search A mídia que reinventa a empresa

GDPR: desencadeando a união entre advogados de proteção de dados e software de proteção de dados

GDPR: desencadeando a união entre advogados de proteção de dados e software de proteção de dados

Por Francesc Alcaraz Gallego

Em 3 de maio de 2025

O futuro da consultoria jurídica está passando por seu primeiro teste importante com a chegada do novo regulamento sobre a proteção de dados pessoais.

A chegada da complexa regulamentação levou ao surgimento de uma série de softwares ou ferramentas de TI que, por um lado, facilitam o tratamento correto das obrigações estabelecidas pela nova lei, mas que também, por outro lado, têm como objetivo substituir o trabalho jurídico real de aconselhamento sobre a conformidade regulamentar.

Qual será o escopo dessa consultoria? Quem será o responsável final? Os dois provedores de serviços trabalharão juntos? Ela se estenderá a outras áreas do direito?

O que o GDPR implica?

Em 25 de maio de 2016, o Regulamento 679/2016 da UE sobre Proteção de Dados Pessoais entrou em vigor e veio para ficar. Portanto, ele não envolverá uma mera adaptação regulatória, mas uma profunda mudança cultural que adicionará tarefas recorrentes às várias partes obrigadas, como até agora:

  • contabilidade,
  • declaração de impostos,
  • o registro de livros contábeis e contas anuais, etc.

Após o pânico vivido nos meses anteriores e, principalmente, nos dias que antecederam sua entrada em vigor, é hora de educar sobre as mudanças fundamentais e receber de braços abertos uma mudança cultural que, sem dúvida, é absolutamente necessária.

Então, o que nós, como cidadãos, podemos exigir e quais medidas as empresas e outras pessoas obrigadas a cumprir o regulamento terão que tomar?

Extensão dos direitos dos cidadãos

Novos direitos

Além dos já conhecidos direitos ARCO (acesso, limitação, retificação e oposição), foram criados o popular direito de ser esquecido e o direito à portabilidade. Este último obriga o controlador de dados a fornecer ao titular dos dados uma cópia completa de seus dados em formato eletrônico e em um formato compatível. O direito de ser esquecido, por outro lado, obriga o controlador a apagar todos os dados mantidos sobre um titular de dados específico.

O cidadão como proprietário de seus próprios dados

Do ponto de vista do cidadão, a nova regulamentação nos permite recuperar a propriedade real de nossos dados. A partir de agora, os bancos de dados pessoais não serão de propriedade de uma determinada empresa, mas dos proprietários desses dados.

Isso significa que a empresa os utilizará de acordo com os critérios de legitimação estabelecidos pelo Regulamento, principalmente com base no consentimento expresso dado pelo proprietário dos dados ou seu responsável, e a empresa será, portanto, considerada responsável pela custódia e proteção corretas dos dados, mas nunca o proprietário dos dados.

Toda a cadeia será responsável

Por outro lado, do ponto de vista da empresa, profissional ou instituição pública, como já destacamos, doravante controladora, ela não poderá mais ser considerada proprietária dos dados pessoais que trata, mas sim responsável pelo seu processamento.

Isso significa que eles terão que adotar uma atitude proativa e responsável e se envolver na conformidade, adotando e se adaptando à nova cultura de proteção de dados pessoais.

De fato, a empresa deve não apenas proteger os dados, mas também garantir que os terceiros envolvidos que, por vários motivos, tenham acesso aos dados sob sua custódia também cumpram as regras e ajam com responsabilidade no processamento dos dados.

Mais obrigações para as empresas

Novos registros e responsabilidades

A obrigação de registrar arquivos na AEPD foi abolida, mas o Registro de Atividades de Processamento foi criado como uma exigência legal para empresas com mais de 250 funcionários ou que processem dados sensíveis ou dados que possam gerar riscos significativos para os titulares dos dados.

Ao mesmo tempo, o Registro de Processadores de Dados também nasceu do senso comum:

  • o Registro de Processadores de Dados,

  • o Registro de Clientes quando atuam como processadores de dados,

  • o Registro de solicitações de titulares de direitos sobre dados pessoais,

  • o Registro de Transferências de Dados e o Registro de Incidentes.

Por outro lado, também será obrigatório:

  • a análise de risco de cada uma das operações de processamento,

  • Avaliações de Impacto na Privacidade (PIAs ) quando, devido à sua natureza, escopo, contexto e finalidade, houver uma probabilidade razoavelmente alta de prejudicar os direitos e liberdades de pessoas físicas.

Um novo ator entra em cena

O Data Protection Officer (DPO ) é a pessoa física, especializada em direito e com conhecimentos práticos de proteção de dados, que faz a mediação entre a empresa, os titulares dos dados, os terceiros envolvidos e a Agência Espanhola de Proteção de Dados (AEPD), além de avaliar os sistemas de conformidade, analisar os riscos e coordenar as diferentes equipes envolvidas no processo de adequação e manutenção da conformidade.

Por enquanto, somente as administrações públicas, exceto os tribunais, e as empresas que realizam operações de processamento que exigem observação regular e sistemática dos titulares de dados em grande escala e/ou operações de processamento que envolvem categorias especiais de dados em grande escala, como dados de saúde, serão obrigadas a nomear um DPO. Além disso, também quando exigido pelos estados-membros da UE em seus regulamentos internos.

Em um futuro não muito distante, está claro que a gama de empresas obrigadas se expandirá à medida que os processos se tornarem mais fáceis e os custos forem reduzidos, por exemplo, com ferramentas de software.

De fato, a AEPD declarou em várias ocasiões que as empresas que não são obrigadas a fazê-lo devem designar voluntariamente seu DPO, pois isso oferece enormes vantagens.

As sanções exigem conformidade

Diante do exposto e tendo entendido quem é o controlador de dados e quem é o responsável, vale a pena alertar, sem o objetivo de assustar, que as penalidades variarão entre 2% e 4% do faturamento global anual total do ano fiscal anterior. As multas variam de 10 milhões de euros para penalidades graves e 20 milhões de euros para penalidades muito graves.

Portanto, a título de exemplo, uma PME que faturou 800.000 euros em 2017, com ou sem lucro em 2017, terá de pagar entre 16.000 e 32.000 euros se for penalizada.

É por isso que é importante levar essa mudança cultural muito a sério e evitar penalidades na medida do possível, em vez de planejar arcar com o custo, a provisão e a espera. Uma prática muito comum no passado que hoje não faz mais sentido.

Software RGPD: ferramentas que são indubitavelmente necessárias

Como vimos, as novas regulamentações exigem muito esforço, em primeiro lugar para preparar estudos jurídicos densos e, em seguida, um plano de ação que especifique cada uma das medidas que devem ser realizadas para demonstrar a uma possível inspeção que as regulamentações estão sendo cumpridas e/ou que todas as ações consideradas necessárias para cumprir as regulamentações estão sendo realizadas de forma proativa.

Nós, como consultores da área, não podemos ignorar a existência de tais softwares e seus conselhos mais do que sólidos sobre o plano de ação apropriado. Também não podemos continuar a propor o uso de planilhas do Excel para realizar os registros mencionados acima. O software chegou à nossa profissão e não só não devemos ter medo dele, como também devemos adotá-lo como mais uma ferramenta para melhorar e aprimorar a qualidade do nosso trabalho.

A tecnologia pode substituir o trabalho dos advogados?

Algumas empresas podem estar quase por conta própria, mas com muito cuidado para seguir as "instruções" corretamente a fim de evitar responsabilidades, mas o futuro diz que elas ainda precisarão de nós .

Prova disso é que alguns softwares de GDPR já oferecem uma plataforma paralela para que o consultor, atuando ou não como DPO interno ou externo, revise e aprove tanto a preparação do plano de ação quanto sua implementação. Esse talvez seja o melhor critério para avaliar a qualidade e a utilidade desse software.

No que diz respeito à minha experiência pessoal nesse sentido, uma questão que surge em qualquer assunto ou área do direito, é essencial que a comunicação entre advogado e cliente seja perfeitamente registrada, ordenada e que seja possível gerar documentos que transcrevam essas conversas (por exemplo, PDF) no caso de surgir qualquer tipo de conflito. Portanto, o e-mail está próximo de se tornar uma coisa do passado.

Juristas + tecnologia = processamento seguro

Essa combinação parece ser perfeita, pois, embora as horas de consultoria e, portanto, os custos sejam bastante reduzidos, será sensato que as empresas continuem a transferir o risco da consultoria final sobre o assunto para os advogados e, portanto, para suas seguradoras.

Quanto a se isso se estenderá a outras áreas do direito, o futuro é imprevisível, mas tudo indica que, sem dúvida, isso acontecerá.

Artigo traduzido do espanhol