Fonte: Valor Econômico | Publicado em 30/09 | Clique aqui para ver a publicação original
Inspiração para a regra brasileira, GDPR é menos subjetiva e mais detalhada
Antes mesmo de entrar em vigor, em maio de 2018, a General Data Protection Regulation (GDPR), lei de proteção de dados da União Europeia, deflagrou uma grande transformação na forma de fazer negócios em todo o mundo. Não por acaso, a GDPR serviu de inspiração para leis nos Estados Unidos e no Brasil. Um dos impactos da GDPR são as punições severas, que podem chegar a 4% do faturamento global do negócio ou 20 milhões de euros, a penalidade é aplicada com o maior valor. No Brasil, o teto da multa corresponde a 2% do faturamento do último exercício da empresa, mas não pode ultrapassar R$ 50 milhões.
Patricia Peck, especialista em direito digital, sócia do PG Advogados e professora convidada da Universidade de Coimbra, em Portugal, diz que a LGPD é uma versão reduzida da regulamentação europeia (GDPR). De acordo com Patricia, a LGPD é também mais subjetiva que a GDPR, o que pode dar margem a interpretações, tanto por parte da Autoridade Nacional de Proteção de Dados (ANPD) e como do judiciário.
A regra europeia chega a falar de criptografia especificamente, enquanto a lei brasileira apenas trata de melhor prática de proteção de dados pessoais. Além disso, a chance de levar a matéria a juízo é maior no Brasil, sobretudo no tocante a questões de consumidor. Pois em 2020, ano em que a LGPD entra em vigor, faz 30 anos da criação do Código de Defesa do Consumidor, afirma Patricia.
A especialista em direito digital também destaca a clareza da GDPR com relação à atuação do encarregado de proteção de dados ou data protection officer (DPO). Ela explica que, na GDPR, o texto é muito mais claro sobre os negócios que precisam ter o DPO.
Um exemplo de necessidade do DPO, explícito na GDPR, é quando as atividades principais do controlador ou do processador consistam em operações de tratamento em grande escala de dados sensíveis (Artigo 9º) ou de dados pessoais relacionados com condenações penais e infrações (Artigo 10º). No Brasil, em princípio, todos precisam ter um DPO (exigido pelos artigos 5º. e 41).
André Valadão, advogado da área cível e compliance do Martinelli Advogados, observa que, em vigência há mais de um ano, a GDPR vem provocando impactos no mundo dos negócios muito além das multas. Valadão cita uma pesquisa feita em julho de 2018 pela Merril Corporation e o Euromoney com 539 profissionais envolvidos em fusões e aquisições na Europa, na África e no Oriente Médio. Para 55% desses profissionais, a implementação da GDPR inibiu a conclusão de negócios referentes a fusões e aquisições por ausência de conformidade com a lei no que se refere à proteção dos dados.
Atualmente há, na União Europeia, há uma preocupação também com o ambiente de negócios que envolve startups, por conta do investimento menor em compliance. Para empreendimentos da União Europeia cujas atividades comerciais são mais relacionadas a dados, o número de transações diminuiu 30,7% entre maio de 2018 e abril de 2019, afirma Valadão.
De acordo com Marcos Polatti, diretor jurídico da Transunion Brasil, o maior desafio da adequação das empresas às leis de proteção de dados é a transparência. Ele comenta que a Transunion atua como companhia global de soluções de informação e tem uma operação de crédito no Reino Unido, Callcredit, portanto lida diariamente com a questão da proteção dos dados pessoais. Apesar de a preocupação com a proteção de dados no Reino Unido ser anterior à GDPR, existe desde da década de 1980, Polatti afirma que o nível de clareza sobre o que é feito com os dados ainda é um ponto de atenção.
Quando a GDPR entrou em vigor, as discussões entraram em um nível mais maduro, mas o grande problema é a transparência, a necessidade de deixar absolutamente claro para o consumidor o que está sendo feito com dos dados dele. Essa foi a grande questão com as penalidades aplicadas ao Google e à British Airways, explica Polatti.
