A GPDR afeta as empresas brasileiras? A GDPR, que entrou em vigor em 25 de maio de 2018, e é o Regulamento Geral de Proteção de Dados da União Europeia e, pode sim, afetar as empresas brasileiras. De acordo com a GDPR, devem ser observadas as regras de coleta, armazenamento e disponibilização de informações previstas neste regulamento para todos cidadãos europeus, independentemente da empresa com a qual se relacionam. Ou seja, se uma empresa brasileira possui clientes europeus, deve observar a GDPR.
E o Projeto da Lei brasileira, qual é o seu impacto para as empresas? O projeto de Lei, que já foi aprovado pelo Senado e aguarda sanção presidencial, estabelece direitos e responsabilidades de cidadãos, empresas privadas e entidades governamentais que, até hoje, estavam presentes apenas em alguns países da América Latina (como Chile, Argentina, Uruguai e Colômbia). Apesar da discussão se o projeto será ou não aprovado pelo governo atual, por envolver a criação da Autoridade Nacional de Proteção de Dados, é uma legislação que precisa ser implementada no Brasil, inclusive para que as empresas brasileiras possam continuar atuando no ambiente global.
O que acontece se as empresas brasileiras não observarem estas leis?
A GDPR prevê penalidades altíssimas que podem chegar a 20 milhões de Euros ou 4% da receita global.
E o projeto de Lei, prevê multa de até 2% do faturamento do grupo, limitada a R$ 50 milhões.
E o que devem fazer para atender estas legislações?
De uma forma geral, a primeira providência é efetuar um gap analysis dos processos que já possuem para proteção de dados dos seus clientes e o que falta para adapta-los à GDPR e à legislação brasileira, assim que for editada. Após, será necessário implementar as ações necessárias (nomeação do Data Protection Officer, políticas, procedimentos e treinamentos). Também devem criados os controles internos, verificação de conformidade, monitoramento e reporte.
Se a pessoa jurídica for uma instituição financeira, ela deve adotar também os procedimentos para adaptação à Resolução 4.658/2018 que dispõe sobre política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Será necessária, neste caso, a indicação de um diretor responsável por esta política.