Em meio às recentes polêmicas de utilização de dados de usuários de redes sociais com supostos efeitos em eleições e outros eventos políticos em diversos países, a relevância e os efeitos do regulamento da União Europeia para proteção de dados pessoais de cidadãos do bloco – o GDPR (General Data Protection Regulation) – têm ganhado destaque. A tendência é que outros países adotem mecanismos similares, inclusive o Brasil.

Em linhas gerais, o GDPR impõe, às empresas, regras para o “tratamento de dados pessoais” cujos titulares sejam cidadãos europeus. O prazo para adequação se encerra em 25 de maio de 2018 e empresas que se relacionam com a comunidade europeia ou, de maneira geral, prestem serviços ou ofereçam produtos pela internet para cidadãos europeus devem revisar suas práticas para que estejam compatíveis com o GDPR, evitando sujeição às sanções previstas na norma.

Importa dizer que os efeitos do GDPR não se limitam aos países da União Europeia (UE), sujeitando, inclusive, empresas brasileiras que ofertem bens ou serviços, mesmo que gratuitos, se tais atividades envolverem dados pessoais de cidadãos europeus, mesmo que não mantenham filial ou estabelecimento na UE.

Em linhas gerais, dentre os principais pontos introduzidos pelo GDPR, destacam-se:

Tratamento de Dados Pessoais. O GDPR estabelece conceito abrangente de tratamento de dados pessoais, que consiste em “uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registro, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição” (art. 4º, item 2).

Licitude do Tratamento de Dados Pessoais. O tratamento de dados pessoais só é lícito na medida em que se verifique pelo menos uma das seguintes condições: (a) consentimento expresso do titular; (b) for necessário para a execução de um contrato no qual o titular é parte, para diligências pré-contratuais a pedido do titular ou para o cumprimento de uma obrigação jurídica a que empresa responsável pelo tratamento de dados esteja sujeita; (c) for necessário para a defesa de interesses vitais do titular ou de outro indivíduo; (d) for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento; (e) for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança (art. 6º).

Consentimento. O tratamento de dados pessoais baseado em consentimento do titular deverá indicar para qual finalidade aquele se destina (p.ex., cookies para garantir as funcionalidades disponibilizadas, melhorar o desempenho e a experiência do titular dos dados pessoais no site etc). Caso o consentimento seja dado como parte de uma declaração que trate também de outros assuntos (p.ex., termos gerais de uso do site e/ou aplicativos), a autorização para tratamento deverá ser apresentada em linguagem clara e simples, de modo inteligível, de fácil acesso e distinta das demais disposições (art. 7º).

Vedações e Restrições ao Tratamento de Dados Pessoais. Como regra geral, o GDPR veda o tratamento que revele a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual (art. 9º). Além disso, o GDPR impõe restrições ao tratamento de dados pessoais relacionados com condenações penais e infrações ou com medidas de segurança, que só poderá ser efetuado e armazenado sob o controle de uma autoridade pública ou se o tratamento for autorizado por disposições da UE ou de um Estado-Membro que prevejam garantias adequadas para os direitos e liberdades dos titulares. (art. 10).

Vazamentos. Os responsáveis pelo tratamento deverão notificar a violação de dados pessoais no prazo de até 72 horas às autoridades de controle dos membros da UE, salvo atraso justificado (art. 33). Se a violação for capaz de causar elevado risco aos direitos e liberdades dos titulares dos dados, estes também deverão ser comunicados sobre a violação pela empresa responsável pelo tratamento (art. 34).

Direito ao Esquecimento. O GDPR assegura ao titular de dados pessoais o direito de exigir ao responsável pelo tratamento que seus dados sejam apagados em determinadas hipóteses (p.ex. suspensão do consentimento, os dados deixaram de ser necessários para a finalidade, etc) (art. 17, item 1). Vale ressaltar que, se o responsável pelo tratamento tornou os dados públicos, ele deverá tomar as medidas razoáveis para que as ligações a tais dados sejam apagadas, incluindo cópias e reproduções (art. 17, item 2). O GDPR prevê ainda exceções à regra ao direito de esquecimento, dentre as quais o exercício da liberdade de expressão e de informação, por motivos de interesse público no domínio da saúde pública e exercício ou defesa de um direito num processo judicial (art. 17, item 3).

Data Protection Officer. O GDPR prevê ainda casos em que a nomeação de um encarregado pela proteção dos dados (Data Protection Officer) é mandatória, quais sejam: (a) o tratamento seja efetuado por uma autoridade ou um organismo público, (b) tratamento de dados em grande escala; ou (c) o tratamento envolva dados que só podem ser tratados em hipóteses excepcionais, nos termos do regulamento (art. 9º e art. 10). Em linhas gerais, o Data Protection Officer ficará encarregado de controlar a conformidade da rotina da empresa responsável pelo tratamento com o GDPR e será o ponto de contato entre a empresa e as autoridades competentes (arts. 37, 38 e 39).

Penalidades. Sem prejuízo do pagamento de indenização às pessoas que tenham sofrido danos materiais ou imateriais em decorrência de uma violação ao GDPR (art. 82), os infratores ainda estarão sujeitos ao pagamento de multa que podem atingir € 20 milhões ou, no caso de empresas, 4% do volume de negócios em nível mundial, o que for mais elevado, de acordo com a natureza e a gravidade das infrações (art. 83). Cumpre destacar que os Estados-membros poderão ainda prever outras sanções, inclusive de natureza penal (art. 84).