Regulamentação Geral de Proteção de Dados

0

Você já ouviu falar sobre “General Data Protection Regulation” (GDPR) ou Regulamentação Geral de Proteção de Dados? Esta regulamentação veio na esteira da disseminação de dados no ambiente virtual e da vulnerabilidade a que essas informações são submetidas diante da complexidade na guarda e manuseio destas pelo seu detentor.

A GDPR nasceu de iniciativa da União Europeia que iniciou discussões sobre o tema no ano de 2012, tornando pública a proposta legislativa, que foi aprovada e adotada na primavera de 2016, com prazo de dois anos para a implementação de protocolos e providências a ela atreladas. A partir de 25 de maio de 2018, entrou em vigor, com foco na segurança de dados, de uma maneira nunca vista anteriormente, influenciando outras nações, uma vez que o transito de dados não fica restrito apenas à União Europeia e, sim, a todos os países que têm relações e negociam com empresas e cidadãos europeus.

As relações decorrentes da atividade turística são impactadas por esta regulamentação, tanto na esfera das viagens de lazer, quanto nas viagens corporativas, estas, merecendo atenção ainda maior, em função do grande número de clientes que hoje são atendidos globalmente por uma mesma Travel Management Company (TMC) ou, ainda, por um grupo mundial de viagens, com parceiros em vários países do globo.

A empresa deverá cumprir as normas da GDPR se recolher dados, armazenar e processar, e compartilhar os mesmos, envolvendo cidadãos da União Europeia. Estes dados são, por exemplo, aqueles conhecidos como perfil do passageiro – nome, endereço, localização, informações de saúde, renda, entre outras informações. Vale para toda empresa, mesmo instalada no Brasil, que ofereça bens ou serviços a cidadãos da União Europeia, faça monitoramento de comportamento de pessoas que estejam nesse território ou, ainda , tenha filial, sucursal ou outro tipo de estabelecimento localizado em países da União Europeia.

Imperioso destacar que, diferente de outras normas existentes sobre o tema, a GDPR trouxe severas sanções a quem descumprir suas regras, multas que são apuradas a partir de percentual das receitas anuais do negócio, estipulada em 2% (dois por cento) ou o valor estipulado de 10 milhões de euros, valendo o que for maior, existindo ainda penalidades mais severas dependendo da apuração, avaliação da gravidade do descumprimento das normas.

Assim, antes de qualquer outro movimento, é fundamental conhecer a localização de seus clientes, incluindo aí a oferta de serviços na nuvem, passando pela identificação do volume de dados pessoais destes clientes que transitam em sua empresa, para então aplicar as medidas necessárias às regras da GDPR, que passa principalmente pelo aceite expresso do cliente/usuário na divulgação de suas informações pessoais, que também deverá conter mecanismo para que este cliente/usuário revogue a qualquer momento a autorização de acesso aos seus dados.

Tendo acompanhado alguns processos de auditorias para preparação e adequação de empresas à GDPR, elaborei um passo a passo. A sugestão é de grande importância para a formalização e protocolos necessários:

  • Nomeação de um responsável pela Proteção de Dados na empresa;
  • Minuciosa pesquisa de como os serviços oferecidos pela empresa podem ser impactados pelo GDPR;
  • Desenvolvimento de uma estratégia abordando as áreas impactadas na empresa, com a execução de alterações em processos e procedimentos;
  • Levantamento preciso para inventário de todas as informações pessoais sob guarda da empresa;
  • Ajustes na Política de Privacidade, ou criação de uma, caso ainda não exista;
  • Atenção aos sites eletrônicos com relação aos termos de captura e rastreamento de dados pessoais, com testes e validações para a plena conformidade.

Seguindo a onda do maior zelo no trato dos dados pessoais, o Brasil também já possui legislação similar, no caso a Lei Geral de Proteção de Dados Pessoais (LGPDP), originária do Projeto de Lei da Câmara, aprovada em plenário no dia 10 de julho de 2018 e sancionada pelo presidente Michel Temer em 14 de agosto.

Diferente da GDPR, a regulamentação brasileira, apesar de conter mecanismos importantes e também impor severas multas por seu descumprimento, ainda não tem eficácia uma vez que o órgão que executaria a fiscalização do cumprimento da LGPDP não foi autorizado. De qualquer maneira, as empresas brasileiras – públicas ou privadas – terão 18 meses para se adaptar aos termos da LGPDP, sujeitando-se a multas também atreladas às receitas anuais. É uma questão de tempo a criação do órgão fiscalizador à LGPDP, daí a importância da adoção de medidas preventivas imediatas visando a conformidade de sua empresa neste tema.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here