Quando dados pessoais são processados quem é o responsável final por demonstrar conformidade com o GDPR?

Por Ana Lara Mangeth, Beatriz Nunes e Eduardo Magrani*

O Regulamento Geral de Proteção de Dados (GDPR) tem por objetivo reforçar e unificar a proteção de dados pessoais na União Europeia (UE), adaptando seus princípios a um mundo que cada vez mais depende da coleta e do tratamento de dados pessoais, na Internet e fora dela, substituindo assim a antiga Diretiva 95/46 CE, de 1995. Foi aprovado pelo Conselho Europeu em abril de 2016, e será executável a partir de 25 de maio de 2018, tendo sido concedido o período de dois anos para adequação às mudanças implementadas. Por ser um Regulamento, é diretamente aplicável a todos os estados membros da UE, ao contrário da antiga diretiva. Portanto, o Regulamento vincula toda e qualquer organização que ofereça bens ou serviços que coletem dados pessoais relacionados à UE.

O GDPR traz previsões importantes a serem observadas, não apenas pelas entidades que coletam e tratam dados pessoais (estejam elas dentro ou fora da UE), mas também pelos usuários titulares dos dados. O consentimento do titular de dados, por exemplo, passa a figurar como elemento principal para autorizar a coleta e tratamento de dados, devendo ser inequívoco e envolver sempre uma postura assertiva. Caso isto seja descumprido, o GDPR prevê de maneira clara a possibilidade de responsabilização daqueles que realizarem a coleta inadequadamente.

Ao mesmo tempo, outro elemento amplamente discutido é o poder concedido às autoridades fiscalizadoras para aplicar sanções a quem descumprir o GDPR. As consequências financeiras mais graves podem gerar multas de até € 20 milhões, ou 4% do valor global da empresa. Para monitorar isso, o Regulamento mantém as autoridades públicas já instituídas pela Diretiva, as DPA’s (em inglês, Data Protection Authorities ou, em português, Autoridades de Proteção de Dados), que ficam encarregadas de supervisionar a aplicação das regras, sendo uma para cada Estado Membro da UE. Além disso, insere a figura do DPO (em inglês, Data Protection Officer ou, em português, Diretor de Proteção de Dados), profissional encarregado de prestar contas sobre a atividade da entidade em que se encontra filiado, através da avaliação de possíveis impactos aos titulares de dados, entre outros.

Essas e outras mudanças são colocadas pelo GDPR como forma de certificação do comprometimento por parte das organizações durante a realização da atividade. O objetivo é reduzir os riscos de abusos na coleta, no tratamento, uso e transferência de dados. Para isso, uma série de princípios orientam a conduta a ser adotada. Veremos a partir de agora alguns dos principais pontos contidos no Regulamento.

1. UM REGULAMENTO NORTEADO POR PRINCÍPIOS

Os princípios garantidos pelo GDPR são: princípio da licitude, lealdade e transparência (Lawfullness, Fairness & Transparency); princípio da adequação e limitação da finalidade (Purpose Limitation); princípio da necessidade ou minimização (Data Minimisation); princípio da qualidade dos dados ou exatidão (Accuracy); princípio da limitação da conservação (Storage Limitation); princípio da segurança, integridade e confidencialidade (Integrity and Confidentiality), princípio da prestação de contas ou responsabilização (Accountability). Estes princípios norteadores serão diretamente aplicáveis, a partir de maio de 2018, independentemente de internalização por parte dos Estados Membros através da lei nacional.

Como novidades que não constavam na Diretiva 95/46, destacam-se aqui os princípios da necessidade ou minimização e Accountability. O princípio da minimização prevê que os dados pessoais devem ser adequados, pertinentes e limitados em relação aos fins para os quais serão processados. O objetivo é diminuir a quantidade de dados, coletando apenas aqueles que sejam essenciais para o produto ou serviço ofertado. O Accountability é o princípio segundo o qual exige-se que as organizações implementem medidas técnicas e organizacionais apropriadas, e sejam capazes de prestar contas e demonstrar sua eficácia, quando solicitadas. Para tal, instituiu-se o controlador de dados, profissional responsável, por demonstrar que a organização está agindo em conformidade com os demais princípios estabelecidos pelo Regulamento.

Uma aplicação fiel dos princípios, no entanto, não é a única medida a ser cuidadosamente observada pelas organizações. O escopo territorial de aplicação do GDPR também vem suscitando dúvidas.

2. OS DILEMAS DA APLICAÇÃO TERRITORIAL

Essa questão tornou-se controversa devido à dúvidas com relação a quem seria protegido pelo GDPR, no âmbito da aplicação territorial, uma vez que se tem afirmado que apenas os residentes da UE estariam contemplados. O artigo 3º do Regulamento determina que as regras do GDPR são aplicáveis ao tratamento de dados pessoais efetuado no contexto das atividades do estabelecimento de um responsável pelo tratamento, ou das atividades de um subcontratante, situado no território da União Europeia, independentemente de o tratamento em si ocorrer dentro ou fora da União. Mas afinal, quais seriam os limites da territorialidade?

Ocorre que, devido à própria natureza dos dados pessoais, e sua capacidade de dispersão, o conceito de territorialidade é ampliado. Dessa forma, o GDPR será aplicável a: indivíduos ­ — cidadãos europeus ou não — que residem no território da União Europeia, mesmo quando estes não estejam localizados fisicamente na UE, bem como a indivíduos que apenas se encontram na UE (de passagem, à turismo, etc). Estes também estão sob a proteção do Regulamento, uma vez que usam serviços que podem coletar seus dados ou informações pessoais.

A ideia é garantir uma proteção ampla a todos os indivíduos que tiverem seus dados coletados de alguma forma por empresas ou instituições que realizam transferência de dados com organizações europeias, fazendo com que as mesmas prestem contas nesse sentido. Fato é que o GDPR apresenta um escopo abrangente, que afetará a política de uso de muitas empresas, cujas bases encontram-se no território da UE (mesmo com sede no exterior), ou mesmo aquelas que recebam dados transferidos/ tratados destas. Portanto, empresas privadas ou públicas brasileiras, que possuem relacionamento com clientes ou parceiros europeus, terão que adequar-se a fim de respeitar o novo Regulamento.

3. A IMPORTÂNCIA DE RESGUARDAR DADOS SENSÍVEIS

Outro ponto importante é a inclusão, no GDPR, de uma categoria especial para dados sensíveis. O artigo 9(1) e (2) estabelecem um regime específico, segundo o qual o processamento desse tipo de dado pessoal é proibido, exceto nas dez hipóteses elencadas no dispositivo (são exemplos a “proteção de interesses vitais do indivíduo”, e “razões de substancial interesse público”). De acordo com o Regulamento, as categorias de dados sensíveis são: origem racial ou étnica; opiniões políticas; crenças religiosas ou filosóficas; filiação sindical; dados sobre saúde ou vida sexual e orientação sexual; dados genéticos e dados biométricos para fins de identificação pessoal.

Fica claro, então, que é necessária uma camada extra de proteção a esses dados, por serem capaz de revelar informações de cunho íntimo, além do fato de que, quando combinados, são capazes de identificar individualmente seu titular. Por essa mesma razão, para que os dados sensíveis possam ser tratados, os critérios de consentimento foram ampliados pelo GDPR, devendo o consentimento ser livre, explícito, inequívoco, informado e específico.

4. A CHEGADA DOS ROBÔS E O DIREITO À EXPLICAÇÃO

O GDPR prevê também o direito de obter uma explicação para qualquer decisão automática feita por algoritmo, e o direito de optar pela não-coleta de dados. Portanto, via de regra, o titular de dados terá o direito de não se sujeitar à decisões tomadas exclusivamente com base em tratamento automatizado, como previsto no artigo 22 do Regulamento. As exceções a esse direito restringem-se às seguintes situações: se o titular de dados tiver dado consentimento explícito, se o uso for autorizado por lei da União Europeia ou do Estado Membro a que o responsável pelo tratamento estiver sujeito ou, ainda, caso o processamento seja necessário para a celebração ou execução de contrato entre o titular dos dados e o responsável por seu tratamento. O objetivo é justamente explorar meios diversificados para fornecer um maior grau de transparência sobre como os algoritmos tomam decisões que impactam a vida do indivíduo.

5. RIGHT TO ERASURE OU UM “DIREITO DE SER ESQUECIDO”

O chamado direito ao esquecimento ou, conforme denominado pelo GDPR, right to erasure — direito ao apagamento, em português — , foi contemplado de forma explícita pelo Regulamento. Previsto no artigo 17, o dispositivo elenca diversas hipóteses não exaustivas em que o right to erasure poderá ser requerido (por exemplo: quando os dados deixam de ser necessários em relação à finalidade que motivou a sua coleta e quando o titular dos dados retira o consentimento sobre o qual é baseado o tratamento).

A garantia fundamenta-se na premissa de que o titular de dados pessoais deve ter o direito de dispor dos dados sobre ele coletados, a fim de retificá-los, se assim desejar. Mas, a disposição vai além: o titular possui um “direito a ser esquecido”, em casos nos quais a retenção de tais dados infrinja o Regulamento ou a legislação da União ou Estado Membro a que o controlador está sujeito.

No entanto, nota-se uma ampliação desproporcional do instrumento. Isto porque o conceito “tradicional” de direito ao esquecimento pressupõe uma ponderação mais cuidadosa dos critérios específicos, a fim de não ferir a liberdade de expressão e o acesso à informação. Já o right to erasure não apresenta tais critérios e, uma vez que requerido e concedido, a análise será feita pelo próprio responsável pelo tratamento, naquilo que couber. Ou seja, o GDPR inclui hipóteses de remoção muito amplas, ao mesmo tempo que deixa aos particulares a decisão daquilo que irão “apagar”, a depender do que for alegado pelo titular dos dados.

6. AS BARREIRAS PARA A TRANSFERÊNCIA INTERNACIONAL DE DADOS

Outra exigência importante do GDPR às empresas sujeitas ao Regulamento é que seja realizada uma gestão de dados, no sentido da possibilidade de transferência de dados (artigo 46 do Regulamento). Os responsáveis pelo tratamento só poderão realizar transferência de dados para outros países ou organizações internacionais, se estes tiverem apresentado leis adequadas de proteção. As regras serão aplicáveis a todas as entidades de um grupo empresarial envolvidas em uma atividade econômica conjunta, e a seus funcionários. Além disso, o titular de dados tem direitos oponíveis perante as empresas, e deve consentir não apenas inequivocamente, mas expressamente sobre a transferência dos seus dados, por meio de uma declaração ou ação afirmativa, após ser devidamente informado sobre os riscos envolvidos em tais transferências, mantendo seu consentimento.

Diante desse contexto, o Brasil, por não possuir uma legislação específica de proteção de dados pessoais, em princípio, não poderá realizar troca de dados com a Europa. Uma vez que a tendência é o GDPR ter um efeito viral, a não adaptação terá como consequência dificuldades para as empresas aqui instaladas, bem como um enfraquecimento da competitividade e da inovação na economia nacional, caso o país não buscar se adequar às regras globais de proteção.

*Ana Lara Mangeth é pesquisadora júnior do ITS Rio.

**Beatriz Nunes é pesquisadora do ITS Rio.

***Eduardo Magrani é coordenador da área de Direito do ITS Rio.

Quem é o responsável final por demonstrar conformidade com a LGPD?

De quem é a responsabilidade de aplicar corretamente as medidas de tratamento de dados LGPD?

Quem processa os dados pessoais?

Quais são as principais responsabilidades de um controlador de dados?