Proteção de dados na União Europeia: O Regulamento Geral sobre a Proteção de Dados (RGPD)

Marlon Antônio Rosa

Primeiramente, é importante saber que a Carta dos Direitos Fundamentais da União Europeia (UE) traz em seu artigo 8º a proteção dos dados pessoais, a saber:

Artigo 8º Proteção de dados pessoais 

1. Todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito. 

2. Esses dados devem ser objeto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. Todas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respectiva retificação. 

3. O cumprimento destas regras fica sujeito a fiscalização por parte de uma autoridade independente.

E é nessas diretrizes que surge o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, Regulamento Geral sobre a Proteção de Dados (RGPD), que estabelece as regras relativas ao tratamento, por uma pessoa física, uma empresa ou uma organização, de dados pessoais relativos a pessoas na UE. 

Entende-se como dados pessoais, informações relacionadas a uma pessoa viva, seja ela identificada ou identificável. Essas informações podem incluir um conjunto de dados distintos que, em conjunto, possam levar à identificação de um indivíduo específico. Assim, percebe-se que as disposições relativas ao tratamento de dados pessoais não se estendem à manipulação de informações de pessoas falecidas ou entidades coletivas, bem como quando o tratamento dos dados é estritamente de natureza pessoal ou está relacionado ao âmbito doméstico, contanto que não haja nenhuma conexão com atividades comerciais ou profissionais. Deste modo, quando um indivíduo utiliza dados pessoais para fins que extrapolam sua esfera pessoal, como em atividades socioculturais ou transações financeiras, a legislação de proteção de dados deve ser observada e respeitada.

Outro ponto, é que quando os dados pessoais são tornados anônimos de tal forma que a pessoa não possa mais ser identificada, ou deixe de ser identificável, esses dados não são mais considerados pessoais. Para garantir a verdadeira anonimização dos dados, é crucial que esse processo seja irreversível, garantindo, assim, que a identificação da pessoa não seja possível mesmo com esforços razoáveis.

Quando se fala em tratamento destes dados, isso abrange uma ampla gama de operações realizadas em dados pessoais, seja por meio manual ou automatizado. O RGPD assegura a proteção dos dados pessoais, independentemente da tecnologia empregada no seu processamento. Ele é imparcial em relação à tecnologia e abrange tanto o tratamento automatizado quanto o manual, contanto que os dados sejam organizados de acordo com critérios predefinidos, como ordenação alfabética, por exemplo. Além disso, o modo de armazenamento dos dados — seja em sistemas informáticos, através de videovigilância ou em formato físico — é irrelevante; em todos esses cenários, os dados pessoais estão sujeitos às exigências de proteção estabelecidas pelo RGPD.

E isso inclui a coleta, o registro, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição de dados pessoais. Essas atividades abrangem todo o ciclo de vida dos dados, desde a sua obtenção até o seu descarte final.

E na questão de aplicabilidade, o RGPD se aplica a empresas ou entidades que realizam o tratamento de dados pessoais no contexto das atividades em sua sede ou em uma de suas filiais que sejam estabelecidas na UE, independentemente do local onde os dados são processados; ou uma empresa estabelecida fora da UE que oferece bens/serviços (pagos ou gratuitos) ou monitora o comportamento de pessoas da UE.

O objetivo do RGPD é definir normas unificadas para a proteção de dados em todos os Estados-Membros da EU, com o propósito econômico de evitar que as empresas enfrentem diferentes regulamentações e, ao mesmo tempo, possibilita que os Estados-Membros detalhem a aplicação do RGPD em áreas específicas, como emprego ou saúde pública. Além disso, o RGPD inclui o “mecanismo de balcão único” para facilitar a cooperação entre as autoridades de proteção de dados em situações envolvendo tratamento transfronteiriço de dados.

Em relação aos direitos dos usuários, a RGPD elenca:

Para garantir sua escorreita aplicação, criou-se a Autoridade Européia para a Proteção de Dados, que é uma entidade independente dotada de poderes de supervisão e cujo objetivo é assegurar que as instituições e os órgãos comunitários respeitem à privacidade dos dados pessoais. Entre suas principais funções estão:

  1. Controlar o tratamento dos dados pessoais, a fim de garantir o cumprimento das regras de privacidade;
  2. Aconselhar as instituições e os organismos da União Europeia sobre todos os aspectos do tratamento dos dados pessoais, das políticas e da legislação neste domínio;
  3. Processa queixas e conduz inquéritos;
  4. Trabalha com as autoridades nacionais dos países da União Europeia para garantir coerência na proteção de dados;
  5. Monitoriza as novas tecnologias suscetíveis de ter um impacto em matéria de proteção de dados.

Em relação ao consentimento dos usuários sobre o tratamento dos dados pessoais, o RGPD assevera que o pedido de consentimento deve ser claro, conciso e usar linguagem de fácil entendimento, destacando-se nitidamente de outras informações, como os termos e condições. Deve detalhar claramente o propósito do uso dos dados pessoais, incluindo os contatos da empresa responsável pelo tratamento. O consentimento deve ser concedido de maneira voluntária, ser específico, informado e expressar os desejos do indivíduo de forma inequívoca. O consentimento informado requer que o titular dos dados receba pelo menos as seguintes informações sobre o tratamento:

  1. A identidade da organização responsável pelo tratamento dos dados. 
  2. Os propósitos para os quais os dados estão sendo processados. 
  3. O tipo de dados que serão objeto de tratamento.
  4. A opção de retirar o consentimento, por exemplo, através do envio de um e-mail para revogação. 
  5. Se aplicável, a divulgação de que os dados serão usados para decisões exclusivamente automatizadas, incluindo a criação de perfis. 
  6. Detalhes sobre a relação do consentimento com transferências internacionais de dados, os possíveis riscos de transferência para fora da UE quando países não têm uma decisão de adequação da Comissão, e a ausência de garantias adequadas.

Qualquer pessoa tem o direito de contatar uma autoridade ou organismo público para exercer seus direitos amparados na RGPD, incluindo os direitos de acesso, retificação, exclusão, limitação e oposição, bem como o direito de não ser sujeito a decisões automatizadas. As autoridades ou organismos públicos devem responder aos pedidos das pessoas sem demora injustificada, geralmente dentro de um prazo de um mês a partir da recepção do pedido. Elas podem solicitar informações adicionais para confirmar a identidade do solicitante. Se o pedido for rejeitado, o solicitante deve ser informado dos motivos da rejeição, além de ser informado sobre o seu direito de apresentar uma queixa junto à Autoridade de Proteção de Dados (APD) e de intentar uma ação judicial.

Uma das grandes polemicas envolvendo o tratamento de dados, envolve os freqüentes vazamentos, a RGPD regulamenta que em caso de divulgação acidental ou ilícita de dados pessoais a destinatários não autorizados, de indisponibilidade temporária dos dados ou de alterações não autorizadas, a violação deve ser notificada à Autoridade de Proteção de Dados (APD) sem demora injustificada e, o mais tardar, dentro de um prazo de 72 horas após tomar conhecimento do incidente. As administrações públicas também podem ser obrigadas a informar os indivíduos afetados sobre a violação de dados.

Por fim, de forma a ter efetividade de cumprimento, a RGPD elenca sanções em casos de descumprimento de suas diretivas, a saber, as pessoas têm o direito de buscar compensação se uma empresa ou organização violar o RGPD e causar danos, como prejuízos financeiros, danos à reputação ou sofrimento psicológico. O RGPD garante que tais danos sejam indenizados, independentemente do número de organizações envolvidas no tratamento dos dados. A compensação pode ser solicitada diretamente à organização responsável ou por meio dos tribunais nacionais competentes. As ações legais são movidas nos tribunais do Estado-Membro da UE onde o responsável pelo tratamento está estabelecido ou onde reside a pessoa que busca a compensação (residência habitual). 

Em casos de provável infração, é possível aplicar uma advertência como medida inicial, no entanto, em casos de infração comprovada, as sanções podem ser mais severas e incluir repreensão, proibição temporária ou definitiva do tratamento de dados. Além disso, uma multa pode ser imposta, com um valor máximo de 20 milhões de euros ou 4% do faturamento anual total da empresa a nível mundial, o que for maior. É importante destacar que, em situações de infração, a autoridade competente pode optar por impor uma multa monetária, seja em substituição ou adicionalmente à repreensão e/ou à proibição do tratamento de dados.

A RGPD possui vasto material de análise na proteção de dados pessoais, o que demonstra o avanço da União Europeia na regulamentação das interconexões digitais e na busca por uma soberania digital efetiva, criando um ambiente seguro para a interação entre sua população, as empresas privadas e os órgãos públicos. 

Pata maiores aprofundamentos:

https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_pt

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *