A medida é para evitar a violação ou divulgação não autorizada de dados dos cidadãos europeus 
(Arte: TUTU)

A nova lei da União Europeia para a proteção de dados pessoais de seus cidadãos entrou em vigor no dia 25 de maio de 2018. O Regulamento Geral de Proteção de Dados – que tem a sigla em inglês GDPR – impõe mudanças internas nas empresas brasileiras que têm relação com cidadãos de qualquer um dos 28 países integrantes do bloco econômico.

A assessoria técnica da Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP) salienta que, nesse contexto, devem se atentar à nova legislação empresas brasileiras que tenham filiais ou representação na Europa; empresas que eventualmente ofereçam produtos e serviços no mercado europeu; empresas que utilizem dados de cidadãos europeus localizados na Europa; e empresas que contratarem outras empresas da Europa nesse tema de proteção de dados.

Veja também:
Nova regulamentação para proteção de dados entra em vigor e afeta empresas brasileiras 
Falta legislação específica sobre proteção de dados no Brasil
Especialistas dão dicas ao microempresário sobre como se proteger de ciberataques

A GDPR tem como objetivo proteger os dados digitais dos cidadãos europeus ao evitar a violação ou divulgação não autorizada de seus dados, como nome, foto, e-mail, endereço, dados bancários, endereço IP de um computador, entre outros.

Isso significa que, caso o sistema de determinada empresa brasileira que venda produtos para europeus sofra um ataque cibernético, e os dados desses cidadãos ficarem vulneráveis, a empresa será autuada. O descumprimento da nova lei resultará em infrações que podem variar de uma advertência atéuma multa de 4% do faturamento global da empresa – que não ultrapasse 20 milhões de euros. As punições serão concedidas com base na natureza, na gravidade e na duração da violação aos dados pessoais.

As pequenas e médias empresas (PMEs) também devem cumprir as normas, no entanto, algumas das obrigações podem não ser aplicáveis a todas as PMEs. Por exemplo, as micros e pequenas empresas com menos de 250 trabalhadores não estão obrigadas a manter registros das suas atividades de tratamento, a não ser que efetuem o tratamento de dados pessoais como atividade regular ou lidem com dados sensíveis que possam representar alguma ameaça aos direitos e liberdades das pessoas naturais ou registros criminais.

As PMEs também não têm que nomear necessariamente um encarregado de proteção de dados perante a autoridade estrangeira, salvo se o seu principal negócio for o tratamento de dados e, eventualmente, constituir uma ameaça aos direitos e liberdades individuais, sobretudo se isso for feito em grande escala.

O usuário titular dos dados terá o direito de acessar, alterar ou excluir as suas informações pessoais concedidas à empresa a qualquer momento. Em caso de ocorrências que possam expor as informações,a situação deve ser relatada às autoridades competentes e a todos os potenciais afetados no prazo de até 72 horas.

Para evitar sanções, a assessoria jurídicada Entidade aconselha que o empresário siga os seguintes passos:

* Identificar se o seu negócio se enquadra em uma das hipóteses listadas pela nova regra da União Europeia;

* Avaliar como é feita atualmente a coleta, o armazenamento e o tratamento dos dados pessoais dos usuários;

* Estudar a GDPR para saber o que já é feito e o que ainda precisa ser aplicado em sua empresa, de acordo com a atividade desenvolvida e legislação vigente;

* Verificar a necessidade de contratar ou nomear um encarregado da proteção de dados perante o órgão fiscalizador estrangeiro.