A GDPR não aplica somente a dados de cidadãos europeus! Vamos acabar com esse mito!

A GDPR não aplica somente a dados de cidadãos europeus! Vamos acabar com esse mito!

Já escutei incontáveis vezes a seguinte frase: “A GDPR se aplica a dados de cidadãos europeus”. Todavia, este é mais um dos vários mitos sobre a nova Regulamentação. Este artigo visa especificamente derrubar esse mito.

A GDPR se aplica a coleta de dados pessoais de pessoas naturais que se encontram na União Europeia, independente da sua nacionalidade, cidadania, domicílio ou residência.

Assim, quanto a eficácia extraterritorial da Regulamentação, antes de qualquer análise pormenorizada, é necessário afirmar que ela não leva, em nenhum momento, para fins de determinação de jurisdição ou de onde e quando a norma será aplicada, a nacionalidade das pessoais naturais titulares dos dados pessoais. Em outras palavras, a GDPR não se aplica, somente, a cidadãos europeus. A nacionalidade não é um elemento que deve ser levado em consideração.

Para corroborar esse entendimento, recentemente o Conselho Europeu publicou[1] uma correção ao texto do Art. 3(2) do Regulamento, pois a tradução deste do inglês (língua original) para outras línguas levou a algumas dúvidas interpretativas que davam margem a entender que a GDPR se aplicaria apenas a dados de pessoais residentes na EU (ainda assim não havia menção à nacionalidade ou cidadania). O conceito “who are” (em inglês) foi erroneamente traduzido para “residente” (português), que é um conceito jurídico, mas o legislador queria se referir a pessoas naturais que “se encontram” em território pertencente a algum dos 28 países membros da EU. Segue comparativo:

Texto original. Onde se lê:

“2. O presente regulamento aplica-se ao tratamento de dados pessoais de titulares residentesno território da União, efetuado por um responsável pelo tratamento ou subcontratante não estabelecido na União, quando as atividades de tratamento estejam relacionadas com:”

Texto atualizado. Leia-se:

“2. O presente regulamento aplica-se ao tratamento de dados pessoais de titulares que se encontrem no território da União, efetuado por um responsável pelo tratamento ou subcontratante não estabelecido na União, quando as atividades de tratamento estejam relacionadas com:”.

Desta forma, a GDPR se aplica a coleta de dados pessoais de pessoas naturais que se encontram na União Europeia, independente da sua nacionalidade, cidadania, domicílio ou residência.

Dando continuidade, os pontos de contato abaixo são balizas elementares para se verificar se a GDPR de aplica à empresa, independente destas se localizaram fisicamente na União Europeia. Segue um breve resumo destes:

  • Aplicação extraterritorial alcança empresas brasileiras com filiais na União Europeia ou que ofertem serviços ao mercado europeu;
  • Aplica-se: empresa com filial ou representação na União Europeia (“EU”);
  • Aplica-se: empresa, mesmo sem presença física na EU, mas que oferece serviços ao mercado europeu;
  • Aplica-se: empresa, mesmo sem presença física na EU, que coleta dados de pessoas naturais localizadas na EU, independente da nacionalidade;
  • Aplica-se: empresa, mesmo sem presença física na EU, que monitora pessoas naturais localizadas na EU, independente da nacionalidade;
  • Aplica-se: empresa, mesmo sem presença física na EU, que terceiriza o processamento de dados para empresas localizadas na EU.
  • A Regulação inova em relação à Diretiva e aumenta drasticamente os limites da sua jurisdição para incluir, também, responsáveis pelo tratamento que se encontram geograficamente fora da União Europeia.

Desta forma, a Regulação deve ser aplicada quando:

  • O responsável pelo processamento está geograficamente localizado em membro da União Europeia e tem um estabelecimento principal, independentemente deste ser a matriz ou uma filial, ou da forma jurídica. A nacionalidade dos titulares dos dados é irrelevante. Neste caso, o Responsável estará sujeito apenas a supervisão da uma autoridade de proteção de dados pessoais do local do estabelecimento principal[2].
  • Se o Responsável pelo processamento de dados está geograficamente localizado fora da União Europeia e oferece serviços ou produtos para residentes na União Europeia ou monitora o comportamento de residentes na União Europeia[3]. Neste cenário, o responsável não só estará sob a jurisdição da Regulação, mas também estará sujeito à supervisão de todas as autoridades de proteção de dados pessoais dos países para os quais oferece os seus serviços ou produtos ou monitora o comportamento de seus residentes.

Todavia, a Regulação não deixa claro o que seria oferecer serviços ou produtos, ou monitorar o comportamento, apenas que deve existir a intenção em oferecer os serviços para aquele(s) país(es) membro(s). Para determinar a intenção, a linguagem utilizada e a moeda de transação podem ser levadas em consideração. Com relação ao monitoramento, este independe de uma relação comercial ou pagamento, e pode ir além de online tracking, mas os tipos de práticas e tecnologias ainda serão alvo de discussão[4].

Outro ponto que Regulação não deixa claro para determinar a sua jurisdição é o conceito de titulares de dados que se encontram na União Europeia, independente da nacionalidade, uma vez que esta não define se seriam apenas pessoas que residem nos países membros ou também àquelas que ali estão presentes, mas não residem efetivamente. A melhor doutrina tem entendido que a mera localização física, mesmo que temporária, de uma pessoa natural, independente da sua nacionalidade, em qualquer um dos 28 países da União Europeia, ou locais do mundo que estejam sob sua jurisdição, daria ensejo a aplicação extraterritorial[5].

Os responsáveis pelo processamento de dados que se encontram foram da União Europeia não podem se valer do conceito de one-stop-shop, qual seja, responder a autoridade de proteção de dados de apenas um país, mesmo que processe dados em referência a outros países membros. Neste cenário, o Responsável estará sujeito às autoridades de todos os países e deve indicar um representante perante as autoridades de cada um, o que pode aumentar os custos operacionais.

As autoridades nacionais podem tomar medidas contra os representantes localizados em seus territórios, não contra os responsáveis pelo processamento se estes se encontram em países terceiros. Mas estas podem ordenar, por exemplo, que operadores de infraestrutura de comunicação, como empresas de telefonia, bloqueiem o acesso aos serviços oferecidos pelo responsável. Em ambas situações existe um risco de dano reputacional muito grande, o que pode influenciar a decisão em cooperar com as autoridades.

Portanto, Com base no exposto acima, qualquer empresa brasileira poderá estar sujeita à jurisdição prescrita pela Regulação caso colete dados pessoais de pessoas naturais, físicas, localizadas na União Europeia, ou ofereça seus serviços e produtos diretamente para o mercado de membros da União Europeia, e caso trate dados de pessoas naturais localizadas no bloco econômico.

Este e outros temas relativos a proteção de dados podem ser discutidos na Data Privacy Brasil que, inclusive, promoverá no dia 24.05, um workshop intenso sobre a General Data Protection Regulation (GDPR). Serão 05 horas de imersão sobre o novo regulamento europeu com objetivo de analisar e explicar os impactos mais importantes trazidos pela GDPR

Além de contextualizar como a União Europeia chegou até a essa nova regulamentação, o curso fará um sobrevoo sobre os principais elementos da GDPR: a) aplicação extraterritorial: a GDPR se aplica às empresas brasileiras? b) dados pessoais, pseudoanonimizados, anonimizados e perfis comportamentais (profiling): o que a GDPR regula-protege? c) privacy by design, privacy by default e risk-regulation: há uma nova cultura regulatória? d) transferências internacionais: o que é preciso fazer para garanti-las? e) obrigações dos responsáveis pelo tratamento de dados: por que é importante diferenciar controllers e processors? e f) Data Protection Officer: o que é preciso para se tornar um DPO?

Você pode se inscrever e conferir o programa aqui: https://goo.gl/T11R51

[1] Publicação do Conselho Europeu com as correções em diversas línguas, inclusive Português: http://data.consilium.europa.eu/doc/document/ST-8088-2018-INIT/en/pdf

[2] Art. 3(1): “This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not”.

[3] Art. 3(2): “This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

·      the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

·      the monitoring of their behaviour as far as their behaviour takes place within the Union.

[4] Considerando 24 – Applicable to processors not established in the Union if data subjects within the Union are profiled: “The processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union should also be subject to this Regulation when it is related to the monitoring of the behaviour of such data subjects in so far as their behaviour takes place within the Union. In order to determine whether a processing activity can be considered to monitor the behaviour of data subjects, it should be ascertained whether natural persons are tracked on the internet including potential subsequent use of personal data processing techniques which consist of profiling a natural person, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes”.

[5] MADGES, Robert. GDPR’s global scope: the long story. Disponível em: https://medium.com/mydata/does-the-gdpr-apply-in-the-us-c670702faf7f