Publicado em

Dois anos após sua aprovação, o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês) entra em vigor hoje (25) na União Europeia, afetando operacionalmente empresas brasileiras que prestam serviços para companhias ou cidadãos da região e influenciando o debate da criação de uma lei nacional de dados pessoais.

“A [proposta de] lei brasileira é um pouco mais flexível que a GDPR, mas deve compartilhar princípios essenciais como consentimento, transparência, auditoria, fiscalização e penalidades [em caso de incidente de segurança”, explicou ao DCI o advogado e coordenador dos cursos de Direito Digital na Insper, Renato Opice Blum.

“Aqui já foi feita a opção de se inspirar na GDPR. Cabe agora buscar um modelo ainda mais avançado que o europeu, sobretudo no que se refere à transferência internacional de dados”, argumentou o coordenador do comitê regulatório da Associação Brasileira das Empresas de Software (Abes), Andriei Gutierrez.

Segundo ele, “após oito anos de discussões”, há chance real das duas propostas legislativas que tratam do tema – uma no Senado e outra na Câmara – irem para Plenário já na semana que vem.

“Houve reviravolta e foram aprovados [na quarta-feira] requerimentos de urgência nas duas casas. Há chance dos dois projetos serem votados na próxima terça-feira [29]. É evidente que as casas estão concorrendo para ver quem fica com a palavra final”, sinalizou Gutierrez.

“Como o [projeto] do Senado dá mais liberdades de tratamento de dados para o governo, talvez ele tenha preferência do Executivo”, prosseguiu o representante jurídico da Abes. Já a proposta da Câmara levaria vantagem por especificar de forma mais clara o funcionamento da autoridade central de dados que deve ser responsável pela fiscalização na área.

Na União Europeia, uma autoridade centralizada em cada País deve executar a tarefa. No Brasil, a necessidade de entidade similar é considerada consenso; resta saber qual seria a vinculação do órgão.

“O projeto da Câmara sugere uma autarquia vinculada ao Ministério da Justiça, mas com independência financeira”, afirma Gutierrez, deixando em segundo plano a possibilidade de vinculação com o Ministério da Ciência, Tecnologia, Inovações e Comunicações (MCTIC), que chegou a ser aventada na proposta do Senado. “É necessário que a autoridade de dados seja especializada, mas há dúvidas porque ela precisaria de recursos orçamentários”, complementa Renato Opice Blum.

“Precisamos de um órgão competente, independente, especializado e com poder de aplicar sanções”, resumiu a gerente de políticas públicas e privacidade do Facebook no Brasil, durante seminário sobre o tema realizado na Câmara na última terça-feira (22).

Conformidade

Para especialistas consultados pelo DCI, as companhias brasileiras não devem aguardar a criação de uma autoridade nacional para adequar processos de coleta, uso e armazenamento de dados pessoais.

“Quem chegar no mercado e disser ‘estou em conformidade com a GDPR’ estará em vantagem. Além disso, cedo ou tarde, teremos que nos enquadrar em lei muito parecida”, afirmou Opice Blum, da Insper. Já entre empresas brasileiras que prestam serviços para parceiros e cidadãos europeus ou residentes na União Europeia, o compliance se torna obrigatório com a entrada em vigor da legislação europeia.

“O Brasil exporta cerca de US$ 1,5 bilhão a US$ 2 bilhões anuais em serviços de TI. Deste montante, 22% vai para a União Europeia. Muitas associadas estão sendo cobradas por clientes de lá, que querem readequações de contrato com compromissos em conformidade com a GDPR”, destacou Gutierrez, da Abes – assinalando ainda que a medida “vai estimular a consumo de serviços” no mercado doméstico.

Segundo pesquisa global realizada pela empresa de software SAS, 93% das companhias ainda não estão completamente preparadas para as normas. No Brasil, há o risco desse percentual ser ainda maior. Gutierrez afirma que a preocupação com o tema “tem crescido, mas ainda sem a devida importância”. Já Blum afirma que “muitas empresas ainda estão pagando para ver”.

Entre os pontos que merecem atenção estão obrigações de transparência e acesso à informações pessoais e a necessidade de consentimento expresso no manejo de dados – sejam eles sensíveis (como informações genéticas, de saúde ou orientação sexual) ou não.

Também deve se popularizar na Europa a figura do data privacy officer (DPO), ou o executivo que ficará responsável pelo conformidade da política de manejo de dados pessoais dentro das empresas.

“Confesso que ainda não vi [movimento neste sentido] entre as empresas brasileiras. Somente entre subsdiárias de empresas europeias que atuam por aqui”, afirmou Opice Blum.