Não é mais novidade que as atividades de processamento de dados pessoais, sobretudo aquelas voltadas ao monitoramento do comportamento dos usuários, passarão a integrar, em breve, o ponto central de grande parte dos modelos de negócio. O processamento de dados pessoais, contudo, seja por uma grande corporação do setor de TI seja pela portaria de um prédio comercial, suscita diversas questões que exigem um certo grau de regulamentação.
Em virtude do aumento exacerbado da quantidade de dados coletados e, ainda, da evolução dos mecanismos de análise automatizada de tais dados, a União Europeia aprovou há algum tempo uma nova Regulamentação Geral de Proteção de Dados Pessoais (GDPR), que impõe uma reformulação considerável no panorama regulatório de proteção de dados pessoais na Europa.
O GDPR, que substitui a Diretiva Europeia de Dados Pessoais de 1995 e entra em vigor no dia 25 de maio de 2018, ampliou, por outro lado, o escopo territorial da regulamentação, e agora possui um alcance global: aplica-se tanto às atividades de processamento de dados pessoais de empresas estabelecidas na União Europeia, quanto às companhias localizadas no exterior que ofertem serviços ou produtos aos cidadãos europeus ou que monitorem indivíduos situados em países da União Europeia, por exemplo, para fins de mídia programática.
As empresas brasileiras que se enquadram em tal definição devem se atentar e seguir as normas do GDPR, incluindo, dentre outras (i) possuir um Data Protection Officer e apontar um representante na União Europeia; (ii) obter o consentimento livre, expresso, informado e específico do titular dos dados; (iii) notificar o usuário em até 72 horas no caso de vazamento dos dados pessoais; e (iv) permitir que o titular dos dados pessoais controle os seus próprios dados.
Além de tais regras, é importante ressaltar que o GDPR impactará, também, as empresas brasileiras que não estão a ele sujeitas, pois, de acordo com a nova regulamentação, as empresas europeias só podem transferir dados pessoais de seus usuários a países que possuam um marco regulatório similar àquele existente na União Europeia, o que não é o caso do Brasil atualmente.
Fato é que as empresas brasileiras devem analisar o escopo do GDPR e, se necessário, cumprir as regras ali contidas, sob pena de se sujeitarem às penalidades contidas na regulamentação.
