeia.

No Brasil, a aceleração na tramitação e tratativas em torno da aprovação de uma lei geral de proteção de dados pessoais também se justifica na busca do país em se credenciar para ocupar uma vaga na Organização para a Cooperação e Desenvolvimento Econômico (OCDE).2

A proposta que até o momento conduzia os debates legislativos, o Projeto de Lei nº 5.276/2016, apensado ao Projeto de Lei nº 4.060/2012, foi deixada em segundo plano (ao menos até o momento) para o tema avançar por meio do Projeto de Lei do Senado nº 330/2013, no qual houve recentemente a apresentação de texto substitutivo pelo Relator da proposta no Senado Federal, Senador Ricardo Ferraço, com alterações que contam com apoio do Governo Federal. Entretanto, nos últimos dias as duas casas apresentaram requerimento de urgência para acelerar a tramitação de suas respectivas propostas, de modo que ainda resta muita incerteza sobre qual texto prevalecerá.3

Contrariamente a esse movimento de proteção aos dados pessoais, tramita com celeridade no Congresso Nacional uma proposta de lei que visa conceder aos birôs de crédito uma ampla gama de dados sobre todos os brasileiros maiores de idade e economicamente ativos, o Projeto de Lei nº 441/2017.4 A proposta vem sendo criticada por entidades representantes dos consumidores e dos direitos digitais, que já se manifestaram contra a aprovação da proposta.

A entrada em vigor da GDPR, nova regulação para proteção de dados pessoais, traz novos desafios

A revisão da legislação europeia sobre proteção de dados pessoais se iniciou com a constatação de que as regras existentes não estavam acompanhando as rápidas e intensas inovações tecnológicas após a mudança do milênio. Em razão disso, o órgão Supervisor de Proteção de Dados Europeu emitiu comunicado em 2011 recomendando a adoção de nova norma, mais abrangente e destinada a buscar padronização na proteção de dados pessoais na região.

Após intensos debates e negociações, a GDPR foi editada em 24 de maio de 2016 e estabeleceu um prazo de dois anos para que empresas, governo e sociedade civil tomassem conhecimento de seu conteúdo e passassem a implementar as medidas necessárias para o cumprimento de suas disposições. Suas normas, por tomarem a forma de um “Regulamento” ao invés de uma “Diretiva”, são integralmente obrigatórias para todos os países-membros, que poderão editar normas para regulamentar algumas de suas disposições.5

De modo geral, a GDPR apresenta regras mais abrangentes do que as anteriormente vigentes, reforçando a proteção aos usuários de internet e assegurando aos titulares de dados maior controle sobre seus dados. Também empodera os órgãos nacionais de proteção de dados e impõe novas obrigações às instituições que têm entre suas atividades o processamento de dados pessoais.

Incertezas e ineficiências na implementação da GDPR

Apesar do prazo de dois anos entre a edição e a efetiva vigência do Regulamento, a impressão geral entre especialistas é de que as empresas atingidas pelo novo regime deixaram até o último minuto para entender as inovações e implementar as mudanças necessárias. De acordo com relatos da indústria, os desafios são maiores para os pequenos e médios empresários, que têm dificuldade em gerir a escala das mudanças adotadas.6

Em paralelo, países-membros também não se prepararam adequadamente para as demandas que estão em vigor a partir de hoje. Pesquisa publicada pela Reuters mostra que grande parte das autoridades locais admitiram não ter recursos necessários para cumprir com as exigências da GDPR. Outras pesquisas (vide aquiaqui e aqui) mostram ainda que a recepção do Regulamento na legislação local dos países europeus é pequena.

Até esse momento, apenas a Alemanha, França, Suécia, Bélgica, Áustria, Eslováquia e Reino Unido implementaram o Regulamento em lei nacional. Países como Irlanda, Espanha, Estônia, Letônia, Eslovênia e Grécia continuam discutindo seus projetos de lei. Vários países sequer chegaram ao estágio de discutir uma proposta, como Bulgária, Croácia, Chipre, Hungria, Portugal e Romênia.

(i) Verde: legislação aprovada; (ii) Amarelo: projetos de lei em tramitação; (iii) Vermelho: sem iniciativa legislativa. Atualizado até 21.05.2018. Fonte: Latham & Watkins LLP

O Regulamento exige que os países legislem, ao menos, sobre dados pessoais e liberdade de expressão, bem como sobre as penalidades aplicáveis.7Também há margem para que legislem sobre temas como o uso de dados na relação de emprego, idade mínima do usuário para a coleta de dados, dados de falecidos, regras mais rigorosas para dados “sensíveis” e designação de um responsável pela proteção de dados.8

Outras opções para que os países-membro recepcionem a GDPR consistem em atualizar (como Alemanha, França, Áustria e Bélgica) ou repelir a legislação existente em favor de um novo diploma legal (como é o caso do Reino Unido, Eslováquia e da Suécia).9

Como consequência, há muita incerteza sobre a forma de cumprir com as obrigações da GDPR e sobre sua eficácia imediata. Com sua entrada em vigor, milhares de empresas poderão permanecer faltosas com as exigências do Regulamento e parte dos países-membros ainda não dispõem de legislação local específica ou da estrutura institucional para implementá-la.

Efeitos da GDPR sobre cidadãos e entidades brasileiras

O Regulamento será aplicável em território europeu, mas acabará por produzir efeitos sobre cidadãos e empresas sediadas em outros países.

Isto porque a cláusula que estabelece o alcance da GDPR é ampla. A princípio, o Regulamento se aplica aos responsáveis pelo tratamento de dados situados na Europa ou aos que não possuem representação na região, mas que ofereçam serviços ao mercado europeu ou monitorem o comportamento de pessoas que se encontrem na União Europeia, independentemente de sua nacionalidade.

Percebe-se que a nova legislação europeia não leva em conta a cidadania do titular dos dados, bastando o tratamento de dados, o monitoramento de atividades ou o fornecimento de bens ou serviços a indivíduos que estejam, ainda que de passagem, no território europeu.10 Além disso, a GDPR estabelece que os responsáveis pelo tratamento de dados deverão assegurar que terceiros contratados também operem de acordo com as regras estabelecidas pelo Regulamento.11

Como resultado, empresas brasileiras, mesmo sem representação na região, poderão sentir os efeitos da GDPR, especialmente as que prestem serviços a empresas ou usuários que operem ou se encontrem na Europa. Como exemplo, a GDPR acaba por ser aplicável às empresas de e-commerce nacionais que não possuam representação no território europeu e que coletem, armazenem e processem dados pessoais de indivíduos localizados na Europa.12

Para além disso, cidadãos brasileiros poderão ser indiretamente beneficiados pelas novas regras europeias, visto que muitos provedores de aplicação internet estão adotando políticas globais de compliance para se adequar à GDPR, de modo a fortalecer sua imagem internacionalmente e reduzir possibilidades de responsabilização. É o caso do Google, que neste mês atualizou sua política de privacidade e realizou a maior campanha de notificação a usuários já feita pela empresa. Igualmente, a Amazon disponibilizou aos seus consumidores um novo acordo sobre processamento de dados e o Twitter atualizou seus Termos de Uso e Política de Privacidade.

Assim, empresas maiores que já têm se preocupado com a proteção de dados contarão com diferencial no mercado e estarão um passo à frente quanto a eventuais mudanças na legislação brasileira. Pesquisa realizada pelo IBM Institute for Business Value mostra que 84% dos entrevistados acreditam que a conformidade com o GDPR será vista como um diferencial positivo para o público.

De outro lado, empresas menores que não se adequarem às novas práticas em proteção de dados tenderão a ser cada vez mais marginalizadas, seja do ponto de vista legal ou em relação às oportunidades de negócios.

A GDPR também poderá produzir efeitos sobre práticas nacionais, em razão da influência que pode exercer sobre o entendimento de autoridades judiciais e administrativas a respeito do alcance das normas vigentes no Brasil de proteção de dados pessoais. Em outras palavras, poderão ser intensificadas práticas nas quais o quadro legal vigente – em especial as regras do Código de Defesa do Consumidor, Marco Civil da Internet e de seu Decreto regulamentador – é interpretado como se espelhasse disposições da GDPR.

Algumas das mudanças promovidas pela GDPR

Dentre as mudanças promovidas ao quadro anteriormente vigente (Diretiva 95/46/CE – Diretiva sobre Proteção de Dados), destaca-se a maior especificidade em relação aos requisitos do consentimento na coleta e tratamento de dados pessoais.

De modo geral, as novas regras condicionam o desempenho dessas atividades ao aceite livre, informado, que seja feito de maneira que não haja dúvidas acerca da sua real intenção (inequívoco).13 Além disso, esse consentimento deverá ser mais específico em relação às finalidades da coleta e tratamento de dados.

Não será mais possível pressupor que o usuário autorizou a utilização de seus dados pessoais após a obtenção de consentimento genérico ou por meio da disponibilização de mecanismos de opt out.14 Também não será concebível condicionar a execução de contratos ou a prestação de serviços a uma autorização para a coleta e tratamento de dados não essenciais à sua execução,15 visto que não seria livre o consentimento obtido após o exercício de pressão ou influência indevida sobre o contratante.16

A GDPR também assegura aos titulares de dados o direito de remover o consentimento a qualquer momento e de ter seus dados retificados ou, ainda, definitivamente removidos após o encerramento da relação entre as partes.17Nessa linha, a GDPR garante aos usuários em certas circunstâncias o direito à limitação do tratamento de seus dados por parte das empresas e entidades.18Por meio deste direito, o usuário pode, por exemplo, limitar a utilização dos seus dados enquanto houver equívocos em seus registros, bem como evitar que determinados dados pessoais sejam deletados por uma empresa que não mais irá utilizá-los.

Por fim, o consentimento não será válido se obtido de adolescentes com menos de 16 ano.19 No caso de crianças ou adolescentes com menos de 16 anos, o consentimento deverá ser obtido dos seus responsáveis. Está previsto também que o responsável pelo tratamento deverá sempre empregar esforços para verificar se de fato aquele que deu o consentimento era o real responsável pela criança ou adolescente20.

Outra mudança proposta pelo Regulamento consiste na previsão do direito à portabilidade dos dados e o direito à supressão de dados. No caso da portabilidade,21 aos usuários é assegurado o direito de solicitar aos responsáveis pelo tratamento de dados o fornecimento das informações coletadas a seu respeito, em formato estruturado e legível por máquina. Esse conjunto de dados poderá ser transmitido para outras empresas, a critério do titular de dados22.

Por sua vez, o direito à supressão de dados assegura aos titulares a possibilidade de requerer a remoção de informações sobre si armazenadas em bases de dados em determinadas situações.23 Essa disposição da GDPR tem como objetivo garantir maior proteção aos indivíduos na era digital, e ao mesmo tempo garantir segurança jurídica e a devida proteção à liberdade de expressão e ao interesse público. Um dos pontos-chave dessa previsão está no dever do controlador de repassar, dentro do que for razoável técnica e financeiramente, a terceiros (com os quais ele compartilhou dados do titular) a informação de que o indivíduo solicitou a exclusão de seus dados.

Além desses pontos, em seu desenho regulatório, a GDPR reforçou o papel das Autoridades de Proteção de Dados Pessoais, ou Data Protection Authorities (“DPA”) em inglês. Na tentativa de homogeneizar os procedimentos administrativos referentes à proteção de dados, todos os países-membros deverão apontar sua autoridade supervisora competente.24

As DPAs possuem tanto poderes investigativos, voltados a conceder a essas Autoridades o acesso às provas e materiais necessários, quanto corretivos.25Esses últimos cobrem todo um espectro de opções, desde permitir que as DPAs enviem avisos às entidades que processam dados em desacordo com a GDPR até impedir a continuidade das atividades de determinado negócio.

Tais Autoridades ganharam maior força sancionatória ao passo em que podem, a partir de hoje, aplicar penalidades mais rigorosas àqueles que descumpram com o disposto no Regulamento. A depender da transgressão, as entidades que processam dados podem estar sujeitas a multas administrativas de 10 a 20 milhões de euros ou de 2 a 4% do faturamento anual global da empresa – o que for maior.2627

Ainda, as DPAs poderão tomar medidas judiciais contra os processadores de dados em determinadas situações.28 Ter poderes para litigar é fundamental para as atividades de investigação e sanção dessas Autoridades, para que possam exigir o cumprimento de determinadas medidas perante o Judiciário.

A GDPR também obriga que órgãos públicos e entidades que coletam e processam dados pessoais possuam funcionário ou consultor externo que seja especialista em proteção de dados pessoais, o chamado Encarregado de Proteção de Dados, ou Data Protection Officer (“DPO”) em inglês.2930 Assim, a presença de DPOs será necessária para todas as entidades públicas que processam dados, para todas as empresas que tenham como atividades principais o monitoramento regular, sistemático e em larga escala de indivíduos, ou para todas as empresas que conduzam processamentos em larga escala de “categorias especiais de dados”, tais como aqueles que revelem a origem racial, étnica ou a posição política da pessoa.

Entre as atividades que devem ser executadas por um DPO,31 vale destacar que este será o ponto de contato com as DPAs e com os titulares de dados, estando disponível para responder a questionamentos dos indivíduos sobre assuntos como proteção de dados, retirada de consentimento e direito ao esquecimento. Exercerá também as funções de assessor e consultor a respeito das obrigações estabelecidas pela GDPR e deverá fornecer suporte em avaliações de impacto (data protection impact assessments) sobre a proteção de dados. A demanda por esse profissional está em alta não só na Europa, como em todo o mundo.

Um outro ponto de destaque do Regulamento é a definição de uma série de obrigações em segurança e proteção de dados aos responsáveis pelo tratamento de dados pessoais. Em comparação com a Diretiva 95/46/EC, a GDPR impõe obrigações mais específicas ao mesmo tempo que oferece melhores recomendações de como proceder para cumpri-las. Entre essas medidas técnicas e organizacionais, a GDPR explicitamente encoraja os agentes a fazer uso da pseudononimização como uma medida de segurança e de redução de riscos de proteção de dados pessoais.32

Para além de sugerir que o responsável pelo tratamento de dados faça uso de métodos de pseudoanonimização e encriptação, o Regulamento também entende como adequado que os agentes assegurem a confidencialidade e a integridade dos seus sistemas e serviços, bem como possuam a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais em tempo oportuno caso ocorra incidentes de segurança.33

Ainda, embora divulgar de forma ágil eventuais vazamentos de dados e ataques de hackers seja uma prática recomendada às empresas que manipulem dados pessoais, na grande maioria dos casos os agentes acabam por manter esses episódios em sigilo ou postergar ao máximo a sua divulgação ao grande público. Buscando enfrentar essa situação, a GDPR estabelece o dever de divulgação de referidos incidentes de vazamentos de dados pessoais às autoridades de proteção de dados competentes no prazo de 72 horas.34 A depender da gravidade do risco, a norma obriga as entidades a também notificar os usuários afetados.35

O Regulamento excepciona a necessidade de notificação na hipótese de o incidente envolvendo dados pessoais não impor riscos aos direitos e liberdades dos usuários – expressão essa que com certeza vai criar oportunidade para que as autoridades e os agentes do mercado debatam a exigência de notificação.

Perspectivas e desafios produzidos pela GDPR

Para as empresas brasileiras a GDPR cria um dilema de adesão ou não. Apesar de não ser obrigatória no país, a GDPR foi desenhada para produzir um efeito viral. Em outras palavras, empresas que cumprem com a GDPR passarão a exigir que seus parceiros comerciais e fornecedores de dados também cumpram, sob pena de reduzir ou cessar o fluxo de negócios e dados com as mesmas. Desse modo, mesmo não sendo obrigatória para todas as empresas brasileiras, a GDPR poderá levar à divisão do mercado de dados em duas categorias: empresas que adotaram as medidas da GDPR e aquelas que não adotaram. A percepção do consumidor tende a se inclinar em direção às primeiras. Mais do que isso, o ambiente de negócios internacional envolvendo dados tenderá a gravitar progressivamente também em torno destas.

——————————————————

1 E por essa razão disso terá que contatar os mais de um milhão de usuários afetados por telefone, sob o risco de sofrer uma ação civil pública.

2 Atualmente, operações com dados pessoais na internet são reguladas pelo Marco Civil da Internet e pelo Decreto nº 8771/2016, bem como por uma série de regulações setoriais, a depender do uso da solução em questão. Não há legislação específica que defina, de maneira ampla, quais as obrigações e os deveres dos envolvidos na coleta e processamento de dados pessoais.

3 Disponível em: http://www2.camara.leg.br/camaranoticias/noticias/CIENCIA-E-TECNOLOGIA/557835-EM-SEMINARIO,-RELATOR-DEFENDE-URGENCIA-PARA-VOTACAO-DE-LEI-DE-PROTECAO-DE-DADOS-PESSOAIS.html e https://www12.senado.leg.br/noticias/materias/2018/05/23/senadores-aprovam-urgencia-para-proposta-que-muda-tributacao-de-aplicativos-de-transporte. O requerimento do Senado foi aprovado no último dia 23 de maio.

4 Com a aprovação desse projeto, informações sobre o histórico de “bom pagador” poderão ser incluídas em bancos de dados independentemente de autorização específica dos consumidores. Até a data desta publicação, o PLP nº 441/2017 teve seu texto base aprovado na Câmara, mas ainda pendia de votação destaques, antes da matéria por voltar para a apreciação da casa originária.

5 A GDPR será adotada de forma uniforme por todos os países-membros da União Europeia e o objetivo é evitar a disparidade entre conceitos e ordenamentos nacionais. Esse cenário diverge daquele existente na vigência da legislação anterior, segundo a qual cada país implementava a Diretiva sobre Proteção de Dados (Diretiva 95/46/CE) da forma como lhe convinha e de acordo com interesses internos.

6 Conforme entrevista dada por Jamie Kerr, diretor de relações exteriores do Institute of Directors (Londres). Disponível em https://goo.gl/pd2LBM.

7 Arts. 84 e 85 da GDPR.

8 Para visão geral de iniciativas legislativas sobre os temas listados, ver “GDPR Tracker”, por Bird & Bird LLP, disponível em: https://goo.gl/HFm3B3.

9 Conforme informações disponíveis em https://gdpr.lw.com/.

10 Artigo 3º da GDPR.

11 Conforme o artigo 28 da GDPR, o responsável pelo tratamento de dados somente pode utilizar subcontratantes (“processors” em inglês) que “apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento satisfaça os requisitos do presente regulamento e assegure a defesa dos direitos do titular dos dados”.

12 Reportagem da revista Forbes apresenta essa preocupação ao enunciar que “qualquer empresa estadounidense que possui presença na web (e quem não tem?) e comercializam seus produtos por meio da web terão tarefa de casa para fazer” (tradução livre). Disponível em:

https://www.forbes.com/sites/forbestechcouncil/2017/12/04/yes-the-gdpr-will-affect-your-u-s-based-business/#73bfe17a6ff2. Acesso em: 17 maio 2018.

13 Em casos específicos, como no tratamento de dados sensíveis (artigo 9), transferência internacional (artigo 49) e decisões automatizadas (artigo 22), o consentimento exigido pela GDPR é mais rigoroso, devendo se tratar de consentimento expresso do titular dos dados.

14 O opt out inverte a lógica do consentimento prévio, pressupondo que a coleta de dados possa ser realizada e oferecendo mecanismo para que usuário solicite que seus dados não sejam coletados ou tratados.

15 A definição exata do que seria “necessário” não é clara entre os especialistas, e provavelmente também será fonte de muitos debates no que tange a esse requisito do consentimento.

16 Art. 7 (4) e Considerandos 42 e 43 da GDPR. Como exemplo, o Article 29 Data Protection Working Party em seu documento “Guidelines on Consent under Regulation 2016/679” apresenta a seguinte situação: “A mobile app for photo editing asks its users to have their GPS localisation activated for the use of its services. The app also tells its users it will use the collected data for behavioural advertising purposes. Neither geolocalisation or online behavioural advertising are necessary for the provision of the photo editing service and go beyond the delivery of the core service provided. Since users cannot use the app without consenting to these purposes, the consent cannot be considered as being freely given”.

17 Art. 7º (3) da GDPR.

18 Art. 18 da GDPR

19 Art. 8º da GDPR. Os países membros podem em suas legislações internas estabelecerem uma idade limite menor, desde que ela não seja inferior a 13 anos – como exemplo, a Áustria estabeleceu a idade de 14 anos.

20 Como exemplo, o Article 29 Data Protection Working Party em seu documento “Guidelines on Consent under Regulation 2016/679”, apresenta o seguinte exemplo de esforços razoáveis: “An online gaming platform wants to make sure underage customers only subscribe to its services with the consent of their parents or guardians. The controller follows these steps:

Step 1: ask the user to state whether they are under or over the age of 16 (or alternative age of digital consent)

If the user states that they are under the age of digital consent:

Step 2: service informs the child that a parent or guardian needs to consent or authorise the processing before the service is provided to the child. The user is requested to disclose the email address of a parent or guardian. Step 3: service contacts the parent or guardian and obtains their consent via email for processing and take reasonable steps to confirm that the adult has parental responsibility.

Step 4: in case of complaints, the platform takes additional steps to verify the age of the subscriber.

If the platform has met the other consent requirements, the platform can comply with the additional criteria of Article 8 GDPR by following these steps.

21 Art. 20 da GDPR

22 Como exemplo, o Article 29 Data Protection Working Party em seu documento “Guidelines on the right to ‘data portability’”, apresenta a seguinte situação: “(…) the titles of books purchased by an individual from an online bookstore, or the songs listened to via a music streaming service are examples of personal data that are generally within the scope of data portability, because they are processed on the basis of the performance of a contract to which the data subject is a party”.

23 Art. 17 da GDPR. Nos termos do regulamento, o titular pode solicitar referida supressão, sempre que: (i) os dados não sejam mais necessários para o propósito ao qual foram coletados; (ii) o usuário retificar o consentimento concedido previamente; (iii) o processamento de dados for considerado ilegal; (iv) o prestador de serviços estiver sujeito ao cumprimento de uma obrigação legal; ou (v) o dado tenha sido coletado no contexto de oferta de serviços a menores de idade.

24 Art. 51 da GDPR. Além disso, nos termos do art. 65, caso haja um procedimento contra entidade que esteja estabelecida em mais de um país-membro, as DPAs desses países deverão cooperar para chegar a uma decisão quanto ao caso, através da incorporação de sugestões ou objeções. Na hipótese de haver divergências entre essas Autoridades, a GDPR concede ao Comitê Europeu para a Proteção de Dados, ou European Data Protection Board (“EDPB”), a competência para resolvê-las.

25 Art. 58 (1) e (2) da GDPR.

26 Art. 83 (4) e (5) da GDPR.

27 Para a determinação dos valores a serem pagos como multa, as Autoridades devem utilizar noções de efetividade, proporcionalidade e dissuasão da conduta. O Regulamento estabelece fatores agravantes e atenuantes para ajudar as DPAs a calcularem as multas, tais como a intenção ou negligência do agente ou os tipos de dados pessoais que foram afetados. Vide art. 83 (1) e (2) da GDPR.

28 Art. 58 (5) da GDPR.

29 Art. 37 da GDPR.

30 Para tal, a inspiração do legislador europeu foi a lei alemã de proteção de dados, que exigia a indicação de um DPO por determinadas empresas (como exemplo, aquelas que possuam pelo menos nove pessoas exercendo atividades de processamento automatizado de dados pessoais).

31 Art. 39 da GDPR.

32 Nos próprios termos do Regulamento (art. 4º (5) da GDPR), pseudoanonimização consiste no tratamento de dados pessoais de forma que estes deixem de poder serem atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável.

33 Art. 32 da GDPR.

34 A notificação às autoridades deve ser feita sem atrasos e, quando possível, dentro do prazo de 72 horas após o conhecimento da ocorrência desse incidente. Se a notificação não for feita dentro do prazo estabelecido, o agente deve apresentar justificativa pelo atraso.

35 Art. 33 e 34 (1) da GDPR.

Por Ronaldo Lemos, Daniel Douek, Natalia Langenegger, Olívia Bonan Costa, Philippe Sundfeld e Ramon Alberto dos Santos

Fonte:https://www.jota.info/opiniao-e-analise/artigos/gdpr-dados-pessoais-europa-25052018

 

Comentários

Comentários