A nova Regulação Geral de Proteção de Dados (GDPR, da sigla em inglês) da União Europeia promete agitar o mercado programático em 2018. Os desdobramentos são muitos: publishers terão que reconsiderar o número de parceiros, enquanto as empresas da região adotarão políticas mais rígidas de proteção dos dados. As empresas que atuam no Brasil com armazenamento e tratamento de dados de titulares europeus devem se atentar à GDPR, como destaca o especialista Renato Leite Monteiro, do Baptista Luz Advogados. Confira abaixo o artigo escrito pelo advogado para o IAB Brasil sobre as implicações dessa regulação europeia por aqui.

O que é a General Data Protection Regulation (GDPR)

A Regulação Geral de Proteção de Dados (General Data Protection Regulation – GDPR) (Regulação (EU) 2016/679) (“Regulação”) é uma Regulação adotada pela União Europeia em abril de 2016 para substituir a Diretiva 95/46/EC (“Diretiva”), conhecida como Diretiva Europeia de Proteção de Dados Pessoais. A Regulação recebeu uma vacatio legis de 24 meses e entrará em vigor em 25 de maio de 2018, efetivamente substituindo a antiga Diretiva. A Regulação terá um efeito global, uma vez que ela se aplica a entidades que processam dados pessoais, mesmo quando o tratamento se dá fora da limitação geográfica da União Europeia, desde que sejam oferecidos bens ou serviços a titulares de dados que se encontram em algum país do bloco europeu ou caso monitore o comportamento de titulares de dados localizados na União Europeia.

Transferências internacionais baseadas em instrumentos jurídicos

A Regulação também enumera outros instrumentos que autorizam a transferência internacional de dados, desde que o processamento dos dados pessoais já seja baseado em uma hipótese legítima de tratamento, como consentimento expresso ou dever legal. Quais são:

O titular dos dados expressamente consentiu com a transferência internacional dos seus dados, depois de ter sido informado dos possíveis riscos de tal transferência devido à ausência de uma decisão de adequação e proteções apropriadas.

Importante enaltecer que com relação à transferência internacional de dados, a Regulação requer “consentimento expresso” no lugar de “consentimento inequívoco”. De acordo com a Regulação, o consentimento inequívoco permite que o titular dos dados informar o seu desejo em autorizar o processamento dos seus dados por meio de uma declaração ou uma ação afirmativa, como um comportamento. O consentimento expresso requer que o titular dos dados “responda ativamente a uma pergunta, oralmente ou por escrito”, como definido pelo Article 29 Working Party.

De acordo com o Art. 13 17 da Regulação, responsáveis pelo processamento devem fornecer determinadas informações para os titulares dos dados quando da obtenção do consentimento expresso, o que inclui:

• que o responsável pretende transferir os seus dados pessoais para um terceiro país fora da União Europeia;
• que essa transferência se dará para um país que obteve uma decisão de adequação de um nível de proteção de dados pessoais; ou
• referência às proteções adequadas ou apropriadas para garantir seus direitos e como obtê-las. essas informações devem ser fornecidas numa forma concisa, transparente, inteligível e de fácil acesso, por meio de uma linguagem simples e clara, de acordo com o Art. 12.
• outra possibilidade de transferência internacional é quando a transferência é necessária para a execução de um contrato entre o responsável pelo tratamento e o titular dos dados, ou para a implementação de medidas pré-contratuais requisitadas pelo titular dos dados;
• a transferência é necessária para a conclusão ou execução de um contrato concluído no interesse do titular dos dados, mas celebrado entre o responsável pelo processamento dos dados e uma terceira pessoa, natural ou jurídica;
• a transferência é necessária por razões de interesse público subjacente.

Confira o estudo completo realizado por Renato Leite Monteiro, do Baptista Luz Advogados, O Impacto da Regulação Geral de Proteção de Dados da UE em Empresa Brasileira.

Acesse também o material do IAB Europa sobre a regulação e como o mercado vem se preparando para a mudança: Regulação Europeia de Proteção de Dados.