Ano 12 #158 :: Julho 2018
SOCIETÁRIO

Entenda como o GDPR pode afetar os seus contratos

A existência de mecanismos voltados à proteção de dados na União Europeia não é novidade. Pelo contrário, de 1995 até 24 de maio de 2018, os países membros da U.E. inspiravam-se, cada um à sua maneira, nas orientações para proteção de dados previstas na Data Protection Directive de 1995 para definir sua legislação interna. 

Porém, visando à atualização das regras de proteção de dados para as novas tecnologias e à uniformização dessas normas entre os países do grupo, a U.E. aprovou, em 2016, o novo regulamento geral europeu de proteção de dados, o General Data Protection Regulation (GDPR). O novo regulamento entrou em vigor no dia 25 de maio de 2018, em substituição à antiga Data Protection Directive de 1995.

Uma das mudanças trazidas pelo GDPR é a ampliação do escopo das normas de proteção de dados para empresas que não estão fisicamente localizadas na Europa. Conforme dispõe o artigo 3º do GDPR, o novo regulamento aplica-se ao tratamento de dados pessoais conduzido no estabelecimento de um controlador (“data controllers”, conforme art. 4º (7)), ou de um processador de dados (“data processors”, segundo art. 4º (8)) situado na U.E., ainda que o processamento não ocorra na U.E. (art. 3º (1)). 

Também se aplica o GDPR ao tratamento de dados pessoais de pessoas localizadas na U.E. (art. 4º (1)), feitos por um controlador ou um processador localizado fora da U.E., quando o tratamento desses dados estiver relacionado com a prestação de serviços ou de mercadorias a pessoas na Europa, ou com o monitoramento de dados de pessoas na Europa (art. 3º (2)).

Outra novidade do GDPR é a instituição de um sistema escalonado de penalidades para as empresas que não estiverem em conformidade com o novo regulamento, sejam elas as controladoras ou as processadoras dos dados. Para infrações consideradas menos severas, o regulamento determina a incidência de multa de até 10 milhões de euros, ou de até 2% do faturamento anual global, o que for maior (art. 83(4)). Por sua vez, infrações severas são penalizadas com multa de até 20 milhões de euros ou de até 4% do faturamento anual global, o que for maior (art. 83 (5)). 

Além das sanções financeiras previstas no GDPR incidirem até mesmo sobre empresas situadas no Brasil, empresas brasileiras não podem descartar o impacto negocial imediato da perda de contratos e da perda reputacional decorrentes da desconformidade com o GDPR. Também não se pode ignorar o fato de que empresas brasileiras capazes de demonstrar sua conformidade com o GDPR terão grande vantagem competitiva em relação aos demais players do mercado em futuras negociações com empresas sujeitas a esse regulamento.

Assim, a conformidade com o GDRP é essencial para as  empresas brasileiras que preencham os seguintes requisitos: (i) tenham contratos atuais com empresas submetidas ao GDPR ou com menção à aplicação das antigas diretrizes europeias superadas pelo GDPR; (ii) controlem ou processem dados de pessoas localizadas na U.E., ainda que a empresa esteja fisicamente localizada no Brasil; ou (iii) enviem dados para processamento na U.E., ainda que esses dados sejam de pessoas localizadas fora da U.E. (art. 3º). 

Para as empresas cujos contratos vigentes já previam a aplicação das diretivas europeias superadas pelo GDPR, é recomendável a revisão desses contratos para atualizá-los quanto às novas regras de proteção de dados, em conformidade com o GDPR.

Igualmente, contratos que estejam em negociação ou que sejam celebrados futuramente e que, de alguma maneira, envolvam (i) o controle ou o tratamento de dados de pessoas localizadas na U.E., ou (ii) o processamento de dados realizado na U.E., podem ter que incluir dispositivos específicos para garantir sua conformidade com o GDPR. Nesses casos, a avaliação da conformidade da operação pretendida e das próprias empresas contratantes com o GDPR é fundamental para garantir o sucesso da relação contratada e a reputação das partes contratantes. Por exemplo, o art. 28 do GDPR, que regula a relação contratual entre controladores e processadores de dados, estabelece alguns requisitos de inclusão obrigatória nesses contratos, inclusive a determinação de que haja um contrato escrito entre as partes.

Um dos pontos importantes que deve ser considerado para a elaboração e para a revisão de contratos sujeitos ao GDPR é a inclusão de previsão escrita quanto à finalidade a que se destina o tratamento dos dados pessoais e à duração do processamento, além de definição expressa a respeito do tipo de dado pessoal envolvido no contrato: trata-se de dado considerado sensível? Faz-se necessária a inclusão de mecanismos especiais para a proteção desses dados? 

Outro aspecto importante para garantir a conformidade de contratos atuais e de contratos celebrados futuramente ao GDPR refere-se à colheita de consentimento claro, inequívoco, espontâneo e informado (art. 4º (11)) do titular dos dados.