<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1498912473470739&amp;ev=PageView&amp;noscript=1">
  • Empresas fiscalizadas.
  • Trabalhe Conosco.
  • Imprensa.
  • Fale Conosco.
    Português Português (BR)

Radar

Consulta
201825ª edição
Regulação Internacional

2018

25ª edição

Regra de proteção e privacidade de dados da União Europeia trará impactos para empresas fora da região

Mercados SecundáriosTecnologia e High-frequency Trading

No dia 25 de maio entrará em vigor na União Europeia o Regulamento Geral de Proteção de Dados (General Data Protection Regulation ou GDPR). As novas regras referem-se à proteção e à privacidade de dados de pessoas físicas no que diz respeito ao seu tratamento por organizações e à sua livre circulação. Abarca assim itens que vão desde nome e identificação a dados de localização, de trabalho, situação econômica, saúde, interesses e preferências pessoais. O normativo também será válido para empresas estabelecidas fora da UE, desde que realizem atividades de tratamento de dados de residentes na região, relacionados com a oferta de bens ou serviços a esses usuários ou com monitoramento de seu comportamento.

Após quatro anos de preparação e debate, o GDPR foi aprovado pelo Parlamento da UE em abril de 2016. A nova legislação revogará a Diretiva de Proteção de Dados de 1995 e tem como objetivo harmonizar as leis já existentes de privacidade de dados em toda a região. O texto visa estabelecer os direitos dos indivíduos e facilitar o acesso a informações pessoais detidas pelas empresas, bem como define as obrigações impostas às organizações. 

Como principais destaques, a norma traz princípios e requisitos para licitude no tratamento e na conservação dos dados, contando com especificações quanto à necessidade e às condições de consentimento do titular, normas de execução, de segurança, casos especiais e vedações. Determina também os direitos do titular dos dados, como transparência das informações, comunicação, acesso às informações e direito à sua extinção (“direito ao esquecimento”) e regras de portabilidade.

A norma também determina responsabilidades e obrigações do responsável pelo tratamento, como proteção aos dados, registro e condições junto a subcontratante e regras para transferência de dados a terceiros e regiões fora da UE. Isso inclui também um novo regime de sanções e multas. As infrações podem resultar em multas de até €20 milhões ou 4% do volume de negócios global da empresa.

No Brasil, embora já abordado no Marco Civil da Internet, o uso de dados tem sido objeto de diferentes projetos, como o PL 5276/16, que dispõe sobre o tratamento de dados pessoais para a garantia do livre desenvolvimento da personalidade e da dignidade da pessoa natural, em tramitação na Câmara, e o PLS 330/13, que dispõe sobre a proteção, o tratamento e o uso dos dados pessoais, e dá outras providências, em tramitação no Senado.

Ainda no âmbito das medidas de proteção ligadas à informação e desenvolvimento da tecnologia, em fevereiro, a SEC norte-americana publicou orientações de divulgação de riscos e incidentes de cibersegurança para empresas de capital aberto reguladas pela comissão. Com foco em uma comunicação mais clara e tempestiva aos investidores, o documento busca esclarecer como questões de segurança cibernética – como tratamento de riscos, severidade, frequência, medidas de prevenção e mitigação e controles e procedimentos –, devem ser considerados no cumprimento de requisitos de divulgação já previstos em regulamentações existentes (destaque à Regulation S-K e Regulation S-X).

O documento reforça orientações de divulgação de riscos em cibersegurança publicadas pela autoridade em outubro de 2011. Ademais, expande as disposições para questões não desenvolvidas neste primeiro guia: aponta a necessidade de manutenção de políticas e procedimentos abrangentes – incluindo controles e procedimentos eficazes de divulgação – que abordem riscos e incidentes de segurança cibernética; e ressalta as possíveis violações às regras existentes que empresas podem incorrer ao negociarem valores mobiliários, em posse de informações privilegiadas sobre incidentes de segurança cibernética.

O assunto também esteve na pauta do Grupo Técnico de Cibersegurança da ANBIMA, que realizou, no dia 22/3, o primeiro treinamento compartilhado em segurança cibernética da Associação. Trata-se de um exercício de simulação de incidentes cibernéticos (TableTop Exercise) que tem como objetivo testar a efetividade de políticas de cibersegurança, distribuição de responsabilidades e planos de resposta de cada instituição. O evento integra a agenda do Grupo, que prevê outras ações em 2018 voltadas ao aprimoramento da cibersegurança no mercado de capitais local.