Nesta sexta-feira (25/5) entra em vigor o General
Data Protection Regulation (GDPR) ou Regulamento Europeu sobre
Proteção de Dados (Regulamento 2016/679). Trata-se de um avanço significativo
na autodeterminação informacional, ou seja, na proteção e segurança de dados,
agora afinada essencial e legislativamente com dois princípios fundamentais.
O primeiro desses é o princípio da finalidade ("Zweckverbindung").
Qualquer dado somente pode ser requerido e mantido em uma base conforme a
finalidade a que ele se presta. Se a finalidade não existir, o dado não pode
ser requerido; se ela deixar de existir, o dado deve ser esquecido, ou melhor,
destruído.
O segundo é o princípio do consentimento. Salvo as
hipóteses expressamente previstas no Regulamento, quem cede dados próprios
precisa consentir. Há necessidade de estar de acordo com a entrega
dos dados, bem como com a finalidade a que eles se vincularão.
Esses dois princípios têm se apresentado nos debates
mais recentes como pilares indispensáveis na matéria e traços indispensáveis de
uma sociedade que se considere civilizada. Trata-se do "padrão
ouro" de proteção e segurança de dados.
O primeiro grande impacto já é sentido
visivelmente. O Regulamento tem aplicação transversal, ou seja, ele não
distingue setores econômicos. Qualquer processamento de dados estará sujeito às
suas regras. Muitas empresas, órgãos públicos e sociedades europeias fizeram
campanha nos últimos dias aos seus clientes e usuários a respeito das novas
regras de privacidade ("privacy policy").
Com base nos princípios da finalidade e do
consentimento, os cidadãos terão mais controle sobre seus dados e de como esses
são processados. Eles terão direito de acesso, de retificação, de cancelamento,
de portabilidade, dentre outros. Os responsáveis pelos tratamentos dos dados
terão que criar padrões altos de segurança, de registro dos dados e de
notificação sobre eventuais violações. A coleta de dados em ambientes virtuais
precisa, enfim, de consentimento dos usuários.
O segundo grande impacto esperado vai além do
controle do cidadão dos seus dados, partes integrantes de sua personalidade:
uma maior responsabilização das empresas e demais órgãos, que, além de perderem
efetivamente faturamento com o descumprimento do Regulamento, serão
responsabilizados de maneira diferente, por exemplo, na publicidade, se
diagnosticada a quebra proposital das regras do Regulamento. A empresa que
realiza publicidade por meio de determinado veículo poderá, até mesmo, ser
responsabilizada por erro deste.
Quanto ao Brasil, este não passará distante do
Regulamento. Empresas brasileiras, que apresentam filiais na União Europeia ou
que ofertem serviços na União Europeia, deverão se moldar às regras do
Regulamento a fim de coletar e armazenar dados de cidadãos europeus. Porém,
mais importante ainda será a conscientização que precisamos imediatamente de
legislação adequada para esta disciplina, além de pesquisas científicas sérias,
conduzidas na área jurídica, sobre o tema.
Rodrigo Vaz Sampaio - especialista em Direito Civil e Proteção de
Dados do CEU Law School
Nenhum comentário:
Postar um comentário