GDPR: Mudanças no Processamento de Dados Pessoais de Residentes na União Europeia

A GDPR ou Regulamentação Geral da Proteção de Dados é legislação emanada do Parlamento Europeu que entra em vigor em 25 de maio próximo assegurando que toda e qualquer pessoa nacional ou residente da União Europeia (UE) é a única e integral proprietária dos seus dados pessoais.

Para fins da GDPR, Dado Pessoal é qualquer informação que permita identificar um indivíduo direta ou indiretamente, quer se trate na vida privada, profissional ou pública, tais como números de documentos, nomes, endereços, fotos, endereços de e-mail, detalhes bancários, postagens em sites de redes sociais, informações médicas, endereço IP de um computador ou até mesmo dados de geolocalização. As pessoas por seu turno, passam a ter o direito de saber e decidir como seus dados pessoais são usados, armazenados, protegidos, transferidos e apagados (portabilidade dos dados) bem como os direitos de restringir o processamento e de exigir que todos seus dados sejam deletados (o direito de ser esquecido).

A GDPR é aplicável desde que uma das partes, aquela que controla os dados coletados (a entidade controladora), ou a que efetivamente processa tais dados como os provedores de serviços de nuvem (a entidade processadora), ou ainda a pessoa física proprietária dos dados seja residente da UE.

Além disto a GDPR é também aplicável quando a entidade controladora ou a entidade processadora se localizam, uma ou ambas, fora da UE, mas controlam ou processam dados de pessoa residente na UE.

A GDPR, no entanto, não se aplica aos casos de coleta e tratamento de dados pessoais para atividades de segurança nacional ou aplicação da lei embora estabeleça que sempre que sentenças de tribunais ou decisões de autoridade administrativa de um país fora da UE exijam que um controlador ou processador transfira ou divulgue dados pessoais de residentes na UE isto somente poderá acontecer no âmbito de um tratado de auxílio judiciário mútuo bem como também estabelece regras especificas para o intercâmbio de dados pessoais nos níveis nacional, europeu e internacional para o setor policial e de justiça penal.

Atender a GDPR vai exigir que as empresas redesenhem os processos de coleta, uso e proteção de dados pessoais por causa de alguns princípios basilares desta legislação tais como, entre outros:

1) A coleta de dados pessoais de residentes da UE somente pode ser legalmente feita nas hipóteses previstas em lei, que são:

  • O titular dos dados pessoais consentiu com a coleta para um ou mais fins específicos.
  • A coleta é necessária para a execução de um contrato do qual o titular dos dados é parte ou para tomar medidas a pedido do titular dos dados antes de celebrar um contrato.
  • A coleta é necessária para o cumprimento de uma obrigação legal à qual a entidade controladora dos dados está sujeita.
  • A coleta é necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa física.
  • A coleta é necessária para o desempenho de uma tarefa realizada no interesse público ou no exercício da autoridade oficial da entidade controladora dos dados.
  • O tratamento é necessário para os interesses legítimos perseguidos pelo responsável pelo tratamento ou por terceiros, a menos que tais interesses sejam anulados pelos interesses ou direitos e liberdades fundamentais do titular dos dados, que exijam a proteção dos dados pessoais, em particular se a pessoa em causa é uma criança.

2) Responder interpelações pessoais ou judiciais de residentes da UE baseadas no direito individual de saber e decidir como seus dados pessoais são usados, armazenados, protegidos, transferidos e apagados.

3) Executar e comprovar o atendimento de ordens pessoais ou judiciais de residentes da UE relacionadas aos direitos da Portabilidade e do Esquecimento.

Assim sendo, para evitar riscos, as empresas brasileiras que precisam de “compliance” vão necessitar investir na implementação de novos processos de negócios, bem como na aquisição e instalação de aplicativos de governança da informação como a suíte Veritas 360 Data Management for GDPR.