Esqueça as multas da GDPR! A sua real preocupação deve ser outra: contratos!

Esqueça as multas da GDPR! A sua real preocupação deve ser outra: contratos!

Mesmo que a empresa brasileira não se encaixe, diretamente, nos elementos e/ou pontos de contato que ensejam a aplicação da nova regulamentação, caso esta preste qualquer serviços de tratamento de dados, seja ela contratada ou subcontratada por empresas que estão sujeitas à GDPR, estas somente podem contratar com empresas que também estejam em conformidade

Caso uma empresa brasileira esteja sob a égide da Regulação, com base nos elementos apontados previamente, caso decida por não se adequar, as penalidades podem variar entre 20 milhões de Euros ou 4% do faturamento global da empresa ou do grupo econômico, o que for maior. Esta tem sido, talvez, a principal bandeira levantada pelos cavaleiros do apocalipse que vociferam que as empresas devem correr para estar em conformidade com a GDPR a partir do dia 25 de Maio de 2018. Contudo, efetivamente, a preocupação das empresas, a priori, neste momento, deveria ser outra.

Caso a empresa não esteja efetivamente localizada na União Europeia, não tenha indicado nenhum representante perante as autoridades, ou nomeado um Data Protection Officer (DPO), qualquer Autoridade de Proteção de Dados nacional de qualquer um dos 28 países membros da União Europeia pode ter dificuldades para realizar o enforcement das suas penalidades, sendo, eventualmente, necessário se valer de instrumentos de cooperação internacional para tanto, o que pode ser, por vezes, extremamente lento e burocrático.

Todavia, a Regulamentação determina expressamente, em seu Art. 28, que o Controller só pode contratar com Processors que estejam em conformidade com a GDPR. Para garantir a conformidade com os requisitos da Regulamentação, quando um Controller confiar a um Processor com o processamentos das suas atividades, o Controller deve usar apenas Processors que podem fornecer garantias suficientes, principalmente com relação a conhecimento, recursos e confiabilidade, para implementar medidas técnicas e organizacionais que atenderão aos requisitos da Regulamentação, incluindo a segurança do processamento.

Assim, o Controller pode, eventualmente, devido a nova obrigação legal em vigor a partir do dia 25 de maio de 2018, ter que rescindir seus contratos de processamento ou terceirização de qualquer tipo de tratamento de dados pessoais, como armazenamento, enriquecimento, matching, consulta, profiling, com empresas que não estejam em conformidade com a GDPR, ou não possam conferir garantias suficientes de conformidade, inclusive se estas estiverem no Brasil. Esta causa de rescisão pode, até mesmo, ser considerada justificada, sem qualquer direito a multa ou indenização, caso esse cenário não esteja previsto no contrato, por ser medida de lei a qual o Controller está obrigado.

Portanto, os Processors que estiverem em conformidade terão um oceano azul, pois os Responsáveis somente poderão contratar com eles, limitando a atividade de toda uma miríade de concorrentes. Em outras palavras, estar em conformidade com a GDPR pode ser considerada um diferencial competitivo.

Desta forma, além das multas previstas na GDPR, mesmo que a empresa brasileira não se encaixe, diretamente, nos elementos e/ou pontos de contato que ensejam a aplicação da nova regulamentação, caso esta preste qualquer serviços de tratamento de dados, seja ela contratada ou subcontratada por empresas que estão sujeitas à GDPR, estas somente podem contratar com empresas que também estejam em conformidade. Esta nova obrigação legal pode, eventualmente, ser causa para rescisão justificada de contratos, sem direito a multas contratuais e cláusulas penais, caso tal premissa não esteja prevista nos acordos.

Este e outros temas relativos a proteção de dados podem ser discutidos na Data Privacy Brasil que, inclusive, promoverá no dia 24.05, um workshop intenso sobre a General Data Protection Regulation (GDPR). Serão 05 horas de imersão sobre o novo regulamento europeu com objetivo de analisar e explicar os impactos mais importantes trazidos pela GDPR.

Você pode se inscrever e conferir o programa aqui!