Novo regime de proteção de dados Europeu entra em vigor em 25/05 e impacta empresas

Empresas brasileiras e estrangeiras que possuem negócios em países da União Europeia (UE) têm menos de dez dias para se adequarem ao novo Regulamento Geral de Proteção de Dados (em inglês General Data Protection Regulation – GDPR), que entrará em vigor no dia 25 de maio de 2018. A regulamentação é aplicável a todas as organizações estabelecidas ou não na Europa, que coletem dados pessoais de cidadãos europeus ou que ofereçam bens e serviços aos países membros da UE.

O objetivo é que as empresas planejem seus processos de forma a manter estes dados gerenciados, protegidos e corretamente arquivados, possibilitando inclusive, que os cidadãos sejam antecipadamente avisados sobre o uso dos seus dados e solicitem a portabilidade de suas informações e até mesmo que elas sejam apagadas. Mas será que as empresas sabem o que é preciso fazer para se adequarem à nova normativa?

Para ter certeza de que está respeitando as novas instruções, a organização Médicos Sem Fronteiras (MSF), por exemplo, firmou parceria com a consultoria RSM Brasil ACAL para realizar um trabalho de análise de seus processos e sistemas de tecnologia da informação.

“É importante que as empresas entendam bem as mudanças na regulação para que consigam se alinhar às exigências, evitando sanções. Estamos realizando o Gap Analysis do MSF para descobrir quais processos ainda não atendem à nova GDPR e o que pode ser feito para resolver, em termos de tecnologia ou reorganização de trâmites internos”, diz Felipe José, diretor de TI da RSM. Este projeto é inédito para a consultoria no Brasil e teve parte do valor – o equivalente a 25 mil doses de vacina contra o sarampo – doado a ONG.

Entre as principais determinações do novo GDPR estão as penalidades que as empresas podem sofrer caso não cumpram as regras estabelecidas. “As companhias podem ser multadas em até 4% sobre o valor do volume de negócios global anual ou 20 milhões de euros, o que for maior. Esse valor será aplicado nos casos em que as empresas não tiverem obtido o consentimento adequado sobre os dados dos cidadãos ou em razão da violação da privacidade pelo design”, explica José.

Já nos casos em que as empresas não tiverem registros de dados em ordem, não notificarem sobre vazamentos ou não realizarem avaliação de impacto, as penalidades podem chegar a 2% do faturamento anual. “Por isso, fazer um diagnóstico prévio evitará possíveis prejuízos tanto financeiros quanto à imagem da empresa”, completa o diretor.