Embora o regulamento se restrinja à União Europeia, o Regulamento Geral de Proteção de Dados (GDPR) pode afetar empresas de todo o mundo. O regulamento da União Europeia 2016/679, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE, foi aprovado em de 27 de abril de 2016, mas as empresas tiveram até última sexta-feira (25/05) para se ajustar às regras. Evy Marques, advogada e professora de direito societário e M&A na pós-graduação da Escola de Direito da FGV-SP e conselheira do Instituto Smart City Business America, explica que, caso o GDPR seja aplicável, as empresas de internet deverão tomar as medidas cabíveis e que, caso não façam a adequação, multas que podem chegar a 20 milhões de euros, ou a 4% do faturamento global da empresa infratora, poderão ser aplicadas. “Em virtude das restrições impostas à coleta de dados pessoais, as empresas terão que  em muitos casos, readequar os seus modelos de negócio a essas novas regras, estabelecer políticas robustas de segurança cibernética e de privacidade, implementar mecanismos voltados à transparência de suas atividades e desenvolver campanhas publicitárias com o intuito de gerar confiabilidade, convencendo o usuário, assim, a disponibilizar uma maior quantidade de dados pessoais”, disse. No entanto, acrescentou, o maior desafio é o custo financeiro para que as empresas cumpram com toda a regulamentação. “Não basta que as companhias ajustem as suas políticas internas e implantem uma cultura de segurança e transparência; isso porque o GDPR prevê a adoção de medidas que exigem um investimento considerável, por exemplo, a designação de um ‘data protection officer’ e o desenvolvimento de negócios baseados no conceito de privacy by design”, explicou Fernando Bousso, advogado do Felsberg Advogados da área de tecnologia. Os ISPs que atendem outras empresas, provendo acesso à internet, hospedando sites, fornecendo serviços diversos ligados à internet, devem também orientar seus clientes para que, sendo o GDPR aplicável, eles deverão obter o consentimento expresso do cliente acerca dos dados e informá-lo a respeito de como os seus dados serão tratados, bem como funcionarão as medidas de alteração, transferência e exclusão de dados. Para Marques, ainda que seja pouca — ou quase inexistente — a divulgação e conscientização pelas entidades governamentais sobre os impactos do GDPR, sobretudo para as empresas localizadas fora da União Europeia, o GDPR impõe desafios relevantes às companhias brasileiras que ofertem serviços ou produtos aos indivíduos localizados na União Europeia (independentemente da cidadania do indivíduo), ou que monitorem indivíduos situados em países da União Europeia, por exemplo, para fins de mídia programática.   Ariane Maia, diretora-executiva da A²BI, lembra que quem trabalha com internet precisa estar por dentro do GDPR porque ele determina regras para o tratamento e processamento de dados do indivíduo. “Quando você é um provedor, você, de cerca forma, consegue rastrear o indivíduo, seja via IP ou outro indicador, mas isto ainda não torna o indivíduo totalmente identificado, mas cruzando com outras informações pode conseguir. Portanto, o provedor tem de ficar atento a não permitir que outros serviços viabilizem o cruzamento da informação que o provedor tem com um dado que possa se tornar pessoal”, disse.  A recomendação de Maia é atentar-se para não gravar dados que viabilizem a identificação do indivíduo. “Passamos de uma situação que não tínhamos tão claro os limites para uma situação que o GDPR tenta colocar barreiras para o uso de dados e que  indivíduo seja o senhor da sua informação.” Maia acrescenta que os ISPs precisam orientar seus clientes quanto ao uso do GDPR para não ter problemas junto ao órgão regulador. “O ponto mais importante é a atenção ao dado que está coletado, à formalização e à coparticipação de responsabilidade. Os provedores têm de se armar juridicamente para deixar claro até onde os ver que envolvem eles são usados para que a lei seja seguida”, ressaltou.   O consultor jurídico da Atos para América do Sul, Daniel Rodrigues Pinto, recomenda que todas as empresas de internet, especialmente provedores ISPs, façam um estudo completo de seus processos internos e serviços prestados, inclusive mediante contratação de consultores terceiros qualificados, para identificarem a necessidade de se adequarem a nova legislação europeia.Na qualidade de prestador de serviços, os ISPs devem ter especial atenção à responsabilidade que assumem perante o titular dos dados pessoais, uma vez que a responsabilização, diferentemente da lei antiga, também pode atingir os prestadores de serviços, destacou Rodrigues Pinto. Entenda o regulamento Os objetivos e principais pontos do GDPR tiveram como metas estabelecer regras adequadas ao mercado único digital, assegurar que cada um dos indivíduos controla os dados respectivos, com direitos e obrigações, e dando maior transparência, clarificação das condições de consentimento, portabilidade dos dados, direito ao esquecimento e privacidade, e prover uma estrutura de governança da proteção de dados moderna e eficaz. Houve reforço dos poderes das autoridades de proteção de dados e constituição de um comité europeu de proteção de dados. A autoridade de proteção de dados tem o papel de mediador evitando o recurso sistemático aos tribunais.   Leia especial sobre o assunto.