Nesta sexta-feira (25/5) entra em vigor o General Data Protection Regulation (GDPR) ou Regulamento Europeu sobre Proteção de Dados (Regulamento 2016/679). Trata-se de um avanço significativo na autodeterminação informacional, ou seja, na proteção e segurança de dados, agora afinada essencial e legislativamente com dois princípios fundamentais.
O primeiro desses é o princípio da finalidade ("Zweckverbindung"). Qualquer dado somente pode ser requerido e mantido em uma base conforme a finalidade a que ele se presta. Se a finalidade não existir, o dado não pode ser requerido; se ela deixar de existir, o dado deve ser esquecido, ou melhor, destruído.
O segundo é o princípio do consentimento. Salvo as hipóteses expressamente previstas no Regulamento, quem cede dados próprios precisa consentir. Há necessidade de estar de acordo com a entrega dos dados, bem como com a finalidade a que eles se vincularão.
Esses dois princípios têm se apresentado nos debates mais recentes como pilares indispensáveis na matéria e traços indispensáveis de uma sociedade que se considere civilizada. Trata-se do "padrão ouro" de proteção e segurança de dados.
O primeiro grande impacto já é sentido visivelmente. O Regulamento tem aplicação transversal, ou seja, ele não distingue setores econômicos. Qualquer processamento de dados estará sujeito às suas regras. Muitas empresas, órgãos públicos e sociedades europeias fizeram campanha nos últimos dias aos seus clientes e usuários a respeito das novas regras de privacidade ("privacy policy").
Com base nos princípios da finalidade e do consentimento, os cidadãos terão mais controle sobre seus dados e de como esses são processados. Eles terão direito de acesso, de retificação, de cancelamento, de portabilidade, dentre outros. Os responsáveis pelos tratamentos dos dados terão que criar padrões altos de segurança, de registro dos dados e de notificação sobre eventuais violações. A coleta de dados em ambientes virtuais precisa, enfim, de consentimento dos usuários.
O segundo grande impacto esperado vai além do controle do cidadão dos seus dados, partes integrantes de sua personalidade: uma maior responsabilização das empresas e demais órgãos, que, além de perderem efetivamente faturamento com o descumprimento do Regulamento, serão responsabilizados de maneira diferente, por exemplo, na publicidade, se diagnosticada a quebra proposital das regras do Regulamento. A empresa que realiza publicidade por meio de determinado veículo poderá, até mesmo, ser responsabilizada por erro deste.
Quanto ao Brasil, este não passará distante do Regulamento. Empresas brasileiras, que apresentam filiais na União Europeia ou que ofertem serviços na União Europeia, deverão se moldar às regras do Regulamento a fim de coletar e armazenar dados de cidadãos europeus. Porém, mais importante ainda será a conscientização que precisamos imediatamente de legislação adequada para esta disciplina, além de pesquisas científicas sérias, conduzidas na área jurídica, sobre o tema.
*Rodrigo Vaz Sampaio é especialista em Direito Civil e Proteção de Dados do CEU Law School