GDPR: O regulamento europeu e seus impactos nas empresas brasileiras
O Regulamento Geral de Proteção de Dados da União Europeia – GDPR – entrará em vigor nesta sexta-feira, dia 25 de maio de 2018.
O GDPR visa criar um regulamento para empresas do mundo todo rever seus parâmetros de captação de informações e garantir a privacidade de seus usuários, bem como a proteção de seus dados, e isso inclui companhias brasileiras.
Boa parte das empresas que vão precisar se adequar às novas normas é ligada ao ramo de tecnologia e segurança da informação, como lojas virtuais (e-commerce), fornecedores de software e hospedagens, como servidores, que realizam qualquer tipo de negócio ou processamento de dados com a União Europeia.
Quem não estiver em compliance com as determinações do GDPR pode ter de pagar uma multa de até 20 milhões de euros ou o equivalente a 4% do faturamento bruto anual do negócio, um valor bastante expressivo para muitas empresas.
As novas diretrizes do GDPR vêm de encontro ao debate emergente sobre privacidade na internet e proteção contra o vazamento de dados dos usuários. De acordo com a ASSESPRO-SP (Associação das Empresas Brasileiras de Tecnologia da Informação – Regional de São Paulo), para as empresas de TI de todo o mundo, inclusive as brasileiras, o regulamento deve impactar em mudanças no processo de acesso e transparência, deixando mais claro o procedimento de coleta e gestão da informação, possibilitando que os usuários saibam exatamente quais dados estão sendo captados, como e por quê. Outra previsão é que as empresas tenham que rever seus procedimentos de segurança, refinando ainda mais seus processos para evitar vazamento de dados.
O regulamento determina ainda que as empresas notifiquem a seus clientes e usuários no prazo máximo de 72 horas quando ocorrer alguma quebra de sigilo, o que força as companhias a estabelecerem protocolos que orientem suas equipes em caso de vazamento de informações. Para empresas que trabalham com um volume muito grande de informações, seja uma autoridade pública ou ainda faça um monitoramento em larga escala, será recomendada a contratação de um DPO (Data Protection Officer, ou Encarregado da Proteção de Dados, em português). A figura do DPO terá a obrigatoriedade de atuar como o canal de comunicação perante os usuários titulares dos dados pessoais e autoridades governamentais controladoras, e de forma geral, prestar assistência sobre as práticas de tratamento de dados pessoais, bem como verificar se estas estão em conformidade com o GDPR e qualquer outra legislação que vier a entrar em vigor.
Para o advogado Adriano Mendes, do escritório Assis & Mendes, ter apoio legal pode ser importante para as empresas de TI frente ao novo cenário. “Em uma questão tão delicada quanto à privacidade na internet, é imprescindível contar com uma boa assessoria jurídica, para garantir que sua empresa esteja operando de acordo com os preceitos da lei e se protegendo juridicamente”, justifica Mendes.