PUBLICIDADE

‘Os riscos agora são grandes demais para serem ignorados’, diz especialista em privacidade

Nova regulamentação europeia normatiza o consentimento de usuários e a finalidade da captura de dados sob o prisma do direito à privacidade

Por Andrei Netto
Atualização:

PARIS - Doutor em Direito pela Universidade Panthéon-Sorbonne e especialista em privacidade, direito e novas tecnologias, o advogado Fernando Santiago é um dos maiores especialistas brasileiro na Regulamento Geral sobre a Proteção de Dados Pessoais (RGPD), que entrará em vigor nessa semana na União europeia. Segundo ele, o texto elaborado por Bruxelas leva em consideração o avanço da preocupação com a privacidade dos danos na internet e impõe às empresas uma dura adaptação, ao mesmo tempo em que abre novos direitos aos usuários. A seguir, a síntese da entrevista ao Estado.

PUBLICIDADE

O que é o Regulamento Geral sobre a Proteção de Dados Pessoais (GDPR)?

É uma regulamentação para proteger o cidadão cujos dados são coletados, como, por exemplo, um usuário qualquer do Facebook. Mas é muito mais amplo que isso. Um usuário, residente europeu, que compre produtos na internet, e a empresa brasileira que eventualmente lhe presta um serviço, também estão incluídos. O regulamento vai bem além das redes sociais. Ele afeta todo tipo de dados coletados de forma cotidiana, desde a compra de uma passagem aérea, por exemplo. Há dois princípios essenciais que vão nortear toda a aplicação do regulamento europeu. O primeiro é o consentimento, lícito e livre, e o segundo é a observância estrita da finalidade para a qual se disse que se captaria os dados em questão. Esses princípios vão nortear toda a aplicação do regulamento.

A partir disso, as empresas terão de aplicar medidas de transparência, certo?

Eu não diria que são medidas de transparência. Eu posso ser transparente e não obedecer o princípio da finalidade, e assim estarei infringindo a regulamentação. Vai bem além da questão da transparência porque o regulamento estabelece punições a quem captar e utilizar os dados para outras finalidades. A transparência está relacionada à finalidade da captação dos dados, já que vou informar quais dados vou captar e para que finalidades vou usá-los.

O usuário agora poderá se opor à captação dos dados sem deixar de usar o serviço?

A oposição ao uso dos dados é um dos direitos que são garantidos pela nova regulamentação europeia, mas não o único. São três eixos principais que empresas, inclusive brasileiras, devem ficar atentas. O primeiro é se preparar para assegurar o exercício dos titulares dos dados – e aí o direito à oposição é um deles. Entre os direitos estão o de acesso aos dados, de retificação, ao esquecimento, direito à informação em caso de sinistro – como vazamento de dados –, direito à oposição, direito à limitação do tratamento, que permite por exemplo que dados sejam usados em caso de litígio, e, finalmente, o direito à portabilidade dos dados. Este último é muito inovador. O usuário vai poder transferir seus dados de um banco para outro, de uma seguradora para outra, sem necessitar de toda a burocracia.

Publicidade

A empresa que não cumprir o regulamento pode ser punida em qualquer lugar do mundo. Que punições são essas?

As punições são muito pesadas e se dividem em duas categorias. A primeira são as punições administrativas, como a limitação do tratamento ou de fluxo de dados. Se uma empresa for punida administrativamente, ela não vai poder captar e tratar dados, e logo muitas vezes não vai poder prestar o serviço, como emitir uma passagem de avião, por exemplo. As autoridades de regulação também podem, se a infração ultrapassar o caráter administrativo, impor multas pesadas. Em relação ao regulamento anterior, essa é a grande novidade: o tamanho das sanções financeiras, que podem ir de € 10 milhões a € 20 milhões ou de 2% a 4% do faturamento anual da empresa. Pode se atingir um montante muito importante, de forma que os riscos agora são grandes demais para serem ignorados.

Até quando as empresas têm para se adaptar?

Teoricamente, até o dia da entrada em vigor, em 25 de maio. Mas sabemos que isso será na prática muito difícil, até porque empresas na Europa estão tendo dificuldades para se atualizar em relação a esse prazo. Por outro lado, uma vez que o regulamento estará em vigor, os direitos dos usuários terão de ser garantidos pelas empresas, inclusive brasileiras.

Para Fernando Santiago, texto elaborado por Bruxelas impõe às empresas dura adaptação Foto: Fernando Santiago

PUBLICIDADE

Empresas terceirizadas também podem ser responsabilizadas, certo?

Sim. Outra das grandes diferenças da nova regulamentação é a responsabilidade do subcontratado. Antes a regulamentação responsabilizava apenas o responsável pelo tratamento. Mas o responsável pelo tratamento muitas vezes utiliza um subcontratado no exercício de suas atividades. Existem inúmeros exemplos, como em segurança em informática, em que tercerizados têm acesso aos dados para dar segurança ao sistema. Empresas de cloud fora da UE, por exemplo, estão envolvidas. Agências de publicidade, também, entre muitas outras.

A UE tem capacidade de processar empresas fora de seu território?

Publicidade

Tem. Mas o contencioso extraterritorial não será inventado pelo novo regulamento, ele sempre existiu. Acredito que o volume de contenciosos vai aumentar. A UE terá como firmar acordos de convênios de fiscalização, inclusive no Brasil, e pode tomar as decisões diretamente. Então usará os mecanismos já consagrados no direito internacional para execução de decisões de autoridades estrangeiras para aplicar as sanções no país-sede da empresa.

Como as empresas brasileiras também podem ser atingidas pela regulamentação?

Em altaLink
Loading...Loading...
Loading...Loading...
Loading...Loading...

Caso a empresa brasileira ofereça bens e serviços na Europa, com ou sem pagamento, ela estará sujeita à regulamentação. Caso ela destine uma parte de sua atividade ao mercado europeu, em uma língua da União Europeia, e com possibilidade de pagamento em euro ou outra moeda europeia – como a libra –, está configurada a oferta de bens e serviços. Nesse caso, a empresa está submetida ao regulamento. Outro aspecto é caso haja captação de dados de residentes da UE. Um aplicativo que monitore o comportamento de residentes na UE, como o Waze, é um exemplo. Plugins, geolocalização, tudo que possibilita captação de dados está na regulamentação, mesmo que se trate de uma empresa brasileira.

E essas empresas, startups ou grandes, estão preparadas?

Não, o Brasil não é considerado um porto seguro dos dados, porque não existe nenhuma legislação sobre os dados pessoais no país. O que existe são regulamentações esparsas, como o Código de Defesa do Consumidor, o Estatuto da Criança e do Adolescente… Não existe uma lei geral de proteção dos dados. Nos países em que isso existe, já existe uma cultura de atenção e cuidado com os dados pessoais. No Brasil, ainda não. Não existe a preocupação com a proteção dos dados pessoais.

Os usuários brasileiros serão afetados ou beneficiados pela regulamentação?

Brasileiros que residam na Europa têm os direitos assegurados pelo regulamento. Um brasileiro que resida na Europa, se adquirir uma passagem aérea de empresa brasileira pela internet, tem o direito de exigir todos os direitos previstos na regulamentação, por exemplo.

Publicidade

Comentários

Os comentários são exclusivos para assinantes do Estadão.