GDPR e Projeto de Lei de Proteção de Dados. O que sua empresa precisa fazer?

A GPDR afeta as empresas brasileiras? A GDPR, que entrou em vigor em 25 de maio de 2018, e é o Regulamento Geral de Proteção de Dados da União Europeia e, pode sim, afetar as empresas brasileiras. De acordo com a GDPR, devem ser observadas as regras de coleta, armazenamento e disponibilização de informações previstas neste regulamento para todos cidadãos europeus, independentemente da empresa com a qual se relacionam. Ou seja, se uma empresa brasileira possui clientes europeus, deve observar a GDPR.

E o Projeto da Lei brasileira, qual é o seu impacto para as empresas? O projeto de Lei, que já foi aprovado pelo Senado e aguarda sanção presidencial, estabelece direitos e responsabilidades de cidadãos, empresas privadas e entidades governamentais que, até hoje, estavam presentes apenas em alguns países da América Latina (como Chile, Argentina, Uruguai e Colômbia). Apesar da discussão se o projeto será ou não aprovado pelo governo atual, por envolver a criação da Autoridade Nacional de Proteção de Dados, é uma legislação que precisa ser implementada no Brasil, inclusive para que as empresas brasileiras possam continuar atuando no ambiente global.

O que acontece se as empresas brasileiras não observarem estas leis?

A GDPR prevê penalidades altíssimas que podem chegar a 20 milhões de Euros ou 4% da receita global.

E o projeto de Lei, prevê multa de até 2% do faturamento do grupo, limitada a R$ 50 milhões.

E o que devem fazer para atender estas legislações?

De uma forma geral, a primeira providência é efetuar um gap analysis dos processos que já possuem para proteção de dados dos seus clientes e o que falta para adapta-los à GDPR e à legislação brasileira, assim que for editada. Após, será necessário implementar as ações necessárias (nomeação do Data Protection Officer, políticas, procedimentos e treinamentos). Também devem criados os controles internos, verificação de conformidade, monitoramento e reporte.

Se a pessoa jurídica for uma instituição financeira, ela deve adotar também os procedimentos para adaptação à Resolução 4.658/2018 que dispõe sobre política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Será necessária, neste caso, a indicação de um diretor responsável por esta política.

Entre em contato conosco!

Service and technical excellence, personalized services and focus are part of our core values. We single out the best ways and we help our clients in their implementation.