Regulamento Geral Sobre a Proteção de Dados (RGPD) – O guia prático da SAGE para empresas

Entenda como esse novo regulamento instituído pela União Europeia afeta empresas brasileiras em relação à segurança sobre o uso de dados.

A partir do dia 25 de maio de 2018, entra em vigor a Regulação 2016/679 o Regulamento Geral Sobre a Proteção de Dados (RGPD) instituído pela União Europeia. O objetivo dessa nova legislação é o de harmonizar as leis existentes, dar mais controle aos cidadãos sobre os seus dados e aumentar as restrições sobre as empresas que tratam e lidam com dados. O novo regulamento revoga a Diretiva 95/46/EC, que aborda os direitos da pessoa, a proteção e o tratamento de dados pessoais.

A medida deve ter impacto também nas empresas brasileiras, além dos 28 países-membros da União Europeia. Por conta disso, ela vem sendo chamada de “padrão ouro” na proteção de dados pessoais. Isso porque a medida tem aplicação extraterritorial, ou seja, alcança empresas brasileiras com filiais na União Europeia ou que ofertem serviços ao mercado europeu  para coletar dados de cidadãos europeus.

O RGPD deve influenciar ainda a discussão na regulamentação de proteção de dados em outros os países, como o Brasil, onde há projetos de lei sobre o assunto em estudo. As penalidades em caso de descumprimento podem chegar a 4% do faturamento da empresa.

Medida tem aplicação transversal e multissetorial

A aplicação do RGPD é ampla, transversal e multissetorial. Ela se aplica a qualquer processamento de dados pessoais, independente do setor; aos dados anônimos, caso seja possível identificar as pessoas razoavelmente; e às práticas de perfilhamento, mesmo se baseadas em dados anônimos.

A ênfase das medidas está em práticas como o consentimento do titular, na responsabilidade solidária pelo tratamento dos dados, no tratamento com finalidades específicas, na minimização dos dados e na autoridade de proteção de dados.

Principais elementos da RGPD

Por dados pessoais, a nova RGPD entende qualquer informação relativa a uma pessoa física identificada ou identificável. Isso inclui itens como nome, número de identificação, dados de localização, identificador online ou fatores relacionados à identidade física, psicológica, genética, mental, econômica, cultural ou social.

Dados considerados sensíveis, como informações genéticas, biométricas, de saúde, de filiação política ou de credo religioso também estão inclusos. Assim, até mesmo os cookies podem ser identificados como dados pessoais passíveis de aplicação da nova legislação.

Dessa forma, o titular dos dados tem direito de acesso e retificação, direito de cancelamento e direito à portabilidade dos dados. Já o responsável pelo tratamento dos dados deve utilizar as melhores técnicas para a proteção das informações, registrar toda a atividade de tratamento, notificar sobre eventuais violações e fazer avaliações de riscos e consultas prévias às autoridades.

A responsabilização na publicidade

Dois problemas possíveis são vistos como pontos nos quais quem atua no setor de publicidade deve ficar alerta. O primeiro é o não atendimento das diretrizes – haverá diferenciação na responsabilização quando a quebra for proposital ou quando houver algum esforço para que as diretrizes sejam atendidas.

Já o segundo diz respeito à potencial responsabilização por erros de terceiros, uma vez que essa possibilidade passa a existir. Por isso, marketers e publishers devem redobrar as atenções com relação às empresas que serão contratadas para prestar certos tipos de serviços.

Essas características são consequências de quatro dos principais elementos da RGPD: o princípio da responsabilização e da precaução; o dever de guarda; a criação de um cargo de DPO (Data Protection Officer) nas empresas; e o pagamentos de multas mais pesadas em caso de não atendimento das exigências legais.

Bases legais para o tratamento de dados na publicidade digital

Para que se possa coletar e processar dados pessoais, é preciso que as empresas se atenham a dois princípios. O primeiro é o do interesse legítimo, ou seja, situações que por sua natureza permitem a coleta e o processamento de dados, desde que dentro das balizas de proteção e uso adequado dos dados.

O outro princípio é o do consentimento, ou seja, a justificativa por meio de consentimento informado e específico para a coleta e processamento de dados individuais com vistas a um fim específico. O consentimento implica na restrição do uso de dados a uma finalidade que não seja a especificada, com vedação a excessos.

Pontos que merecem atenção no ambiente programático

Alguns pontos adicionais merecem destaque para as empresas que lidam com publicidade e propaganda, especialmente no ambiente programático. O uso de dados coletados antes da entrada em vigor da RGPD será proibido caso não haja consentimento adequado ou base legal para tratamento.

A empresa deve deixar clara sua função no processo, se controller ou processor, e será necessário realizar um Data Protection Impact Assessment para identificar possíveis falhas regulatórias. Isso inclui a revisão de todos os contratos para verificar se há conformidade no trato de dados dos parceiros. Lembre-se que a responsabilidade é solidária.

Por fim, as empresas devem identificar um Data Protection Officer (DPO) e todos os controllers precisam documentar suas práticas de processamento, incluindo a criação de políticas internas para a retenção, o gerenciamento e o compartilhamento de dados. Esses documentos podem ser requeridos pelas autoridades a qualquer momento se necessário.

…..

Como complemento com mais informações sobre o tema, recomendamos o material produzido por Pedro Henrique Ramos e Renato Leite, sócios na Baptista Luz Advogados, que trataram sobre o tema em um webinar amplo e esclarecedor, organizado pelo IAB Brasil, e que pode ser assistido neste link.

LEIA MAIS:

Comentários
Compartilhe: