Em 25 de maio de 2018 entrou em vigor na União Europeia o Regulamento Geral de Proteção de Dados (GDPR). É sabido que a legislação brasileira se inspirou na Europeia como marco teórico, porém quais as diferenças e semelhanças entre estas?
Podemos dizer que a grande semelhança é o objetivo desses diplomas, já que ambos, buscando respeitar a privacidade online, tem o intuito de inverter a lógica em vigor e fazer com que os usuários — e não as empresas — tenham controle sobre seus dados pessoais que são armazenados ao navegar pela internet.
Então, os dois preceitos exigem a instalação de programas que recolham e armazenem os dados de forma segura, realizando seu tratamento de forma adequada. Determinam, então, rigorosas regras para o manuseio das informações, bem como fiscalização por autoridades que podem cominar em aplicação de multas (art. 83º GDPR e 52 LGPD) ou até mesmo indenização por quem tenha sofrido quaisquer danos devido a violação destas disposições (art. 82º GDPR e 42 LGPD).
A grande diferença entre estes diplomas é a especificidade, tendo em vista que, enquanto a Lei nacional rege o tema de forma mais ampla, o Regulamento Europeu traz mais definições e determinações, a exemplo do direito de oposição ao chamado “marketing direto” (art. 21º GDPR), que vai além do simples consentimento exigido na legislação nacional (art. 7º LGPD).
No que tange a transferência extraterritorial de dados, em ambos esta só pode ocorrer se comprovado o alto nível de proteção do país receptor. Contudo, no caso do Regulamento Europeu, a Comissão Europeia deve decidir se o país terceiro ou organização internacional assegura o nível adequado de proteção (art. 45º GDPR). Não tendo sido tomada tal decisão, ainda pode haver a transferência se houver instrumento no país terceiro que garanta a proteção de dados (art. 46º), haja consentimento do titular, seja a transferencia necessária para a execução de contrato, por razões de interesse público ou defesa em processo judicial, ou ainda para a defesa de interesses vitais de incapazes, ou se, no caso concreto, houver registro aberto ao público que demonstre que as condições da UE estão preenchidas (art. 49º GDPR).
Já na Lei nacional pode haver transferência para os países que proporcionem proteção de dados adequado ao previsto nesta lei ou quando comprovado a existência de cláusulas contratuais específicas para a transferência; normas cooperativas globais, ou selos certificados e códigos de conduta regularmente emitidos. Também será permitido se a transferencia for necessária para a cooperação jurídica internacional, para proteger a vida ou integridade física de terceiro, quando for necessária a execução de política pública ou quando a autoridade nacional autorizar (art. 33 LGPD).
Ademais, os dois diplomas preveem a possibilidade de ataques virtuais. Além de obrigar as empresas a terem um plano de ação para conter as falhas de segurança, ainda devem as autoridades serem informadas sobre a ocorrência de algum ataque. No caso do Regulamento Europeu, este informe deve ocorrer em até 72 horas após o incidente de segurança (art. 33º GDPR), enquanto a Lei brasileira afirma que a informação deve ser prestada em prazo razoável (art. 48, §1ºLGPD), conforme será definido pela autoridade nacional.
Por fim, quanto à aplicação de cada um dos diplomas, a Lei Geral de Proteção de Dados será utilizada quando a operação de tratamento do dado ou a sua coleta seja realizada em território nacional, bem como quando a atividade vise fornecer bens ou serviços ou tratamento de dados de pessoas localizadas no nosso território. Frisa-se que são coletados no Brasil os dados cujo titular aqui se encontra no momento da coleta. Além do mais, para a aplicação da lei, é necessário um fim econômico (art. 3º e 4º LGPD).
Já o Regulamento Europeu será aplicável ao tratamento de dados pessoas no contexto de atividades de estabelecimento, responsável pelo tratamento, ou subcontratante situado no território da União, independentemente de onde ocorra o tratamento. Também abrange o tratamento de dados de titulares residentes na Europa, desde que a oferta de bens ou serviços a esses titulares ocorra neste território ou o controle do seu comportamento tenha lugar na União. Ademais, será aplicável se, por força do direito internacional público, aplique-se o Direito da União Europeia ao responsável estabelecido fora da União (art. 3º). Frisa-se que também é necessário que não se trate de atividades meramente pessoais ou domésticas (art. 2º).
Assim, é possível observar que ambos diplomas desdobram-se em questões técnicas, buscando responsabilizar e ordenar o armazenamento e uso de dados online. Promove-se, então, uma maior proteção e privacidade aos titulares que, ao se utilizar de plataformas eletrônicas, muitas vezes perdiam o controle sobre as próprias informações que se tornam mercadoria na mão das empresas.
Redação por: Amanda Costa Novaes
Fontes:
Comments