Com a chegada do dia 1º de agosto, agentes de tratamento de dados já podem ser autuados e multados pelo descumprimento às normas da LGPD. Assim, atender às disposições da LGPD deve ser obrigação de todas as pessoas naturais ou jurídicas, sejam elas de direito público ou privado, que tratam dados pessoais.
Grande parte das empresas brasileiras já vêm se adequando à legislação vigente no Brasil, aproveitando as diversas oportunidades que esta adequação pode proporcionar. No entanto, muitas empresas acabam não se atentando ao fato de que também podem estar sujeitas às leis de proteção de dados de outros países, tais como Estados Unidos e países na Europa.
É certo que empresas multinacionais estão sujeitas a mais de uma lei de proteção de dados, no entanto, empresas pequenas e de médio porte também podem se encontrar nesta situação. Isto porque empresas que tenham atuação internacional, ainda que mínima, devem observar as leis que protegem cidadãos estrangeiros.
Portanto, o propósito deste artigo é integrar a série de artigos da RMSA sobre proteção de dados e destacar a imprescindibilidade das empresas de observarem não somente a legislação nacional, mas também as leis de proteção de dados estrangeiras.
Leis estrangeiras
Os Estados Unidos não possui lei federal acerca do tema, no entanto, isto não significa que a proteção de dados não deve ser observada, é justamente o oposto. No Estados Unidos há uma gama complexa de leis específicas à diversos setores, incluindo leis e regulamentos que tratam de telecomunicações, informações de saúde, informações de crédito, instituições financeiras e marketing.
Adicionalmente, além das leis de privacidade setoriais, os EUA estão passando por um grande processo de transição visando promover a legislação de privacidade de dados à nível estadual. Dentre as legislações estaduais mais abrangentes encontramos o California Consumer Privacy Act (CCPA) e o New York SHIELD Act, que visam proteger de forma abrangente os residentes destes estados, onde quer que seus dados sejam coletados.
O CCPA é a legislação estadual de privacidade de dados mais abrangente dos EUA até hoje. Trata-se de legislação intersetorial que apresenta definições importantes e amplos direitos individuais do consumidor e impõe deveres substanciais a entidades ou pessoas que coletam informações pessoais sobre ou de um residente da Califórnia.
O SHIELD Act, por sua vez, alterou a lei existente de notificação de violação de dados de Nova York e criou mais requisitos de segurança de dados para empresas que coletam informações sobre residentes de Nova York. Esta lei ampliou o escopo da privacidade de dados de consumidores e ofereceu maior proteção para os residentes de Nova York contra violações de dados de suas informações pessoais.
A complexidade das leis de privacidade estaduais e federais nos EUA torna difícil a tarefa de resumi-las em somente um artigo, no entanto, empresas brasileiras com atuação nos Estados Unidos devem estar atentas, isto porque podem estar sujeitas à estas leis.
Assim, a análise da legislação americana deve ser feita caso a caso, com observância às particularidades de cada empresa, levando em consideração abrangência da operação da empresa, seus consumidores, e especialmente os dados que são coletados, para qual finalidade existe esta coleta e as formas de tratamento existentes.
Por sua vez, a legislação europeia acerca do assunto é uniformizada e possivelmente uma das legislações mais relevantes a respeito do assunto. A GDPR é a lei de privacidade de dados da União Europeia (UE) que entrou em vigor em 25 de maio de 2018. Ela foi projetada para conferir aos indivíduos maior controle sobre como seus dados são coletados, usados e protegidos online. Ela também vincula as organizações a novas regras estritas sobre o uso e a proteção dos dados pessoais coletados, incluindo o uso obrigatório de salvaguardas técnicas como criptografia e limites legais mais elevados para justificar a coleta de dados. As organizações que não cumprirem o texto da lei podem enfrentar pesadas penalidades de até 4% de sua receita anual global ou 20 milhões de euros, o que for maior.
A GDPR é provavelmente a lei de privacidade e segurança de dados mais rígida do mundo, e a que mais inspirou outras jurisdições a criarem suas próprias leis, inclusive a nossa própria LGPD. A GDPR em si é extensa, bastante abrangente e pouco detalhada, o que torna a conformidade com a lei uma perspectiva intimidante, especialmente para pequenas e médias empresas (PMEs).
As multas previstas na GDPR foram criadas para tornar a não conformidade um erro caro para empresas grandes e pequenas. Qualquer empresa que não esteja em conformidade com a GDPR, independentemente de seu tamanho, enfrenta uma responsabilidade significativa. Assim, entende-se que a GDPR foi projetada para ser aplicada a todos os tipos de empresas, desde multinacionais até microempresas.
A título de exemplo, as infrações menos graves podem resultar em uma multa de até 10 milhões de euros, ou 2% da receita anual da empresa em todo o mundo do ano financeiro anterior, o que for mais alto. Já as infrações mais graves, que vão contra os próprios princípios do direito à privacidade e do direito ao esquecimento (foco central da GDPR), podem resultar em uma multa de até 20 milhões de euros, ou 4% da receita anual da empresa em todo o mundo do ano financeiro anterior, o que for mais alto.
Aplicabilidade da GDPR para empresas fora da UE
Diversas empresas questionam o porquê da importância da lei estrangeira, sendo que a empresa está sediada em território brasileiro. É justamente neste ponto que reside o equívoco de muitas empresas, que podem acabar sendo autuadas pelas autoridades europeias pelo descumprimento da GDPR.
Basicamente, o artigo 3º da GDPR determina que se a empresa processa dados pessoais de cidadãos ou residentes da União Europeia, ou oferece bens ou serviços a estas pessoas, a GDPR é aplicável mesmo se a empresa não estiver localizada na União Europeia.
No que diz respeito ao oferecimento de bens ou serviços, as autoridades europeias procuram evidências práticas para determinar se a empresa se propôs a oferecer bens e serviços a pessoas na União Europeia. Por exemplo, uma empresa localizada no Brasil que veicula anúncios em países da Europa, ou até mesmo inclui preços em euro em seu site, deve observar e cumprir as regras da GDPR. Assim, se a empresa não está na União Europeia, mas atende clientes da UE, ela deve se esforçar para cumprir o previsto na GDPR.
Ainda, o monitoramento de comportamento também está sujeito às regras da legislação europeia. Se uma empresa utiliza ferramentas da web que permitem o rastreamento de cookies ou de endereços IP de pessoas de países da UE que visitam seu site, a empresa se enquadra no escopo da GDPR.
Inclusive, uma das primeiras autuações com base na GDPR emitida pelo Gabinete do Comissário de Informação do Reino Unido (ICO) foi contra uma empresa canadense. A empresa canadense AggregateIQ (AIQ) utiliza dados para direcionar anúncios online aos eleitores durante as votações públicas. A empresa recebeu a intimação acerca da autuação que declarava que ela deveria cessar o processamento de quaisquer dados pessoais de cidadãos da UE para fins de análise de dados, campanha política ou quaisquer outros fins publicitários. O ICO constatou que a GDPR se aplicava à empresa porque ela processava dados pessoais relacionados ao monitoramento do comportamento dos titulares dos dados na UE.
O que fazer?
Em suma, se é possível que seus negócios podem estar sujeitos às leis estrangeiras, o ideal é procurar um profissional experiente na área, a fim de verificar quais medidas devem ser tomadas.
Dentre as medidas mais comuns, e que recomendamos desde logo, é a nomeação de um Data Privacy Officer (DPO), figura existente tanto na LGPD (denominado pela lei como “encarregado”) quanto na GDPR. De forma geral, este profissional é um especialista em proteção de dados e monitora as práticas da empresa para garantir que elas estejam em compliance com as regras e boas práticas do setor. Ele também é responsável por intermediar os interesses da empresa (controlador) e do titular dos dados.
No entanto, a determinação de contratar (ou não) um DPO é somente um dos vários passos essenciais para se adequar às regras de proteção de dados. Ainda, destacamos que a adequação às normas de proteção de dados não se trata somente de riscos, mas também de oportunidades.
Os advogados da RMSA são especialistas na área de Direito Digital, Privacidade de Dados e Direito Internacional e podem prestar todo o apoio necessário às empresas neste processo de transição e adequação.
