Entra hoje em vigor a GDPR, comenta Dra. Patricia Peck
25 de maio de 201825 de maio de 2018 – Entra hoje em vigor o regulamento europeu de proteção de dados
A partir desta sexta-feira entra em vigor a nova regulamentação que trata da proteção de dados pessoais na União Europeia, o GDPR (General Data Protection Regulation).
O que é
Lei regulamenta a coleta, a guarda e a retenção dos dados – nosso principal ativo da Sociedade Digital – e vale inclusive para empresas brasileiras que fazem o armazenamento ou tratamento de dados pessoais de titulares que se encontrem na União Europeia.
Acesse também AQUI o infográfico explicativo elaborado pelo Peck Advogados.
Como funciona
A nova norma vai afetar toda companhia que possui websites e realiza negócios em um âmbito de fronteiras digitais internacionais.
“Sujeitará todo o e-commerce a um novo paradigma cultural de como as empresas tratam as bases de dados pessoais de seus clientes”, explica a Dra. Patricia Peck Pinheiro, sócia-fundadora do Peck Advogados.
O Facebook, por exemplo, anunciou que vai transferir contratos de 1,5 bilhão de usuários da Irlanda para Estados Unidos e Canadá, onde a regimentação é mais branda.
A especialista em Direito Digital avalia que os profissionais que se anteciparem, planejando e antevendo o preparo necessário para ter uma cultura de transparência e segurança digital em conformidade com as regras, são aqueles que vão se diferenciar e destacar no mercado.
“Trata-se de um novo marco legal que deveria estar no road map de todos os gestores jurídicos, de compliance e de TI das empresas com aplicações que coletam dados pessoais (de consumidores e de funcionários) como altíssima prioridade para 2018, pois pode inclusive sujeitar suspensão de operação do site em termos de ofertas e vendas para o mercado europeu enquanto não regularizar sua situação (não apenas o pagamento da multa)”.
Quais as providências a serem tomadas pelas empresas para se adequarem às novas normas
– revisão e atualização dos termos de uso e da política de privacidade do website para estar em conformidade o GDPR;
– atualização das cláusulas de contratos com clientes para tratar da coleta do consentimento dentro do novo fluxo de governança previsto pelo GDPR (que traz novos direitos dos usuários e o dever de adequar os tratamentos de dados com as finalidades);
– atualização das cláusulas de contratos com os parceiros e fornecedores que realizam algum tipo de tratamento de dados, principalmente fornecedores de soluções de gestão de informação, nuvem, monitoração, mensageria, e-mail marketing, credit scoring, big data, mídias sociais, em ações de coleta, produção, recepção, classificação, acesso, utilização, transmissão, armazenagem, processamento, eliminação, enriquecimento, dentre outros;
– mapeamento do fluxo de dados para definição da nova governança junto a TI dos controles de consentimento (ciclo de vida do dado – coleta, uso, compartilhamento, enriquecimento, armazenamento nacional ou internacional, com ou sem uso de nuvem, eliminação, portabilidade);
– elaboração do modelo de resposta para o Notice Letter do órgão de controle de dados (sobre nível de conformidade da empresa e controles auditáveis) para prevenção a aplicação de multas e fiscalizações;
– elaboração do modelo de checklist de compliance para uso da área de compras para novos fornecedores e parceiros que precisarão passar a estar em conformidade com nível GDPR para atender a empresa.
O que pode acontecer com a empresa que não cumprir o GDPR
– O descumprimento do GDPR pode resultar em multas entre € 10 e 20 milhões ou entre 2% e 4% do volume de negócios global da empresa;
– Apesar de não envolver uma penalidade prevista em lei, o descumprimento do GDPR também afetará a prestação de serviços para ou pela empresa com empresas que estejam sujeitas ao GDPR;
– A adequação ao novo regulamento acabará sendo para muitas empresas brasileiras um momento de ajuste a aspectos já previstos no Marco Civil da internet, de 2014 – entre eles a criptografia de bases de dados;
Também será uma forma de preparação para a lei de proteção de dados pessoais que está em discussão no Congresso e tem princípios semelhantes aos previstos.