GDPR: quais os impactos e como se preparar

Prazo para adequação à nova regulação europeia se encerra nesta sexta-feira. Prática jurídica sofre impactos técnicos e organizacionais para conformidade.
Nesta sexta-feira (25), passa a valer amplamente a European General Data Privacy Regulation (GDPR), aprovada em abril de 2016 no parlamento da União Europeia. A normativa, que já estava em vigor desde maio daquele ano, teve um período de adequação de dois anos, e passa a vigorar plenamente nesta sexta-feira. Após esse prazo, as penalidades podem ser aplicadas. A GDPR visa aumentar a proteção da privacidade, o direito de acesso aos dados pessoais por parte dos indivíduos e as responsabilidades das entidades que controlam e processam dados pessoais, sensíveis e comportamentais. Baseada em governança, gestão de dados e transparência, a GDPR já é vista como uma nova era da proteção de dados e privacidade. Empresas e escritórios precisam estar alinhados:

As multas por não conformidade começam em 10 milhões de euros ou 2% do faturamento anual global, podendo chegar a 20 milhões de euros ou 4% do faturamento, prevalecendo sempre a maior quantia.

Mas, afinal, o que é a GDPR?

A European General Data Privacy Regulation é a nova estrutura europeia para proteção de dados pessoais ou sensíveis de pessoas vivas e alocadas na União Europeia no momento da cessão de seus dados e informações.

A regulação foi negociada ao longo de quatro anos, sendo adotada em abril de 2016 pelo Parlamento Europeu. Desde sua publicação, em maio de 2016, as organizações tiveram dois anos de preparação e a regulação entra em aplicação efetiva nesta sexta-feira (25). Em resumo, indivíduos, organizações, companhias e escritórios que sejam tanto controladores ou processadores de dados, estão sujeitos à GDPR.

 

Minha empresa, organização ou escritório podem ser afetados?

O Artigo 3 da regulação sustenta que toda organização que colete dados pessoais ou comportamentais de sujeitos de dados na União Europeia estão submetidos às exigências da GDPR. Esse sujeito de dados não precisa, necessariamente, ser um cidadão; pode ser um turista ou visitante. O escopo da GDPR é bastante amplo. Informação pessoal (sensível ou não) se refere aos dados concedidos pelo indivíduo, enquanto informação comportamental se refere aos dados coletados pela organização a partir da observação do sujeito.

Isso significa que qualquer entidade coletando dados de indivíduos enquanto eles estejam na União Europeia está sujeita às exigências da GDPR.

 

Quais são seus principais conceitos?

A GDPR protege o sujeito de dados (indivíduo identificável a quem as informações e dados se referem), no processamento das informações (coleta, uso, compartilhamento, armazenamento, gerenciamento e exclusão) compartilhadas com controladores de dados (quem isoladamente ou em rede determina o propósito e os meios do processamento de dados) e processadores de dados (a parte que operacionaliza esse processamento em nome do controlador. Essa regulação cria um novo patamar de responsabilidade, prestação de contas, transparência e, claro, privacidade. Outro conceito importante nessa discussão é o de Data Protection by Design, que designa a importância da proteção de dados e privacidade como central no desenvolvimento de negócios, produtos e serviços.

 

Devo me atentar mesmo estando no Brasil?

Sim. Se sua empresa está em rede com negócios internacionais, transmissão de dados pessoais ou sensíveis que envolvam a União Europeia, ou se você é prestador de serviços e soluções (inclusive jurídicas) para entidades com essas características, você também será impactado. Basicamente, se você trafega dados digitalmente, sentirá em maior ou menor escala os efeitos.

Diretores jurídicos, mesmo que embasados no Brasil, se tornarão ainda mais estratégicos para as empresas, fomentando a consciência coletiva sobre a importância da regulação para a corporação em um contexto globalizado e digitalizado. Também durante as etapas de inventário de dados e eventuais auditorias, o diretor jurídico tende a ter demandas estratégicas, conceituais e táticas contínuas e robustas.

O papel de Data Protection Officer também é uma nova possibilidade de atuação para consultores e profissionais corporativos em empresas sujeitas às novas normas, que possivelmente terão necessidade desse tipo de profissional. 

Já os profissionais de escritório precisam estar preparados para atender às demandas desse tipo de cliente e para adequarem seus serviços, operações e políticas às exigências da GDPR para processamento de informações. O advogado bem preparado nessa área será um aliado valioso para o compliance e competitividade de empresas em contextos de digitalização global.

Quais os passos mais importantes para entrar em conformidade?

O primeiro e mais importante passo é a consciência compartilhada da regulação entre todas as pessoas na organização. Mesmo pessoas que não tenham em suas atribuições formais o acesso a informações pessoais e sensíveis, precisam estar cientes e preparadas sobre os impactos da regulação. Também é necessário fazer um inventário de dados, sabendo quais dados sua organização processa ou controla, como foram obtidos e como são usados.

Com essa visão mais ampla, as políticas de utilização de dados precisam ser revistas e comunicadas, respeitando as bases legais para a sua prática. Também é preciso verificar se as políticas adotadas asseguram os direitos dos sujeitos de dados, inclusive permissões de responsáveis por crianças e menores de idade, e as formas de acesso e prestação de conta desses dados. Outro ponto importante é averiguar os procedimentos para  detecção, notificação e investigação de violações de privacidade. Ter uma pessoa responsável pela Proteção de Dados (o Data Protection Officer) também pode ser uma ação necessária em alguns tipos de atuação, e isso traz transformações nos organogramas e estruturas de empresas e escritórios jurídicos, assim como o conceito de Data Protection by Design que incorpora as políticas e estratégias de proteção de dados e a conformidade à regulação geral como centro de produtos, serviços e negócios.

 

Quais os impactos da GDPR para os negócios jurídicos?

A GDPR causa uma profunda mudança de paradigma, que passa a priorizar responsabilidade ativa, flexibilidade, importância do contexto e da cooperação. A regulação implica uma aplicação direta, sem transposição e substituição de normas nacionais. A adequação à GDPR requer mudanças legais, organizacionais e técnicas que empresas e escritórios precisam encarar por diversos pontos de vista. São 99 artigos, dos quais 44 são obrigações de conteúdo jurídico, como âmbito de aplicação, tipologia de dados, pedido de consentimento para terceiros ou menores de idade, códigos de conduta. Há ainda medidas técnicas (cinco, no total) e de segurança (três), que englobam, entre outras coisas, encriptação, acessos autorizados, atualização dos sistemas e antivírus, devolução de dados e obrigações de notificação.

Essa é uma grande mudança e quem trabalha com dados precisa saber como os está processando, assegurar que a segurança é apropriada, e não deve transferir dados internacionalmente sem as devidas justificativas. Os processadores devem revisar todos os contratos com os controladores de dados para verificar se os contratos atendem aos requisitos e também para garantir que os controladores de dados de seus clientes estejam comprometidos em fornecer aos processadores as informações de que precisam para realizar seu trabalho.

 

Sou cliente Thomson Reuters, como isso facilita a minha conformidade?

A Thomson Reuters oferece informações regulatórias atualizadas sobre o GDPR, bem como suas soluções legais que ajudam no cumprimento das obrigações do GDPR ao permitirem o gerenciamento da segurança da informação, adequação de formulários (direitor da informação), permissões de acesso, rastreabilidade do sistema e outros requisitos técnicos e legais. 

Ainda no campo das obrigações técnicas, os clientes Legal One podem definir o controle de acesso por perfis de usuários, podem dispor de sua informação e acesso encriptados e seus dados estarão armazenados em sistemas com um processo constantes de atualização dos sistemas de segurança.

Os escritórios poderão organizar a informação em termos de proteção de dados e articular protocolos de atualização adequados à normativa, atendendo às exigências de organização de informação e de processos. Os avanços tecnológicos e as novas regulações de proteção de dados levam aos escritórios de advocacia a um contexto de maior gerenciamento de segurança – e o desafio de adaptar seus processos, profissionais e ferramentas. A Thomson Reuters é uma aliada jurídica e tecnológica nessa digitalização e adequação, oferecendo soluções globais baseadas em informações confiáveis, tecnologia e expertise humana.

 

Como a Thomson Reuters pode me ajudar a desenvolver Data Protection by Design?

As soluções jurídicas da Thomson Reuters, como o Legal ONE, são projetadas para garantir a proteção da privacidade das informações, tanto do ponto de vista lógico pelo design da arquitetura quanto do ponto de vista da operação pela cultura e processos internos e, finalmente, a acomodação na nuvem segura da Thomson Reuters, que há mais de um ano se adequa à GDPR, preparando cultura, processos, sistemas e soluções e revisando o compromisso com a privacidade de dados continuamente no projeto Privacy Matters. Com as soluções tecnológicas, conteúdos e expertise humana da Thomson Reuters, os profissionais de direito ganham mais força como agentes de transformação cultural e como Data Protector Officers.

 

> PARA QUEM PRECISA DE INOVAÇÃO NA GESTÃO JURÍDICA > LEGAL ONE 

A Revolução digital no gerenciamento e inteligência estratégica para escritórios de advocacia e departamentos Jurídicos

> PARA QUEM PRECISA DE CONHECIMENTO ESTRATÉGICO > REVISTA DOS TRIBUNAIS 
O Selo Editorial Revista dos Tribunais reúne autores consagrados do meio Jurídico em obras aprofundadas para capacitar os profissionais do Direito, respaldando-os com respostas rápidas, precisas e confiáveis.

> SOBRE A THOMSON REUTERS  | LEGAL
Respaldamos os profissionais do Direito com respostas confiáveis para as suas decisões mais estratégicas, combinando inteligência, tecnologia e os melhores especialistas, oferecendo soluções digitais inovadoras para a gestão eficiente e gerando conteúdo relevante para as mais diversas áreas do mercado Jurídico.