pten

GDPR e os aspectos jurídicos da norma

Avalie este item
(1 Voto)
Terça, 03 Julho 2018 14:33

Entrou em vigor no último dia 25 de maio de 2018 o Regulamento Geral sobre Proteção de Dados, também conhecido pela sigla GDPR – (General Data Protection Regulation) e que substituiu o código de 1995 e o código seguinte em matéria de proteção de dados pessoais do ano de 2003 da Comunidade Europeia (CE).

CLASS

 

O respectivo regulamento vem a ser o conjunto de regras sobre a proteção e guarda de dados válido para todos os países que compõem o grupo europeu.

Desta forma, uma vez que os regulamentos da União Europeia se aplicam diretamente em todos os Estados-Membros, podemos afirmar que o GDPR prevalece sobre quaisquer leis nacionais do velho continente.

O GDPR regula a proteção de dados pessoais, ou seja, dados respeitantes às pessoas físicas e constitui efetivamente o regramento ao modo como deve ser realizado o tratamento de dados de uma pessoa física, sendo suscetível de afetar não só as empresas, mas também qualquer pessoa física, organização, autoridade pública, agência ou outro organismo que proceda ao tratamento de dados de pessoas singulares baseados na UE. Isto inclui fornecedores e outros terceiros a que a empresa recorra para o tratamento destes dados.

A referida regulamentação, também, impacta de forma direta em todos os departamentos de inúmeras empresas que possuam subsidiárias em outros países, visto que, algumas destas pessoas jurídicas poderão ter de contratar ou designar um funcionário para ser o encarregado da proteção de dados. Por certo, que a maior parte das empresas necessitarão implementar práticas atualizadas e salvaguardar as suplementares. Para tanto, recomenda-se a realização de uma auditoria por especialistas na área, para que as empresas possam enxergar de que forma se encontram neste novo momento técnico e legal. Ou seja, urge que as empresas façam e/ou renovem suas análises de riscos cibernéticos em operações que haja a demanda de proteção à dados cadastrais pessoais. Também se entende que corporações que não possuem em seus quadros, pessoal qualificado e/ou disponível para assumir o que é demandado pelo GDPR, estas devem terceirizar a mão de obra com prestadores de serviços especializados. Até mesmo porque se designarem direta e internamente a seus colaboradores, terão que pagar as verbas trabalhistas referentes ao acúmulo de função.

Ao tratar da natureza dos dados, o GDPR os define como sendo aqueles sensíveis e que estejam sujeitos a condições específicas de tratamento, nomeadamente direitos e decisões automatizadas, a exemplo, dos dados biométricos, dos dados relativos à saúde e dados genéricos.

Neste sentido, preocupado com a dimensão destes dados o regulamento determina a nomeação corporativa de um Encarregado de Proteção de Dados o qual terá o papel de controlar os processos de segurança visando garantir a proteção de dados da empresa em seu dia a dia, a realização de auditorias internas, a elaboração de uma política de tratamento de dados pessoais, a criação de procedimentos que garantam a proteção dos mesmos, a elaboração de comunicados sobre privacidade, a preparação de procedimentos de resposta a solicitações dos titulares dos dados e a manutenção da documentação apropriada como evidência de todo o processo, sendo certo que, esse colaborador encarregado pode ser funcionário direto ou até de uma empresa terceirizada.

Caso a empresa opte em realizar a subcontratação para este serviço, o regulamento obriga que este terceiro garanta possuir todas as autorizações dos responsáveis pelo tratamento de dados. Desta forma, os contratos de subcontratação terão de ser revistos para que nele constem um conjunto de informações, objetivando a proteção da informação dos titulares de dados que é frequentemente tratada por várias entidades sem que os respetivos titulares tenham conhecimento.

Na qualidade de regulador, o GDPR não poderia deixar de tratar de forma específica dos Processos de Segurança da Informação e Tratamento de Dados e neste quesito, o regulamento obriga a empresa a possuir um rígido controle dos riscos associados a possíveis incidentes, tais quais roubo e/ou furto de informação. Tais controles de riscos deverão ser garantidos por medidas de segurança efetivas que de fato garantam a confidencialidade, a integridade dos dados e que não permitam ou pelo menos previnam uma destruição, perda, alterações acidentais ou ilícitas ou, ainda, a divulgação e a cessão não autorizado dos respectivos dados.

O GDPR, também, salienta que para projetos futuros as empresas também são obrigadas a realizar com antecedência uma avaliação rígida acerca do tratamento de dados e seus impactos na respectiva proteção adotando, para tanto, medidas que visem mitigar os riscos. 

A regulamentação esclarece e determina, ainda, às empresas que caso uma pessoa jurídica sofra ou possua qualquer tipo de vulnerabilidade na segurança tecnológica e que esse incidente resulte na exposição de dados pessoais por ela armazenados, ficam as mesmas obrigadas a notificar seus usuários e a autoridade nacional (órgão que atua como agência reguladora para questões de dados pessoais, comum na maior parte dos países que já possuem leis com o mesmo tema) em menos de 72 horas. A exceção a esta regra de 72 horas só é aplicada, nos casos em que o vazamento de dados ocorrido não coloque em risco os direitos e a liberdade das pessoas envolvidas.

Caso às empresas descumpram a regra da notificação ou qualquer outra por ela determinada, é determinado pelo GDPR a aplicação pela autoridade nacional de multas que vão de 10 milhões de euros ou 2% do faturamento anual (dependendo do que for maior), até 20 milhões de euros, ou 4% do faturamento anual. 

A “Prova de Conformidade” também está regulamentada pelo GDPR. Para o regulamento, cumprir por cumprir a legislação não é o bastante, por isso determinou que as empresas precisam provar à agencia reguladora que de fato implementaram as regras no que diz respeito à responsabilidade civil do GDPR. Percebe-se então que as empresas precisam provar que de fato realizaram e realizam ações técnicas que visam assegurar a conformidade dos requisitos que endereçam a retenção de registros.  E neste aspecto, vale aqui destacar que as empresas que possuem em seus quadros mais de 250 trabalhadores ou ainda aquelas que empreguem menos, mas que de uma forma ou de outra onde o tratamento de dados seja suscetível à geração de risco aos direitos e liberdades das pessoas físicas, não seja ocasional ou atinja dados privados, a exemplo da saúde, religião ou orientação sexual, devem ser estes registros mantidos de maneira que detalhem as atividades de tratamento e os requerimentos de acesso a esses dados feitos unicamente pelo seu titular. Devem ser reportadas violações de dados ocorridas, de que forma os consentimentos foram obtidos e também relatórios com avaliações sobre o impacto da perda de privacidade.

Assim sendo, mais uma vez podemos observar que esses requisitos afetam as empresas terceirizadas ou os próprios funcionários das empresas que foram selecionados para serem responsáveis pelo tratamento de dados pessoais em nome da corporação.

No que diz respeito à privacidade, o regulamento ressalta que as medidas técnicas e organizacionais trazidas no corpo da legislação devem ser aplicadas e postas em prática por toda a vida útil dos dados pessoais ora coletados, visto que, correspondem às expectativas de privacidade do usuário; o GDPR denomina essa privacidade como o princípio da “privacidade desde a concepção”, logo, todas as considerações a respeito da privacidade devem ser incorporadas pela empresa em todos os aspectos do tratamento, desde o seu início.

Por outro lado, o regulamento uma vez que tratou da privacidade desde a concepção, também achou por bem tratar e obrigar as empresas a dar tratamento aos dados pessoais destinados única e exclusivamente necessários a uma finalidade, o que podemos entender segundo o regulamento de “algo escolhido como minimização de dados ou “Privacidade por Defeito”.

Por certo não podemos deixar de aceitar que a implementação de ambas privacidades, tanto a desde a concepção quanto à por defeito, implicarão às empresas uma formação constante, realização de auditorias regulares, bem como a implementação de medidas técnicas e organizacionais de segurança física e lógica.

Quanto a sua aplicação, o GDPR é amplamente aplicado, incluindo todos os estados-membros da União Europeia, bem como o Reino Unido pós-Brexit em 2019, pois será incorporado na legislação deste país. Contrariando às regras de proteção de dados pessoais estabelecidas pela Diretiva 95/46/CE, o regulamento afeta também quaisquer empresas estabelecidas fora da UE que ofereçam bens ou serviços a pessoas singulares na UE ou que supervisionem o seu comportamento na UE. Desta forma, o regulamento em seu artigo 3.º determina que a sua regra de aplicação do tratamento de dados pessoais efetue-se no contexto das atividades de um estabelecimento, de um terceiro responsável pelo tratamento ou de um subcontratante situado no território da União Europeia, deverá acontecer independentemente de esse tratamento ocorrer dentro ou fora da União.

Já em seu artigo 4.º, o GDPR traz suas definições que neste momento, chamamos atenção para a definição referente ao “tratamento”, onde nesta oportunidade o definiu como sendo uma operação efetuada sobre dados pessoais, por meios automatizados ou não automatizados, tais como a coleta, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação e a destruição de qualquer informação relativa a uma pessoa física identificada ou identificável.

Destaca-se que ao contrário do que muitos podem imaginar, mas o GDPR também é aplicado ao tratamento de dados pessoais de titulares residentes no território da União Europeia, estejam estes localizados fisicamente dentro ou fora da União, que venha a ser feito por alguém que não esteja localizado na União, quando as atividades de tratamento estiverem relacionadas à oferta de bens ou serviços a esses titulares de dados pessoais, tais como, vendas online por meio de uma plataforma de e-commerce, direcionamento de anúncios publicitários veiculados em uma rede social, prestação de serviço de cloud computing e uma infinidade de atividades proporcionadas, sobretudo, por aplicações de Internet.

Portanto, se uma empresa brasileira, no âmbito da oferta de bens ou serviços, ainda que fornecidos gratuitamente, faz o tratamento de dados pessoais de um cidadão de um país da União Europeia, que esteja localizado fisicamente no Brasil, ficará essa empresa sujeita às normas da GDPR e às penalidades aplicáveis que podem incluir multas de até €20 milhões ou 4% do faturamento global anual da empresa.

Alguns pontos do regulamento merecem destaque, e nesse contexto, trazemos o ora estabelecido no art. 7.º, que trata do consentimento “livre” e o fim da obrigatoriedade do consentimento. Até que o GDPR entrasse em vigor todo usuário era obrigado a concordar com as políticas e termos de uso das empresas que iam muito além do que era efetivamente necessário, para que o funcionamento do serviço pretendido fosse alcançado pelo usuário. Isso porque determinadas empresas condicionavam o seu acesso ao serviço com a anuência destas políticas e termos.

Com o advindo do GDPR, as empresas ficam obrigadas a não mais condicionar ou forçar que o usuário dê o seu consentimento para que haja a coleta e uso de seus dados para além do que realmente necessita o respectivo serviço. Logo, o acesso do usuário a determinado serviço não pode mais depender deste consentimento, gerando um maior controle do usuário e coibindo abusos.

Outros pontos que merecem destaque no regulamento dizem respeito ao Direito ao esquecimento, ou, o “direito de ser esquecido”, regulamentado no artigo 17 e o do direito da portabilidade, em seu artigo 20, onde, o regulamento estabelece que os usuários titulares de dados podem levar seus dados de um serviço para o outro.

No Brasil encontra-se em trâmite no Congresso Nacional o PL 5.276/2016 e PLS 330/2013, os quais ao que tudo indica, devem seguir as mesmas bases do GDPR, inclusive quanto à abrangência do conceito de dado pessoal, complementando o Marco Civil da Internet que não o define da forma que o regulamento o trata.

Uma coisa é certa: O GDPR alterará todo paradigma acerca do tratamento e segurança de dados pessoais feito por empresas ao redor do mundo, seja oferecendo produtos ou serviços seja, realizando monitoramento de usuários. Assim sendo, resta prioritário aos gestores jurídicos, de compliance e de TI, estarem antenados com o respectivo regulamento, visto que, o mesmo possui a aplicação de sanções e multas com valores expressivos e até suspensão de operações eletrônicas (via internet).

Especificamente no que tange às infraestruturas críticas, ambientes de automação industrial contemplados por sistemas supervisórios de controle de processos e aquisição de dados (SCADA) podemos dizer que o GDPR também se aplica. Vejamos o caso prático, por exemplo, de uma empresa distribuidora de energia elétrica e seu departamento de Engenharia / Telemetria cujo verifica oscilações e consumo podendo chegar até o medidor das casas das pessoas. Certamente os medidores estarão atrelados a um nome, CPF, RG, endereço, etc. São informações sensíveis e que devem estar protegidas de roubo e furto.

Por fim e não menos importante, devemos destacar que o GDPR é o instrumento que corresponde a mais dura reação contra à espionagem e roubo de informações.

Leonardo Cardoso é diretor da TI Safe.

Dra. Ana Paula de Moraes é sócia fundadora do De Moraes Advocacia e advogada especialista em Direito Digital.

Lido 510 vezes Última modificação em Terça, 03 Julho 2018 14:39

Copyright © 2007-2018 - TI Safe Segurança da Informação - Todos os direitos reservados.