A General Data Protection Regulation (GDPR) é a norma que regula a proteção de dados pessoais na Europa e possui a finalidade de preservar a privacidade através da proteção dos dados pessoais das pessoas.
Imagine que uma pessoa vá a uma empresa para comprar um livro. As únicas informações que o vendedor precisaria para concluir a venda seriam o nome do livro para realizar a venda e dados necessários para emissão de nota fiscal (se não for o caso de emissão de cupom fiscal), quais sejam o nome completo, CPF e endereço.
No entanto, muitas vezes os vendedores pedem dados desnecessários, como data de aniversário, telefone, estado civil, etc.
Com esses dados desnecessários, os vendedores poderiam violar seu tempo de trabalho ou de descanso enviando e-mails, ligações, mensagens, normalmente, com finalidade comercial.
Essa violação de seu tempo através de dados coletados anteriormente para outro fim (venda de um livro especificamente) pode ser considerada uma violação de privacidade.
A GDPR e a LGPD vieram justamente para proteger a privacidade das pessoas buscando evitar que esta fosse violada.
Continue a leitura para entender mais! 😉
O que é e como criado o GDPR?
O GDPR é a conclusão de uma evolução de normas europeias voltadas para a privacidade e para a proteção de dados pessoais.
Pouco antes da Segunda Guerra Mundial (1939-1945), a Alemanha fez um censo para conhecer melhor as pessoas que lá residiam. As informações coletadas neste censo foram suficientes para discriminar os judeus, inicialmente isolando-os em guetos e, posteriormente, os matando em milhões.
Isso mostra uma das potenciais consequências da quantidade de informação que uma pessoa detém de outras.
Com isso, passou-se a dar maior importância às informações características das pessoas (dados que pudessem identificá-las e diferenciá-las de outras), bem como o que é feito com essas informações.
Várias cidades e países da Europa criaram normas próprias para a proteção de dados pessoais e valorização de privacidade das pessoas.
No entanto, a primeira norma feita para toda a União Europeia foi criada em 1995, a Diretiva 95/46/CE e estudos decorrentes dessa diretiva geraram a edição do Regulamento 679/2016, também conhecido como GDPR, que entrou em vigor efetivamente em 25 de maio de 2018.
Toda essa preocupação europeia e a importância dessas normas, em especial o GDPR, fez com que países fora da União Europeia voltassem seus olhos para a proteção de dados e para a privacidade das pessoas.
Muitas empresas fora da União Europeia já deveriam se adequar a padrões de segurança, proteção de dados e privacidade para viabilizar fazer negócios com empresas sediadas na União Europeia.
Isso porque a GDPR se aplica a todas as empresas sediadas na União Europeia que tratem dados de pessoas da União Europeia, bem como também às empresas sediadas fora da União Europeia, mas que tratem de dados de pessoas da União Europeia.
Para ficar fácil o entendimento das pessoas a quem se aplica a GDPR segue um quadro explicativo:
Após essa regulamentação europeia, obrigando várias pessoas ao redor do mundo a se adequarem à proteção de dados pessoais de cidadãos europeus, o mundo se voltou à proteção dos dados pessoais não só dos cidadãos europeus, passando a cuidar dos dados pessoais também dos cidadãos de seus próprios países.
Isso ocorreu também no Brasil, quando foi criada a Lei Geral de Proteção de Dados (“LGPD”) em 2018, entrando em vigor parcialmente em 2020 e em sua totalidade em 2021.
Percebe-se, assim, que a GDPR, como a LGPD, foi criada com a clara intenção de mostrar que os dados e informações das pessoas não podem ser utilizados de forma indiscriminada e a sua limitação no tratamento decorre justamente da necessidade de dar privacidade às pessoas.
Qual o objetivo da GDPR?
O próprio GDPR deixa claro e expresso seu objetivo, que, para fins didáticos passa-se a resumi-lo: cuidado com a privacidade de indivíduos através da proteção de seus dados pessoais.
Essa proteção e esse cuidado decorrem de uma mudança de paradigma: os dados pessoais são de propriedade de seus próprios titulares e cabe a estas pessoas saber o que está sendo feito com eles.
Isso parece óbvio, mas não é o que ocorria anos atrás, como mostrado no primeiro tópico deste artigo. Para se ter uma ideia do quão óbvio é essa questão vamos a um exemplo analógico:
Se uma pessoa comprou um carro com seu dinheiro e está integralmente quitado, cabe a essa pessoa usar, fruir, gozar e dispor deste bem da forma que bem entender e não a uma pessoa jurídica privada ou o próprio poder público falar com essa pessoa o que deve ser feito.
Claro que devem existir regras específicas para limitação dos direitos, mas devem ser mínimas e todas descritas em lei para que todos saibam das limitações, como por exemplo a obrigação do dono do veículo pagar tributos (IPVA ou pedágio, por exemplo).
Percebe-se, assim, que o que se busca é fazer com que o próprio titular dos dados possam gerí-lo com a ciência do que está sendo feito por eles e, em decorrência disso, existe a responsabilização de quem utilizar os dados de forma irregular.
Quais diferenças existem entre a GPDR e na LGPD?
Não é segredo para ninguém que a LGPD foi criada em decorrência da GDPR e foi praticamente toda nela embasada, mas existem diferenças entre elas.
Vamos apontar algumas dessas diferenças:
Local de aplicabilidade
Já foi demonstrado acima que a GDPR pode ser aplicada tanto na União Europeia, quanto fora dela, se o tratamento de dados for de cidadãos da União Europeia.
A LGPD trata isso de uma forma um pouco diferente: não importa onde os dados estiverem, se forem tratados no Brasil, se aplica a LGPD.
Se o tratamento tiver como objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, se aplica a LGPD.
E por fim, se a coleta dos dados for feita no Brasil: se aplica a LGPD.
Relação Controlador e Operador
A GDPR é um pouco mais rigorosa que a LGPD, uma vez que esta apenas menciona que o operador é aquele que age em nome do controlador e deve seguir os limites e orientações impostos.
Já a GDPR aponta a necessidade de existir um contrato entre o controlador e o operador, explicitando a forma de tratamento que deve ser feita.
Ah, na GDPR o Operador é chamado de processor literalmente traduzido como Processador.
Bases legais para tratamento de dados pessoais
A LGPD possui 4 bases legais para tratamento de dados pessoais sensíveis que a GDPR, são eles:
- Proteção da saúde em um procedimento realizado por profissionais de saúde;
- Realização de estudos por um órgão de pesquisa;
- Exercício de direitos em processos judiciais;
- Proteção ao crédito.
Tratamento de dados pessoais sensíveis
A LGPD permite o tratamento de dados sensíveis se a hipótese de tratamento se enquadrar numa das bases legais descritas no art. 11.
Apesar de a regra ser praticamente a mesma na GDPR, a forma com que o conteúdo foi exposto mostra uma diferença. O art. 9, item 1 fala que o tratamento de dados pessoais sensíveis é proibido, trazendo as exceções (ou bases legais) no art. 9º, item 2.
Transferência internacional de dados
Apesar de ambas as normas constarem restrições, a Autoridade Nacional de Proteção de Dados (ANPD), órgão regulamentador da LGPD no Brasil, ainda não regulamentou essa questão, ao passo que na GDPR para fazer essa transferência são necessários acordos e ajustes específicos, podendo estes acordos serem entre países ou entre as partes que estiverem fazendo a transferência internacional de forma direta.
Um exemplo desta regulamentação são as binding corporate rules, normas de obrigação criadas pela Autoridade Supervisora a serem obedecidas pelas partes.
Registro de tratamento de dados
Ambas as normas dispõem que o Controlador e o Operador devem fazer o Registro de Operações de Tratamento de dados (conhecido como RoPA).
A Diferença reside no fato de a LGPD apenas falar que deve ser feito, sem explicar como deve ser feito e o que deve constar nele. Ao passo que na GDPR aponta no artigo 30 vários requisitos que devem ter, como o propósito do tratamento, o tempo para eliminar os dados (quando possível).
Provavelmente a ANPD ainda deverá regulamentar o RoPA fazendo constar como deve ser feito, em que momento deve ser feito e o que deve conter.
Relatório de Impacto sobre a Proteção de Dados (DPIA)
A LGPD afirma que a ANPD poderá solicitar ao Controlador/Operador um Relatório de Impacto à Proteção de Dados em alguns casos, como se a base legal para tratamento de dados for o Legitimo Interesse.
Já a GDPR possui o Data Protection Impact Assessment (DPIA), descrito no art. 35, exige que o Controlador/Operador façam uma análise de impacto em suas atividades que possam causar um alto risco aos direitos da liberdade, como tratamento em larga escala dos dados pessoais, independentemente de solicitação da Autoridade Supervisora.
Este artigo ainda descreve os requisitos mínimos que devem conter nesta análise, no seu item 7.
Encarregado de Dados (DPO)
A LGPD aponta que todos os Controladores devem possuir um Encarregado de Dados Pessoais, podendo a ANPD restringir essa necessidade.
A ANPD aprovou o regulamento da LGPD para empresas de pequeno porte (Resolução CD/ANPD nº 2, de 27 de janeiro de 2022), isentando estas empresas de ter um Encarregado de Dados Pessoais.
Já a GDPR apenas obriga os controladores/operadores a terem um Data Protection Officer (DPO) em algumas situações previstas no seu art. 37, quais sejam:
- O tratamento de dados por entes públicos;
- Atividade principal do controlador envolver tratamento de dados de forma sistemática e larga escala em razão de sua natureza;
- Tratamento de forma sistemática e larga escala de dados pessoais sensíveis.
Segurança de Dados
Tanto a LGPD quanto a GDPR exigem a implementação de medidas de segurança dos dados para seu tratamento.
A principal diferença é que na LGPD a ANPD ainda precisa descrever que medidas são essas e como devem ser implementadas, ao passo que a GDPR já normatizou essas medidas no seu art. 32.
Violações de Dados
A LGPD impõe ao Controlador que informe tanto a ANPD quanto o Titular do dado, em caso de ocorrência de algum incidente de violação de dados. Essa informação deve ser num tempo razoável.
A GDPR também impõe esta obrigação ao Controlador, mas impõe um prazo de 72 horas para que isso seja feito, dispensando essa comunicação se o incidente não for relevante.
Penalidades
Por fim, a principal diferença entre as penalidades aplicadas entre a LGPD e a GDPR é que na primeira existe a possibilidade de aplicação de multa simples no importe de 2% da receita da empresa, limitado a 50 milhões de reais por violação.
Ao passo que a GDPR determina no seu art. 83, item 4, que as multas podem chegar a 20 milhões de euros ou 4% do faturamento anual da empresa, o que for maior.
Outras penalidades também podem igualmente ser aplicadas, como suspensão da atividade de processamento de dados pessoais, advertência, eliminação de dados, dentre outros, dependendo da gravidade da falta cometida/do incidente ocorrido.
Mais liberdade no dia a dia
Qual é a estrutura do GPDR?
O GDPR possui 65 artigos distribuídos em 10 capítulos.
O primeiro e o décimo capítulos trazem disposições gerais, já os outros 8 já possuem temas específicos, que dispõem sobre:
- Princípios (capítulo 2);
- Direitos dos titulares dos dados (capítulo 3);
- Quem é o responsável pelo tratamento de dados (capítulo 4);
- Como e quando pode ocorrer a transferência de dados para outros países ou organizações internacionais (capítulo 5);
- Quem são e o que fazem as autoridade de controle independentes (capítulo 6);
- Forma de cooperação de controle entre os países membros da União Europeia (capítulo 7);
- Meios de reclamação por parte dos titulares, responsabilidades e sanções a serem aplicadas (capítulo 8);
- Forma de execução dos atos sancionatórios (capítulo 9).
Quais são as obrigações impostas pelo GDPR?
Algumas normas no GDPR são sinalagmáticas, o que quer dizer que o direito do titular importa na obrigação de quem está tratando os dados.
Vários são esses direitos e deveres, contudo, vamos apresentar os principais logo abaixo:
Comunicação objetiva
Aqueles que tratam os dados devem comunicar de forma clara, objetiva e concreta como os dados dos titulares serão tratado, explicando através de políticas de privacidade viabilizando aos titulares o perfeito conhecimento do que será feito com os dados.
Consentimento
O consentimento, nada mais é que a permissão assertiva que o titular concede para que o agente que trata os dados possa o fazer, e, para que ele tenha validade, deve ser previamente informado através da comunicação clara para que o consentimento seja consciente.
Portabilidade dos dados
Os dados são dos titulares, assim, cabe a eles falarem quem deve tratar os dados.
Com isso, caso prefiram que uma empresa que já esteja tratando os dados pare de tratar para que uma outra empresa passe a tratar, o titular pode pedir para transferir para a empresa B todos os dados que a empresa A possui daquele titular, cabendo a esta a obrigação de transferir os dados conforme solicitado.
Transferência de dados
A portabilidade dos dados é diferente de transferência dos dados. A portabilidade, como já visto, é um direito do titular.
Por outro lado, algumas vezes, o próprio agente que trata os dados precisa que outra pessoa o ajude a tratar os dados, e, para tanto, deve se certificar que a transferência destes dados apenas pode ser feito por pessoas que possam conceder o mesmo padrão de segurança oferecido pelo GDPR, caso não estejam no mesmo país.
Incidente com os dados
Em caso de qualquer incidente envolvendo os dados, como violação, vazamento, perda ou qualquer outro tipo de incidente, as pessoas que estão tratando os dados devem notificar os titulares da ocorrência deste incidente, bem como o que está sendo feito para reduzir os danos, no prazo de 72 horas após tomarem conhecimento do fato;
Direito ao esquecimento
Como os dados são dos titulares, cabe a estes darem o direcionamento do que deve ser feito com os mesmos, inclusive optar pelo não tratamento.
Em decorrência deste não tratamento, o titular pode pedir aos agentes que tratam os dados para deletar todas suas informações que possuem.
Este direito não se aplica a questões que envolvam propósitos específicos, como propósitos científicos, estatísticos, históricos, referentes à liberdade de expressão ou saúde pública.
Proteção diferenciada para crianças
Uma vez que crianças são mais vulneráveis que adultos, o GDPR optou por criara uma proteção especial para elas, com isso impõe obrigações para que o agente de tratamento de dados evite a exposição excessiva de crianças, exigindo consentimento específico dos pais.
Quais são as penalidades em caso de descumprimento do GDPR?
Para que a maioria das normas tenha efeito, faz-se necessário vincular sua não obediência a uma penalidade (sanção).
Com o GDPR não é diferente, e existem penalidades descritas na referida norma que variam de acordo com o dano causado, variando de mera notificação para casos mais leves até multa pesadas em casos mais complexos.
A multa pode variar de 2% a 4% (ou 20 milhões de euros, o que for maior), a depender do tipo de violação, sendo a mais baixa para não notificação sobre incidentes com dados ou ações não condizentes com o GDPR e as maiores em caso de violação dos princípios básicos da norma protetiva.
Destaque-se que a penalidade pode ser aplicada a qualquer pessoa que esteja sob o alcance do GDPR, e, caso essa pessoa esteja fora da União Europeia, poderá ser executado de sua obrigação a depender de acordo de cooperação entre os países onde a pessoa estiver sediada e a União Europeia.
GDPR e o impacto para empresas brasileiras
O GDPR já influenciou bastante o Brasil como um todo, em especial com a influência que teve na criação da LGPD.
Uma vez que a LGPD possui direitos e obrigações bem semelhantes ao GDPR as empresas brasileiras devem agir seguindo todo o ordenamento jurídico pátrio, em especial a LGPD, e, consequentemente, estaria andando em compliance já com boa parte da norma europeia.
No entanto, as empresas brasileiras que fizerem tratamento de dados de cidadãos europeus devem se atentar também às especificidades do GDPR, uma vez que também se subsumem a essa norma.
E mais, o Brasil possui acordos de cooperação com países da União Europeia, de forma que uma penalidade aplicada na Europa, poderia ser executada no Brasil.
Assim, pode-se dizer que o impacto do GDPR nas empresas brasileiras decorreu de forma indireta (com a criação da LGPD) e de forma direta àquelas empresas que tratam dados de cidadãos europeus, uma vez que também devem se adequar na integralidade a esta norma.
Conclusão
As normas para proteção de dados e privacidade são de grande importância uma vez que os titulares de dados podem sofrer severos problemas decorrentes do mau uso destas informações.
As normas que vem proteger os titulares e seus dados são de importância ímpar nos ordenamentos jurídicos, sendo certo que vários países já vêm estudando esse tema há bastante tempo, criando normas robustas como é o caso de países da União Europeia e o Brasil se viu obrigado a participar desta revolução protetiva, seja por motivos financeiros, seja porque os direitos tutelados são realmente muito importantes.
Assim, todos aqueles que, mesmo estando no Brasil, tratem dados de cidadãos europeus, devem se atentar não só para a LGPD, como também para o GDPR.
Para aqueles que achem que isso não é de grande importância, cabe lembrar que o Brasil é o país com mais descendentes de cidadãos italianos fora da Itália no mundo, e muitos possuem cidadania italiana (em torno de 800.000 em 2023!).
Mais conhecimento para você
Se você gostou deste texto e deseja seguir a leitura em temas sobre direito e advocacia, vale a pena conferir os seguintes materiais:
- O que é Animus Domini, como provar e seu significado na Usucapião
- Tire as principais dúvidas sobre a aposentadoria da pessoa com deficiência
- 6 vantagens do acompanhamento processual automatizado
- Confira as principais informações sobre os beneficiários do INSS
- Saiba o que é e como funciona a servidão de passagem
- Tutela no direito da família
- Entenda o que é a herança digital e qual a sua regulamentação
- Política de privacidade: o que é, objetivo e caso do Threads
- Contrato de Parceria: entenda o que é e requisitos
- Princípio da insignificância: o que é e exemplos de aplicação
Assine grátis a Aurum News e receba uma dose semanal de conteúdo no seu e-mail! ✌️
Este conteúdo foi útil pra você? Conta aqui nos comentários 😉
Conheça as referências deste artigo
BRASIL. Lei 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Brasília, 14 de agosto de 2018.
FALK, Matheus. Os princípios jurídicos da LGPD e do GDPR: uma leitura a partir da Teoria dos Princípios de Humberto Ávila. In: WACHOWICZ, Marcos. (Org.). PROTEÇÃO DE DADOS PESSOAIS EM PERSPECTIVA LGPD e GPDR na ótica do direito comparado. Curitiba: Gendai, UFPR, 2020, pg. 148-185.
UNIÃO EUROPÉIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho. Relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Jornal Oficial da União Europeia, Bruxelas, de 27 de abril de 2016.
Advogado (OAB 95264/MG). Bacharel em Direito pela Universidade FUMEC (2003). Pós-graduado lato sensu em Direito Processual Constitucional pelo Instituto Metodista Izabela Hendrix (2005) e em Direito, Estado e Constituição pela Jurplac (2008). Mestre em Direito Privado pela Universidade FUMEC (2018),...
Ler maisDeixe seu comentário e vamos conversar!
Deixe um comentário