Após 24 meses de vacatio legis, em 25 de maio de 2018, a nova regulamentação geral de proteçãode dados da União Europeia (“GDPR”) entrará em vigor. O Regulamento Geral de Proteção de Dados da UE (“GDPR”) substitui a Diretiva 95/46/EC e tem por objetivo, de acordo com o seu artigo primeiro, estabelecer regras sobre a proteção de dados, notadamente, informações sobre pessoas naturais e a circulação destes dados, visando, assim, proteger os direitos fundamentais às suas informações pessoais.

Uma das diferenças mais significativas entre a atual regulação em vigor e a nova é a abrangência extraterritorial desta última. O GDPR é aplicável a toda e qualquer sociedade que processe dados pessoais de indivíduos residentes da EU, independentemente de sua localização, e as sociedades com atividades relacionadas a bens e serviços que coletem dados pessoais de indivíduos da EU, seja ele oferecido gratuitamente ou não. O GDPR também será aplicável aos negócios realizados fora da União Europeia que coletem dados pessoais de residentes da EU com o intuito de ofertar produtos e serviços para indivíduos da EU, ou que monitorem o comportamento dos indivíduos da União Europeia.

Além disso, não importa o tipo de dado que esteja sendo processando. O GDPR se aplica a todos os dados que identificam ou possibilitam a identificação do indivíduo a partir de dados sensíveis, desde saúde, orientação sexual ou política, até as informações básicas, como por exemplo: nome, endereço, fotos ou protocolo de acesso.

Em linhas gerais, segundo o GDPR, a coleta de dados deve ser feita de maneira legal, justa e transparente, e realizada a partir de motivos específicos, legítimos e explícitos, devendo ser armazenados somente pelo tempo necessário para cumprir o propósito especificado. É importante destacar também que o processamento desses dados deve ser realizado de maneira que garanta a sua segurança, cabendo ao controlador a responsabilidade pelo processamento.

Todas as sociedades brasileiras que coletem dados pessoais de cidadãos da EU, especialmente as que operem na EU, deverão atentar se as suas operações está em conformidade com o GDPR e, se este for o caso, quais os passos necessários para cumprir as normas de compliance e do regulamento, uma vez que o GDPR sujeita a sociedade empresária a multas altíssimas de compliance, as quais podem alcançar altíssimas cifras, podendo chegar até 20 milhões de euros ou 4% do seu volume de negócios global ,- o que for mais alto.

No Brasil, ainda não há uma lei específica que regulamente a proteção de dados, existindo apenas dispositivos contidos em normas esparsas, notadamente a Constituição Federal da República, Código Civil, Código de Defesa do Consumidor, Marco Civil da Internet, dentre outras legislações. Contudo, vale notar que há um projeto de lei, registrado sobre o nº 5.276/2016 e inspirado no GDPR, o qual está em trâmite perante a Câmara dos Deputados. De todo modo, o GDPR entrará em vigor em 25 de maio de 2018 e as sociedades empresárias brasileiras deverão atentar-se para suas obrigações, sanções e abrangência.