O GDPR, regulamento europeu de proteção de dados, completa hoje três anos em vigor. Com base nele, já foram aplicadas 661 multas pelas Autoridades de Proteção de Dados no valor total de 292 milhões de euros.

Todos os países da União Europeia, bem como o Reino Unido, aplicaram ao menos uma multa baseada no GDPR. A Itália lidera o ranking, com multas que ultrapassam 76 milhões de euros, seguida da França, com valor superior a 54 milhões de euros, e da Alemanha, com pouco mais de 49 milhões de euros. 

Essas informações são de estudo divulgado pelo Privacy Affairs, site especializado em proteção de dados e cibersegurança.

Impacto do GDPR além da UE

O impacto do GDPR foi muito além da União Europeia e não pode ser resumido à aplicação de multas pelas Autoridades locais. O regulamento europeu chamou a atenção do mundo inteiro para a importância de criar uma cultura de proteção de dados. E, para isso, aprovar leis específicas sobre o assunto é fundamental.

Sem contar que o GDPR se aplica também a empresas de outras países, como brasileiras, desde que ocorra qualquer dos fatores a seguir: i) a organização ofereça bens ou serviços a pessoas lá localizadas ou ii) haja prática do monitoramento de comportamento (incluindo profiling) de pessoas que estejam no território da UE.

Nos Estados Unidos, que ainda não contam com uma legislação federal de proteção de dados, a influência, em termos legislativos, do regulamento europeu de proteção de dados se deu – por enquanto – no âmbito estadual. Por enquanto porque a expectativa é que os EUA aprovem no curto prazo uma lei de abrangência federal dedicada ao tema.

A CCPA (California Consumer Privacy Act), aprovada em 28 de junho de 2018, entrou em vigor no dia 1º de janeiro do ano passado. A aprovação ocorreu, portanto, pouco mais de um mês depois da entrada em vigor do GDPR. Mas a influência do GDPR fica mais evidente mesmo na sucessora da CCPA: a CPRA (California Privacy Rights Act), que entrará em vigor a partir de 1º de janeiro de 2023. A nova legislação da Califórnia se baseia na estrutura construída pela CCPA, expandindo os direitos de privacidade do consumidor para que estejam mais alinhados com o GDPR.

Além disso, impõe obrigações adicionais às empresas e estabelece a primeira agência dos Estados Unidos dedicada exclusivamente à regulamentação e aplicação das normas de proteção de dados do consumidor.

Outros países, como Canadá, Austrália e Japão, estão em processo de revisão de suas leis de privacidade para que fiquem mais alinhadas à abordagem do GDPR.

GDPR e LGPD

A LGPD (Lei Geral de Proteção de Dados Pessoais), que entrou em vigor em setembro do ano passado, foi inspirada no GDPR.

Há disposições semelhantes, como a do consentimento dos titulares de dados, a do direito de informação garantido aos titulares, a da responsabilidade dos agentes de tratamento, além das regras referentes ao DPO (Data Protection Officer), chamado de Encarregado pela LGPD, e aquelas sobre segurança do tratamento de dados.

O princípio da autodeterminação informativa faz parte de ambas as legislações, garantindo ao titular de dados o controle de como e quando seus dados são tratados, bem como o direito de acessá-los e exigir sua retificação ou descarte.

Programas de conformidade em privacidade e proteção de dados

O GDPR e as leis que se sucederam exigem das empresas a criação de programas de conformidade em privacidade e proteção de dados que se apliquem às organizações como um todo, envolvendo seus colaboradores e demais stakeholders. Nesse contexto, a governança corporativa vem sendo revista em todo o mundo a fim de contemplar as exigências dessas legislações.

Parte importante da conformidade com a privacidade reside no conhecimento dos dados pessoais tratados pela empresa – especialmente na forma que são utilizados no dia a dia pelos diversos profissionais envolvidos no negócio.

Para mais informações, nossas equipes permanecem à disposição.