Entra hoje em vigor a GDPR, comenta Dra. Patricia Peck

25 de maio de 2018 – Entra hoje em vigor o regulamento europeu de proteção de dados

Dra Patricia Peck

A partir desta sexta-feira entra em vigor a nova regulamentação que trata da proteção de dados pessoais na União Europeia, o GDPR (General Data Protection Regulation).

 O que é

Lei regulamenta a coleta, a guarda e a retenção dos dados – nosso principal ativo da Sociedade Digital – e vale inclusive para empresas brasileiras que fazem o armazenamento ou tratamento de dados pessoais de titulares que se encontrem na União Europeia.

Acesse  também AQUI o infográfico explicativo elaborado pelo Peck Advogados.

Como funciona

A nova norma vai afetar toda companhia que possui websites e realiza negócios em um âmbito de fronteiras digitais internacionais.

“Sujeitará todo o e-commerce a um novo paradigma cultural de como as empresas tratam as bases de dados pessoais de seus clientes”, explica a Dra. Patricia Peck Pinheiro, sócia-fundadora do Peck Advogados.

O Facebook, por exemplo, anunciou que vai transferir contratos de 1,5 bilhão de usuários da Irlanda para Estados Unidos e Canadá, onde a regimentação é mais branda.

A especialista em Direito Digital avalia que os profissionais que se anteciparem, planejando e antevendo o preparo necessário para ter uma cultura de transparência e segurança digital em conformidade com as regras, são aqueles que vão se diferenciar e destacar no mercado.

“Trata-se de um novo marco legal que deveria estar no road map de todos os gestores jurídicos, de compliance e de TI das empresas com aplicações que coletam dados pessoais (de consumidores e de funcionários) como altíssima prioridade para 2018, pois pode inclusive sujeitar suspensão de operação do site em termos de ofertas e vendas para o mercado europeu enquanto não regularizar sua situação (não apenas o pagamento da multa)”.

Quais as providências a serem tomadas pelas empresas para se adequarem às novas normas

– revisão e atualização dos termos de uso e da política de privacidade do website para estar em conformidade o GDPR;

– atualização das cláusulas de contratos com clientes para tratar da coleta do consentimento dentro do novo fluxo de governança previsto pelo GDPR (que traz novos direitos dos usuários e o dever de adequar os tratamentos de dados com as finalidades);

– atualização das cláusulas de contratos com os parceiros e fornecedores que realizam algum tipo de tratamento de dados, principalmente fornecedores de soluções de gestão de informação, nuvem, monitoração, mensageria, e-mail marketing, credit scoring, big data, mídias sociais, em ações de coleta, produção, recepção, classificação, acesso, utilização, transmissão, armazenagem, processamento, eliminação, enriquecimento, dentre outros;

– mapeamento do fluxo de dados para definição da nova governança junto a TI dos controles de consentimento (ciclo de vida do dado – coleta, uso, compartilhamento, enriquecimento, armazenamento nacional ou internacional, com ou sem uso de nuvem, eliminação, portabilidade);

– elaboração do modelo de resposta para o Notice Letter do órgão de controle de dados (sobre nível de conformidade da empresa e controles auditáveis) para prevenção a aplicação de multas e fiscalizações;

– elaboração do modelo de checklist de compliance para uso da área de compras para novos fornecedores e parceiros que precisarão passar a estar em conformidade com nível GDPR para atender a empresa.

O que pode acontecer com a empresa que não cumprir o GDPR

– O descumprimento do GDPR pode resultar em multas entre € 10 e 20 milhões ou entre 2% e 4% do volume de negócios global da empresa;

– Apesar de não envolver uma penalidade prevista em lei, o descumprimento do GDPR também afetará a prestação de serviços para ou pela empresa com empresas que estejam sujeitas ao GDPR;

– A adequação ao novo regulamento acabará sendo para muitas empresas brasileiras um momento de ajuste a aspectos já previstos no Marco Civil da internet, de 2014 – entre eles a criptografia de bases de dados;

Também será uma forma de preparação para a lei de proteção de dados pessoais que está em discussão no Congresso e tem princípios semelhantes aos previstos.