Book a demo
Start for free

O GDPR aplica-se a empresas dos EUA?

Desde a sua implementação em 2018, uma das questões mais colocadas sobre a GDPR tem sido: ela se aplica fora da União Européia? E mais especificamente: aplica-se a empresas dos EUA?

Neste post, vamos responder a esta pergunta e explicar o que as empresas americanas podem precisar fazer para cumprir (e evitar multas!).

Does the GDPR apply to US companies?

O GDPR aplica-se aos EUA?

Na maior parte dos casos, sim, é verdade.

O GDPR tem um âmbito extraterritorial, o que significa que também pode ser aplicado fora da União Europeia. O regulamento destina-se a proteger os usuários europeus e, portanto, pode se estender também às empresas estrangeiras.

Para ser mais preciso, para que o GDPR se aplique às suas empresas americanas, você deve atender a pelo menos um dos seguintes requisitos:

  1. A sua empresa está sediada na UE (note que isto se aplica mesmo no caso de uma sucursal da UE);
  2. não está sediada na UE, mas oferece bens ou serviços (mesmo gratuitamente) a utilizadores sediados na UE;
  3. não está sediada na UE, mas monitoriza o comportamento dos utilizadores sediados na UE.

Aqui está um exemplo prático, retirado da Orientações do Conselho Europeu de Proteção de Dados:

Uma start-up estabelecida nos EUA, sem qualquer presença comercial ou estabelecimento na UE, fornece uma aplicação de mapeamento de cidades para turistas. O aplicativo processa dados pessoais relativos à localização dos clientes que utilizam o aplicativo, a fim de oferecer publicidade direcionada para locais a serem visitados, restaurantes, bares e hotéis. O aplicativo está disponível para turistas enquanto eles visitam Nova Iorque, São Francisco, Toronto, Paris e Roma. A empresa americana start-up está especificamente voltada para indivíduos na União (isto é, em Paris e Roma), oferecendo seus serviços a eles quando estão na União. O processamento dos dados pessoais dos indivíduos baseados na União Européia, juntamente com a oferta do serviço, está dentro do escopo do GDPR. Além disso, ao processar os dados de localização das pessoas em causa a fim de oferecer publicidade direcionada, as atividades de processamento também se relacionam ao monitoramento do comportamento dos indivíduos na União. O processamento inicial dos EUA, portanto, também se enquadra no escopo da GDPR

Para uma explicação mais abrangente, dê uma olhada neste vídeo.

Como o GDPR pode afetar as empresas americanas?

Portanto, é um erro pensar que, sendo o GDPR um regulamento europeu, não afeta em nada as empresas americanas.

Como dissemos acima, o âmbito extraterritorial pode permitir que as Autoridades Europeias de Protecção de Dados façam cumprir o GDPR fora da União Europeia.

A aplicação da lei pode ser implementada de diferentes maneiras.

A mais “assustadora” são definitivamente as multas: elas podem chegar até 20 milhões de euros (20 milhões de euros) ou 4% do volume de negócios anual mundial (o que for maior). Mas talvez igualmente preocupantes são as outras potenciais sanções: repreensões oficiais (para violações pela primeira vez), auditorias periódicas de protecção de dados e danos de responsabilidade.

Requisitos de GDPR para empresas dos EUA: como cumprir

Para que seu negócio nos EUA esteja de acordo com o GDPR, aqui estão alguns dos passos a seguir:

  1. Ter uma base legal: o GDPR exige que você tenha pelo menos uma base legal para processar os dados do usuário.
  2. Adquirir consentimento verificável: Enquanto as legislações dos EUA geralmente permitem a coleta e o processamento de dados pessoais sem o consentimento do usuário, a GDPR exige que você colete o consentimento “livre, específico, informado e explícito” através de uma ação “opt-in” clara.
  3. Manter registros claros relacionados ao consentimento: a GDPR também dá aos usuários um direito específico de retirar o consentimento e, portanto, deve ser tão fácil retirar o consentimento quanto dar a ele. Como o consentimento sob a GDPR é uma questão tão importante, é vital que você documente e mantenha registros claros relacionados ao consentimento.
  4. Nomear um responsável pela proteção de dados (DPO): se você estiver baseado fora da UE, ainda pode precisar de um representante europeu para garantir que sua empresa esteja de acordo com o GDPR. Entretanto, a nomeação de um RPD nem sempre é obrigatória, e você deve atender a requisitos específicos (você pode lê-los aqui).
  5. Realizar uma Avaliação de Impacto da Proteção de Dados (DPIA): quando certas condições são cumpridas, e nos casos em que a atividade de processamento de dados é susceptível de resultar em alto risco para os usuários, o GDPR exige que seja realizada uma Avaliação de Impacto da Proteção de Dados (DPIA).

Como iubenda pode ajudar no cumprimento do GDPR

No iubenda, nós adotamos uma abordagem abrangente para o cumprimento da lei de dados. Construímos soluções com os mais rigorosos regulamentos em mente, dando-lhe opções completas para personalizar conforme necessário. Desta forma, nós o ajudaremos a cumprir suas obrigações legais, a reduzir seu risco de litígio e a proteger seus clientes – construindo confiança e credibilidade.

Você pode dar uma olhada em nosso conjunto de soluções para conformidade com a GDPR here.

About us

iubenda

GDPR compliance for your site, app and organization

www.iubenda.com