A partir do dia 25 de maio de 2018 passa a vigorar o Regulamento Geral de Proteção de Dados, conhecido como “General Data Protection Regulation” ou simplesmente “GDPR” (inteiro teor português), que visa impor regras mais restritivas sobre o tratamento de dados pessoais, na União Europeia (“UE”). Considerando a extraterritorialidade da GDPR, tal normativo pode impactar empresas brasileiras.

De modo geral, o GDPR se aplica:

a. Ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um controlador ou de um processador situado no território da UE, independentemente de o tratamento ocorrer dentro ou fora da UE.

b. Ao tratamento de dados pessoais de titulares situados no território da UE, quando as atividades de tratamento estejam relacionadas com:

  • oferta de produtos ou serviços para titulares de dados residentes no território da na UE, independentemente da exigência de pagamento, ou
  • monitoramento de comportamento de indivíduos, desde que este comportamento ocorra dentro do território da UE.

c. Ao tratamento de dados pessoais realizado por um controlador não estabelecido na UE, mas num lugar em que se aplique o direito de um Estado-Membro da EU por força do direito internacional público.

As organizações brasileiras que realizam transferências internacionais ou tratamento de dados de acordo com as premissas de aplicação anteriormente mencionadas devem se adequar até o dia 25 de maio, sob pena de se sujeitarem a multas de até 4% do seu faturamento global anual ou € 20 milhões (aproximadamente R$ 65 milhões).