As novas leis de proteção de dados no Brasil e na União Europeia

Information is everything.” Em tempos de digitalização, globalização e tecnologia de informação avançadas, a importância de dados e informações tem crescido exponencialmente. Com isto, o tema de proteção de dados, tanto de caráter pessoal, quanto profissional, tem ganhado força.

A União Europeia (UE) aprovou a lei de proteção de dados – EU General Data Protection Regulation (GDPR) – em abril de 2016, após quatro anos de preparação e debate. Essa lei, que entrou em vigor em maio deste ano, harmoniza as leis de privacidade já existentes nos países da União Europeia e objetiva a proteção da privacidade dos dados dos cidadãos europeus. Ela serviu também para mudar e reorganizar a maneira que organizações e empresas lidam com a privacidade de dados.

O Brasil teve sua primeira lei de proteção de dados, a Lei Geral de Proteção de Dados (LGPD) – lei n° 13.709/2018, aprovada em agosto de 2018, após votação nas duas casas legislativas. Ela dispõe “sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” (art. 1°). Apesar da lei entrar em vigor somente após decorridos 18 meses de sua publicação oficial, ou seja, em fevereiro de 2020, é importante para todas as pessoas e entidades com operações de tratamento de dados se adequarem às novas regras.

Ambas as leis definem dados pessoais como informação relacionada à pessoa natural identificada ou identificável. Adiciona a GDPR que é considerada identificável uma pessoa que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como, por exemplo, um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa singular. Vale destacar que a LGPD estabelece regras especiais para dados pessoais sensíveis.

Mesmo que as duas leis sejam originadas de diversos ordenamentos jurídicos e de diferentes continentes do mundo, ambas podem ter aplicação à pessoa natural ou jurídica no Brasil e na Alemanha. Dessa forma, vale destacar a aplicação territorial das leis. Qualquer operação de tratamento de dados submete-se à lei brasileira quando forem realizadas no território nacional. Operações de tratamento de dados realizados fora do território nacional são submetidas à lei brasileira em duas hipóteses – quando a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços, ou o tratamento de dados de indivíduos localizados no território nacional e, ainda, quando os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

Neste sentido, consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta. Por sua vez, a lei europeia GDPR se aplica ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável ou subcontratado situado no território da União Europeia, independentemente se o tratamento dos dados ocorrer dentro ou fora do território dela. Ademais, se aplica a pessoas e entidades sem estabelecimento na União Europeia nos seguintes casos:

(i) tratamento de dados pessoais de residentes no território da União Europeia;

(ii) relação das atividades de tratamento de dados relacionadas com a oferta de bens ou serviços a esses titulares de dados na UE, independentemente da exigência de os titulares dos dados procederem a um pagamento, e/ou com o controle do seu comportamento, desde que esse comportamento tenha lugar na UE;

Ambas as leis não se aplicam a operações de tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos. Adicionalmente, não tem aplicação em casos de tratamento realizados para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais. Adicionais hipóteses de não-aplicação das leis foram determinadas nas respectivas leis.

Em relação às operações de tratamento de dados, as leis estabelecem diversos direitos, obrigações e responsabilidades para as partes envolvidas.

Por um lado, determina os requisitos para o tratamento de dados pessoais. Por outro lado, estabelece os direitos dos titulares destes dados. Para completar, constitui responsabilidades em relação à segurança nas operações de tratamento de dados.

É de suma importância que as empresas saibam as obrigações e responsabilidades impostas pelas leis, verifiquem sua aplicabilidade e implementem regras e ações adequadas para atendê-las. Desta forma, garante-se o cumprimento das regras legais e evita-se eventual aplicação de multas significativas previstas nas leis em caso de descumprimento.

Vale ressaltar que a GDPR já está em vigor desde maio de 2018. E, mesmo que ainda falte mais de um ano para a LGPD entrar em vigor no Brasil, as medidas necessárias para sua implementação devem ser analisadas e desenvolvidas agora, a fim de estarem bem preparadas para quando entrar em vigência.

Para saber mais sobre as novas leis de proteção de dados entre em contato conosco: juridico@ahkbrasil.com ou (+55 11) 5187-5216.

Dra. Claudia Bärmann Bernard é a Diretora do Departamento Jurídico da Câmara Brasil-Alemanha.

O Departamento Jurídico da AHK-São Paulo é ponto de apoio para todas as questões no seu âmbito que poderão surgir nas relações comerciais bilaterais. Oferece informações sobre regulamentos legais existentes e intermedia contatos com órgãos públicos e especialistas. Trabalhamos em conjunto com nossos escritórios de advocacia associados para informar empresas associadas e interessados nos mercados da Alemanha e do Brasil acerca das regras legais para investir no País, bem como de mudanças na legislação e importantes decisões judiciais. Para divulgar estas informações contamos com a nossa série de brochuras “So geht´s – Assim se faz”, bem como o newsletter Recht & Steuern que dedicará uma edição especial às leis de proteção de dados no Brasil e na Alemanha.