Proteção de dados: o que já foi feito na Europa

Proteção de dados: o que já foi feito na Europa

Em vigor desde maio de 2018, a lei da União Europeia fechou seu primeiro ano em vigor com mais de 56 milhões de euros em multas aplicadas

Considerado o maior conjunto de normas de proteção à privacidade online já criado, desde o início da internet, o Regulamento Geral sobre a Proteção de Dados (RGPD) – General Data Protection Regulation (GDPR) em inglês – está em vigor na União Europeia (UE) desde o dia 25 de maio de 2018. E é a inspiração para a Lei Geral de Proteção de Dados (LGPD) no Brasil. Mas apesar de ser uma lei redigida e aprovada pelo bloco econômico, ela tem impacto em todo o mundo, justamente pelo caráter global da grande rede, pois regulamenta também a exportação de dados pessoais para fora da UE.

As empresas tiveram mais de dois anos para se adequarem ao Regulamento Geral sobre a Proteção de Dados, que foi aprovado no dia 14 de abril de 2016 e contou nos debates com participação ativa do grupo Euroconsumers, do qual a PROTESTE faz parte. E os números do primeiro ano da nova regulamentação em vigor mostraram que ainda há um longo caminho a se percorrer, uma vez que muitas empresas ainda não se adequaram à nova realidade.

Violações, notificações e multas

Em junho de 2019, passado um ano inteiro, a Comissão Europeia divulgou dados sobre as mudanças promovidas na sociedade europeia. De acordo com o órgão, 67% dos cidadãos do bloco ouviram falar sobre a nova regra. Além disso, um outro levantamento mostrou que 57% dos entrevistados sabiam da existência de uma autoridade pública responsável pela proteção de dados pessoais. 

Mais de 144 mil reclamações por supostas violações ao RGPD foram protocoladas junto às autoridades de proteção de dados da UE. Dessas reclamações, cerca de 89 mil se transformaram em notificações contra empresas, que geraram um total de 56 milhões de euros em multas.

Em um outro relatório, divulgado pelo Capgemini Research Institute, também por ocasião do aniversário de um ano da entrada em vigor do RGPD, constatou-se que apenas 28% das empresas atingiu a conformidade com o novo regulamento.

Quando o RGPD é aplicável?

A lei serve para regular empresas que tratam dados pessoais e estão estabelecidas na UE, independentemente do local onde é realizado esse tratamento de dados. Porém, também é aplicável a empresas estabelecidas fora da UE, mas que tratam dados pessoais em ofertas de bens ou serviços direcionadas pessoas do bloco. Ou que monitoram o comportamento de cidadãos da região.

De acordo com a União Europeia, dados pessoais são quaisquer informações sobre uma determinada pessoa, identificada ou identificável, denominada titular dos dados. Veja esses exemplos de dados pessoais:

  • Nome
  • Endereço
  • Número do documento de identificação e/ou passaporte
  • Rendimento
  • Perfil cultural
  • Endereço de IP (protocolo de internet)
  • Dados na posse de um hospital ou médico (que identifiquem de forma inequívoca uma pessoa para fins relacionados com a saúde)

Dados especiais que não podem ser tratados

Algumas categorias, no entanto, são considerados dados especiais e não podem ser tratadas pelas empresas. São eles:

  • Origem racial ou étnica
  • Orientação sexual
  • Opiniões políticas
  • Convicções religiosas ou filosóficas
  • Filiação sindical
  • Dados genéticos, biométricos e relativos à saúde, exceto em casos específicos
  • Dados pessoais relacionados com condenações penais e infrações, salvo se tal for autorizado pelo direito europeu ou nacional

Quando o tratamento de dados é autorizado?

No RGPD, os dados devem ser tratados forma lícita e equitativa, para fins específicos e legítimos. E apenas na medida em que o tratamento for necessário para esses fins. Para acontecer, o tratamento de dados deve seguir as seguintes condições:

  • Obtenção mediante ao consentimento do titular dos dados
  • Ser necessário para executar um contrato no qual o titular dos dados é parte
  • Para cumprir uma obrigação legal
  • Ser fundamental para defender os interesses vitais do titular ou de outra pessoa
  • Ser necessário para exercer funções de interesse público
  • Ou ser preciso para o interesse legítimo da empresa que detém os dados, desde que os direitos e liberdades fundamentais dos titulares desses dados não sejam afetados de forma significativa. Se os direitos dos titulares prevalecerem sobre os interesses da sua empresa, então ela não poderá tratar os dados pessoais.

Consentimento do titular dos dados é a chave de tudo

As regras do RGPD são rigorosas no que diz respeito ao tratamento de dados com base no consentimento dos titulares. O objetivo da regulamentação é assegurar que o titular dos dados tenha a consciência do porquê de dar o seu consentimento. Ou seja, a aprovação da pessoa tem que ser dada de forma livre, específica, informada e inequívoca. Por meio de um pedido apresentado numa linguagem simples e clara. E deve ser feito por meio de um ato positivo, como a assinatura de um formulário ou a marcação de uma caixa de seleção.

Importante: sempre que um titular dá o consentimento para o tratamento dos seus dados pessoais, a empresa só poderá usá-los com as finalidades para as quais o consentimento foi dado. Sendo que o titular dos dados precisa ter a possibilidade de revogar esse consentimento a qualquer momento.

LGPD: a versão brasileira do RGPD

Até agosto de 2020, as empresas brasileiras deverão estar em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD). E quem não se adequar poderá sofrer multas entre R$ 50 milhões ou de 2% do faturamento total da empresa.

Por isso, a PROTESTE lançou no mercado o curso Save the Data. Totalmente online e ministrado por renomados especialistas, o curso vai preparar profissionais interessados em adequar suas empresas à Lei Geral de Proteção de Dados (LGPD)

Ainda não conhece a PROTESTE? Clique aqui e entenda como ajudamos o consumidor a defender seus direitos.