Desde a sua implementação em 2018, uma das questões mais colocadas sobre a GDPR tem sido: ela se aplica fora da União Européia? E mais especificamente: aplica-se a empresas dos EUA?
Neste post, vamos responder a esta pergunta e explicar o que as empresas americanas podem precisar fazer para cumprir (e evitar multas!).
Na maior parte dos casos, sim, é verdade.
O GDPR tem um âmbito extraterritorial, o que significa que também pode ser aplicado fora da União Europeia. O regulamento destina-se a proteger os usuários europeus e, portanto, pode se estender também às empresas estrangeiras.
Para ser mais preciso, para que o GDPR se aplique às suas empresas americanas, você deve atender a pelo menos um dos seguintes requisitos:
Aqui está um exemplo prático, retirado da Orientações do Conselho Europeu de Proteção de Dados:
Uma start-up estabelecida nos EUA, sem qualquer presença comercial ou estabelecimento na UE, fornece uma aplicação de mapeamento de cidades para turistas. O aplicativo processa dados pessoais relativos à localização dos clientes que utilizam o aplicativo, a fim de oferecer publicidade direcionada para locais a serem visitados, restaurantes, bares e hotéis. O aplicativo está disponível para turistas enquanto eles visitam Nova Iorque, São Francisco, Toronto, Paris e Roma. A empresa americana start-up está especificamente voltada para indivíduos na União (isto é, em Paris e Roma), oferecendo seus serviços a eles quando estão na União. O processamento dos dados pessoais dos indivíduos baseados na União Européia, juntamente com a oferta do serviço, está dentro do escopo do GDPR. Além disso, ao processar os dados de localização das pessoas em causa a fim de oferecer publicidade direcionada, as atividades de processamento também se relacionam ao monitoramento do comportamento dos indivíduos na União. O processamento inicial dos EUA, portanto, também se enquadra no escopo da GDPR
Para uma explicação mais abrangente, dê uma olhada neste vídeo.
Portanto, é um erro pensar que, sendo o GDPR um regulamento europeu, não afeta em nada as empresas americanas.
Como dissemos acima, o âmbito extraterritorial pode permitir que as Autoridades Europeias de Protecção de Dados façam cumprir o GDPR fora da União Europeia.
A aplicação da lei pode ser implementada de diferentes maneiras.
A mais “assustadora” são definitivamente as multas: elas podem chegar até 20 milhões de euros (20 milhões de euros) ou 4% do volume de negócios anual mundial (o que for maior). Mas talvez igualmente preocupantes são as outras potenciais sanções: repreensões oficiais (para violações pela primeira vez), auditorias periódicas de protecção de dados e danos de responsabilidade.
Para que seu negócio nos EUA esteja de acordo com o GDPR, aqui estão alguns dos passos a seguir:
No iubenda, nós adotamos uma abordagem abrangente para o cumprimento da lei de dados. Construímos soluções com os mais rigorosos regulamentos em mente, dando-lhe opções completas para personalizar conforme necessário. Desta forma, nós o ajudaremos a cumprir suas obrigações legais, a reduzir seu risco de litígio e a proteger seus clientes – construindo confiança e credibilidade.
Você pode dar uma olhada em nosso conjunto de soluções para conformidade com a GDPR here.