O General Data Protection Regulation (GDPR) - Regulamento Geral de Proteção de Dados foi aprovado pelo Conselho Europeu em abril de 2016 e começou a ser executado em 25 de maio de 2018. O referido regulamento substituiu a Diretiva nº 95/46 CE de 1995.
O Regulamento indicado deve ser respeitado por todos os Estados-membros da União Europeia. Salienta-se que o GDPR traz previsões tanto para as entidades que tratam e coletam dados pessoais quanto para os usuários titulares de dados.
O GDPR traz ainda, mudanças para o público, para as empresas e para os órgãos que armazenam e lidam com as informações pessoais dentro e fora da UE.
O que é o GDPR e qual o contexto de elaboração?
A elaboração do GDPR surge em um contexto de globalização e de crescente utilização das Tecnologias de Informação e Comunicação – TIC’s, que, ao mesmo tempo em que interligam os territórios, possibilitam reuniões à distância, aproximam os Estados e as pessoas, os deixam vulneráveis e expostos.
A exposição acontece na medida em que ocorrem vazamentos de dados e de informações presentes em cadastros de órgãos públicos e de empresas.
O modo de vida atual gira em torno das redes e dos avanços das tecnologias. São produzidas informações diariamente que, por sua vez, são inseridas nos bancos de dados de órgãos públicos e de empresas.
Efetua-se compras na internet; utiliza-se aplicativos para acessar contas bancárias, realizar transferências; troca-se informações e conversas por redes sociais; reserva-se hotéis pelas plataformas digitais, entre outros.
Resta claro, que muitos indivíduos encontram-se excluídos dos avanços e das facilidades proporcionados pela tecnologia, por questões sociais, informacionais, financeiras, entre outros, fenômeno difundido como exclusão digital.
Os próprios órgãos públicos possuem diversos registros de dados pessoais armazenados no meio digital. Por questões de segurança, os dados pessoais e as informações são armazenadas na rede.
De fato é realmente mais seguro salvar tais informações nas nuvens, do que deixar apenas em arquivos físicos, em CDs, em pen drive ou em computadores. Entretanto, a ocorrência de diversos vazamentos de dados de organizações tem violado a privacidade e a intimidade dos indivíduos.
Tem-se um verdadeiro paradoxo, se arquiva dados e informações no meio digital, com o intuito de que sejam protegidos e resguardados, contudo, tais dados e informações têm sido acessados por pessoas não autorizadas - hackers.
Portanto, torna-se necessário proteger a privacidade das pessoas e garantir a segurança das informações, impedindo que exista identificação e discriminação dos indivíduos, bem como, o acesso não autorizado a informações sigilosas.
Em 2009, a Comissão Europeia percebeu que, em razão do rápido avanço e desenvolvimento da tecnologia seria necessário alterar a regulamentação existente.
Assim, foram introduzidos estudos focados no impacto das novas tecnologias; na ausência de harmonia entre os Estados-membros; na globalização e na internacionalização das transferências de dados; na necessidade de efetivar o cumprimento dos dados e na diminuição da fragmentação de dados.
Em 2012 foi proposto o GDPR pela Comissão Europeia. Os quatro anos seguintes foram de intensas negociações entre o Parlamento Europeu e o Conselho da União Europeia, sendo publicada a versão final em 2016.
O GDPR é o novo regulamento de direito europeu referente à proteção de dados pessoais e a privacidade. O respectivo regulamento prevê direitos aos sujeitos que possuem dados sendo processados, bem como, disciplina obrigações de operadores e controladores de dados.
Além disso, o que se deve saber sobre o GDPR é que o referido revisa as regras sobre transferência internacional de dados; indica multas; estabelece um regime regulatório que ultrapassa as fronteiras geográficas da UE; positiva novos direitos aos usuários – direito ao acesso – art. 15; direito à portabilidade de dados – art. 20 e o direito ao esquecimento – art. 17.
Princípios e definições no GDPR
Cabe apontar que o GDPR busca garantir diversos princípios, como o princípio da licitude, da lealdade e da transparência (Lawfulness, Fairness & Transparency); o princípio da adequação e limitação da finalidade (Purpose Limitation); o princípio da necessidade ou minimização (Data Minimisation).
Outrossim, objetiva garantir o respeito ao princípio da qualidade dos dados ou exatidão (Accuracy); ao princípio da limitação da conservação (Storage Limitation); o princípio da segurança, integridade e confidencialidade (Integrity and Confidentiality) e ao princípio da prestação de contas ou responsabilização (Accountability).
Segundo Patrícia Peck Pinheiro (2018) o GDPR busca proteger direitos fundamentais, como a privacidade, a liberdade, a segurança e promover o progresso econômico e social dos países.
No GDPR a política de privacidade torna-se obrigatória, nela devem estar contidas informações de como os dados são usados, armazenados, quem tem acesso, entre outros.
No que se refere à territorialidade, válido indicar que o referido regulamento aplica-se ao tratamento de dados pessoais realizados pelo controlador ou pelo processador localizado dentro do território da União Europeia, independentemente do tratamento ter sido realizado dentro ou fora da União.
Assim, pode-se perceber que a GDPR se aplica aos indivíduos – cidadãos europeus ou não – que residam em países que fazem parte da União Europeia, ainda que tais indivíduos não estejam localizados fisicamente na UE.
Aplica-se ainda, aos indivíduos que somente se encontrem de passagem na UE. Objetiva-se proteger todos os indivíduos que tiverem seus dados coletados por empresas, bem como, instituições, que realizem a transferência de dados com organizações europeias.
Dessa forma, as empresas privadas e as empresas públicas brasileiras que mantenham relacionamento com indivíduos ou parceiros europeus, precisam se adequar as disposições previstas no GDPR.
No art. 4º do GDPR são delimitadas as principais definições de termos utilizados no documento, entre elas cabe indicar:
Personal data – dados pessoais – pode ser entendido como qualquer informação relacionada a uma pessoa física identificada ou identificável.
A pessoa identificável é aquela que pode ser identificada por nome; número de identificação; dados de localização; elementos da identidade física, econômica, entre outros.
Processing – processamento – está relacionado com qualquer operação ou conjunto de operações executadas em dados pessoais, ainda que não sejam automatizados, como coleta, registro e organização.
Restriction of processing – restrição de processamento – se refere à marcação de dados pessoais armazenados com o intuito de limitar o processamento no futuro.
Profiling – criação de perfil de usuário – pode ser entendida como qualquer forma de processamento automatizado de dados pessoais que se baseia na utilização de dados pessoais para avaliar certos aspectos pessoais referentes a pessoa singular – trabalho, saúde, preferências pessoais, entre outros.
Pseudonymization – pseudonimização – se refere ao processamento de dados pessoais de maneira que os dados pessoais não podem ser atribuídos a um titular de dados específico sem o uso de informações adicionais.
Filing system – sistema de arquivamento – está relacionado com qualquer conjunto estruturado de dados pessoais que seja acessível com base em critérios específicos, centralizados, descentralizados ou dispersos de acordo com critérios geográficos ou funcionais.
LGPD x GDPR
A LGPD brasileira foi inspirada no regulamento europeu GDPR. Preliminarmente, cabe informar que tanto a LGPD quanto a GDPR se aplicam às entidades públicas e privadas que tratam dados de pessoas.
Entre as semelhanças, pode-se indicar que ambas são norteadas por princípios. A LGPD possui princípios elencados no art. 6º e o GDPR prevê princípios no art. 5º. Embora a nomenclatura dos princípios seja diferente, os significados são praticamente idênticos.
De acordo com o GDPR a empresa tem até 72h para notificar a quebra de sigilo. A LGPD brasileira não estabelece nenhum prazo limite para que seja notificada a quebra de sigilo.
O consentimento estabelecido na LGPD foi inspirado no GDPR. Para tanto, com base na LGPD, o consentimento deve ser praticado pela pessoa natural titular dos dados ou pelo seu responsável legal e deve ser expressado de forma evidente e inequívoca, por escrito ou não.
Em ambas o consentimento do usuário deve ser livre, ou seja, o usuário deve ter controle do uso de seus dados pessoais, ou seja, deve poder escolher quais dados quer fornecer. Além disso, o usuário deve poder retirar seu consentimento a qualquer momento.
A punição para as empresas que descumprirem a LGPD varia de acordo com a gravidade da infração cometida. As multas podem chegar até R$ 50 milhões. O GDPR europeu já atingiu US $ 126 milhões em multas por privacidade de informações.
Com relação ao tratamento de dados, cabe informar que pode ser entendido como toda operação executada com dados pessoais, relacionada com a coleta, a classificação, o processamento, o armazenamento, a eliminação, a modificação, a transferência, entre outros.
No que se refere ao tratamento de dados sensíveis, de acordo com a legislação europeia GDPR, indica-se que os dados sensíveis merecem proteção especial e não devem passar por tratamento de dados, ressalvadas as situações de cumprimento de obrigação legal ou exercício de funções de interesse público.
Com base na LGPD o tratamento de dados sensíveis pode acontecer apenas se o titular autorizar, em determinadas situações, ou quando os dados indicados forem indispensáveis para o cumprimento de obrigação legal pelo controlador, para o exercício regular de direitos e para a proteção da vida do titular ou de terceiros.
O GDPR não autoriza o uso compartilhado de dados. Já na LGPD o poder público pode compartilhar dados pessoais, desde que o faça para atender finalidades de políticas públicas ou atribuições de órgãos públicos.
Assim, pode-se perceber que embora seja um avanço a elaboração da LGPD, a GDPR é mais detalhada e mais rigorosa do que a LGPD.
