Em 27 de abril de 2016, foi adotado pela União Europeia (UE) o RGPD (1), mais de quatro anos após ter sido apresentada pela Comissão Europeia(2) a proposta para a sua implementação. Este regulamento entrou em vigor em maio de 2016 e será diretamente aplicável a todos os Estados-Membros a partir de 25 de maio de 2018 (art. 99.º do RGPD).
O RGPD, que substituirá a atual Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e a livre circulação desses dados, visa modernizar e harmonizar as regras de proteção de dados entre os Estados-Membros, representando assim um marco fundamental na reforma europeia do regime jurídico de proteção de dados.
Esta reforma constitui um elemento essencial da “Estratégia para o Mercado Único Digital na Europa”, lançada em 2015 pela União Europeia, que visa o estabelecimento de um mercado que assegure a livre circulação de pessoas, serviços e capitais e em “que os cidadãos e as empresas podem beneficiar livremente de atividades “on-line” e desenvolver essas atividades em condições de concorrência leal e com um elevado nível de proteção dos consumidores e dos seus dados pessoais, independentemente da nacionalidade ou local de residência”, assim como manter a posição da Europa como líder mundial na economia digital (3).
Entre as várias novidades, este novo Regulamento carateriza-se pelo especial enfoque no respetivo cumprimento, o “compliance ”, sendo consagradas medidas mais rigorosas a nível de governança, responsabilidade e documentação para os responsáveis pelo tratamento ou subcontratantes.
O RGPD se apresenta como um instrumento essencial para a modernização e harmonização das regras de proteção de dados na UE, baseando-se, essencialmente, na garantia dos direitos e liberdades fundamentais dos cidadãos, perante os novos desafios da era digital.
Ressalta-se como uma das suas, a consagração do princípio da responsabilidade, bem como o estabelecimento de novas medidas corporativas e técnicas que recaem sobre os responsáveis pelo tratamento e subcontratantes. Por outro lado, é prevista a aplicação, por parte das autoridades de controle, de sanções mais exigentes em caso de descumprimento que impactam a nível organizacional.
Outrossim, as novas tecnologias, a globalização, o fenômeno do big data permitem, nos dias de hoje e cada vez mais, a utilização de dados pessoais em larga escala, o que exige um quadro de proteção de dados mais sólido e eficaz, que confira uma maior segurança ao tratamento dos dados pessoais.
Por conseguinte, este regulamento tem ainda como principais características a especial ênfase no “compliance”, através da consagração dos princípios da responsabilidade e de “data protection by design” e “by default”, bem como do estabelecimento de novas medidas organizativas e técnicas que recaem sobre os responsáveis pelo tratamento e subcontratantes.
A responsabilidade pela verificação prévia do cumprimento das normas de proteção de dados passa, pois, a incidir, essencialmente, sobre os responsáveis pelo tratamento e subcontratantes e não tanto sobre a autoridade de controle, ficando os primeiros obrigados a implementar mecanismos eficazes que assegurem tal cumprimento, sob pena da aplicação de pesadas sanções, que podem chegar a 20.000.000 EUR ou, tratando-se de uma empresa, até 4% do volume de negócios anual a nível mundial.
Conclusão
Por conseguinte, e por tornar-se fundamental adaptar a estrutura organizacional das empresas, o RGPD proporciona, oportunamente uma cultura de "compliance", de maneira a promover, internamente, a implementação e a aplicação dos princípios e das novas obrigações desta reforma europeia da proteção de dados,perante a UE, com impacto relevante internacional, sobretudo para os países da América Latina, Brasil, favorecendo o desenvolvimento de uma economia cada vez mais aberta, transparente e responsável.
Referências Bibliográficas
(1) Aprovado pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (RGPD).
(2) Proposta de Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (RGPD), de 25 de janeiro de 2012. Disponível em: >http://app.parlamento.pt/webutils/docs/doc.pdf?path=6148523063446f764c324679595842774f6a63334e7a6376... ( acesso em 24/05/2018)
(3) Neste sentido, v. Comissão Europeia, Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões: Estratégia para o Mercado Único Digital na Europa, Bruxelas, 6.5.2015, COM (2015) 192 final, p. 3.
Valéria Reani
Pós Graduada em Direito Digital e Compliance pela Faculdade Damásio Educacional. Especialista em Gestão Empresarial pela Pontifícia Universidade Católica de Campinas. Graduada em Ciências Jurídicas e Sociais pela Universidade Católica de Direito de Santos. Professora das Disciplinas de Educação Digital, Ética e Legislação na Fundação Bradesco – Campinas/SP. Docente – ESA – Escola Superior de Advocacia – Núcleos de Santos/ SP/ Santo André e Campinas. Palestrante em Direito Digital e Educação Digital em diversas Instituições Educacionais – Bullying e Cyberbullying.