Ontem, no 17º EDD – Encontro de Direito Digital promovido pelo Digital Rights, exatamente enquanto na Câmara dos Deputados se decidia entre dois projetos de proteção de dados para serem implementados no país, Bruno Bioni e Renato Leite Monteiro, fundadores do Data Privacy, esclareceram o funcionamento da GDPR – General Data Protection Regulation (Regulação Geral de Proteção de Dados) para empresas. A equipe do Business Watching acompanhou a exposição e resumiu os principais pontos.
O que é GDPR?
Segundo Renato Leite, é a legislação mais importante já criada sobre proteção de dados, que entrou em vigor na semana passada, dia 25 de maio de 2018. Como os negócios atuais estão ligados a dados, o GDPR vem para atualizar, unificar e ordenar a forma de proteger como os dados são usados, processados, guardados e compartilhados, possibilitando maior segurança jurídica para as organizações (privadas ou públicas) e para as pessoas que estão na UE – União Européia.
A regulação é na Europa. Quais os impactos para outras regiões?
A regulação não se aplica somente a cidadãos europeus. Ela se aplica a coleta de dados pessoais de pessoas naturais que se encontram no território da UE, independente da sua nacionalidade, cidadania, domicílio ou residência. Portanto, as organizações afetadas são as que:
– possuem filiais ou representação na UE;
– mesmo sem presença física, ofertam serviço ao mercado europeu;
– mesmo sem presença física, coletam dados de pessoas naturais localizadas na UE, independente da nacionalidade;
– mesmo sem presença física, monitora pessoas naturais localizadas na EU, independente da nacionalidade;
– mesmo sem presença física, terceiriza o processamento de dados para empresas localizadas na UE.
Esqueçam as multas da GDPR! A sua real preocupação deve ser outra: contratos! – Data Privacy
Controllers e Processors, fiquem atentos!
Para quem ainda não está familiarizado com os termos:
– Controllers são as empresas que controlam os dados, elas definem o que será feito com eles, como serão usados, compartilhados, quais dados são coletados etc.
– Processors são empresas terceiras que irão realizar o processamento dos dados de acordo com o que os controllers definiram.
A regulamentação determina expressamente que:
– o Controller só pode contratar com Processors que estejam em conformidade com a GDPR;
– o Controller pode, eventualmente, ter que rescindir seus contratos de processamento ou terceirização de qualquer tipo de tratamento de dados pessoais com empresas que não estejam em conformidade com a GDPR;
– essa causa de rescisão pode, até mesmo, ser considerada justificada, sem qualquer direito a multa ou indenização, caso esse cenário não esteja previsto no contrato, por ser medida de lei a qual o responsável está obrigado.
Uma inovação que a GDPR trouxe é não somente punir as más práticas, mas premiar as boas. – Data Privacy
No caso de incidente de segurança da informação
Existe um prazo de notificação quando ocorre um caso de um incidente de segurança da informação (destruição de dados, perdas, alteração, vazamento ou algum acesso aos dados por terceiros). Dentro de 72 horas deve-se notificar uma autoridade de proteção de dados sobre o incidente e os titulares dos dados também podem ter que ser notificados. Esse tipo de notificação é conhecido como Data Breach Notification.
O Controller é o responsável por todo e qualquer incidente e dano. O Processor somente será responsabilizado caso ele não esteja em conformidade com suas obrigações.
Como mitigar riscos?
De acordo com Bruno Bioni, atualmente é utilizada a metodologia do DPIA – Data Protection Impact Assessement (avaliação do impacto da proteção de dados) para verificar os riscos do processamento de dados em todo o seu ciclo de vida e mitigar riscos.
Ela apresenta os seguintes passos:
- mapear os fluxos de dados;
- mapear quais dados estão envolvidos;
- com quem os dados estão sendo compartilhados;
- identificação dos riscos;
- identificação de práticas para mitigar os riscos;
- geração de um plano para implementar as práticas.
Multas e penas
Todo uso indevido de dados deve ser multado (a exceção de pequenos incidentes). A pena pode chegar a até €20 milhões ou a até 4% do faturamento global da empresa.
Gostaria de entender mais a fundo?
Aproveite que o Data Privacy está com inscrições abertas para atividades mão na massa sobre a GDPR: um workshop (21/06/2018) e um curso presencial (21/07/2018 – 48 horas).
As vagas são limitadas. Maiores informações: www.dataprivacy.com.br
Sobre os especialistas:
Bruno Bioni é doutorando em Direito Comercial e Mestre com louvor em Direito Civil na Faculdade de Direito da Universidade de São Paulo. Foi study visitor do Departamento de Proteção de Dados Pessoais do Conselho da Europa (2015), pesquisador visitante no Centro de Pesquisa de Direito, Tecnologia e Sociedade da Faculdade de Direito da Universidade de Ottawa e líder de projetos no Grupo de Pesquisa em Políticas Públicas para o Acesso à Informação da Universidade de São Paulo/USP. Foi ganhador do 1° lugar do III Concurso de Monografias do Instituto Brasileiro de Política e Direito do Consumidor/Brasilcon. Atualmente é pesquisador do Rede Latino-Americana de Estudos sobre Vigilância, Tecnologia e Sociedade/LAVITS e advogado do Núcleo de Informação e Coordenação do Ponto Br/NIC.br. É também orientador na Pós-Graduação de Propriedade Intelectual e Novos Negócios da FGV-SP e professor-convidado de cursos de Direito Digital.
Renato Leite Monteiro é especialista em Proteção de Dados e Privacidade. Professor de Direito Digital e Internacional da Faculdade de Direito da Universidade Presbiteriana Mackenzie. Coordenador do Grupo de Estudos em Direito, Tecnologia e Inovação da Faculdade de Direito do Mackenzie. Doutorando em Filosofia do Direito pela Universidade de São Paulo – USP. LL.M. em Direito e Tecnologia pela New York University – NYU e pela National University of Singapore – NUS. Mestre em Direito Constitucional pela UFC. Foi study visitor do Departamento de Proteção de Dados Pessoais do Conselho da Europa e consultor do Ministério da Justiça do Brasil para o Anteprojeto de Lei de Proteção de Dados Pessoais.
Assuntos
Compartilhe