Book a demo
Start for free

O GDPR aplica-se a empresas dos EUA?

Desde a sua implementação em 2018, uma das questões mais colocadas sobre a GDPR tem sido: ela se aplica fora da União Européia? E mais especificamente: aplica-se a empresas dos EUA?

Neste post, vamos responder a esta pergunta e explicar o que as empresas americanas podem precisar fazer para cumprir (e evitar multas!).

Does the GDPR apply to US companies?

O GDPR aplica-se aos EUA?

Na maior parte dos casos, sim, é verdade.

O GDPR tem um âmbito extraterritorial, o que significa que também pode ser aplicado fora da União Europeia. O regulamento destina-se a proteger os usuários europeus e, portanto, pode se estender também às empresas estrangeiras.

Para ser mais preciso, para que o GDPR se aplique às suas empresas americanas, você deve atender a pelo menos um dos seguintes requisitos:

  1. A sua empresa está sediada na UE (note que isto se aplica mesmo no caso de uma sucursal da UE);
  2. não está sediada na UE, mas oferece bens ou serviços (mesmo gratuitamente) a utilizadores sediados na UE;
  3. não está sediada na UE, mas monitoriza o comportamento dos utilizadores sediados na UE.

Aqui está um exemplo prático, retirado da Orientações do Conselho Europeu de Proteção de Dados:

Uma start-up estabelecida nos EUA, sem qualquer presença comercial ou estabelecimento na UE, fornece uma aplicação de mapeamento de cidades para turistas. O aplicativo processa dados pessoais relativos à localização dos clientes que utilizam o aplicativo, a fim de oferecer publicidade direcionada para locais a serem visitados, restaurantes, bares e hotéis. O aplicativo está disponível para turistas enquanto eles visitam Nova Iorque, São Francisco, Toronto, Paris e Roma. A empresa americana start-up está especificamente voltada para indivíduos na União (isto é, em Paris e Roma), oferecendo seus serviços a eles quando estão na União. O processamento dos dados pessoais dos indivíduos baseados na União Européia, juntamente com a oferta do serviço, está dentro do escopo do GDPR. Além disso, ao processar os dados de localização das pessoas em causa a fim de oferecer publicidade direcionada, as atividades de processamento também se relacionam ao monitoramento do comportamento dos indivíduos na União. O processamento inicial dos EUA, portanto, também se enquadra no escopo da GDPR

Para uma explicação mais abrangente, dê uma olhada neste vídeo.

Como o GDPR pode afetar as empresas americanas?

Portanto, é um erro pensar que, sendo o GDPR um regulamento europeu, não afeta em nada as empresas americanas.

Como dissemos acima, o âmbito extraterritorial pode permitir que as Autoridades Europeias de Protecção de Dados façam cumprir o GDPR fora da União Europeia.

A aplicação da lei pode ser implementada de diferentes maneiras.

A mais “assustadora” são definitivamente as multas: elas podem chegar até 20 milhões de euros (20 milhões de euros) ou 4% do volume de negócios anual mundial (o que for maior). Mas talvez igualmente preocupantes são as outras potenciais sanções: repreensões oficiais (para violações pela primeira vez), auditorias periódicas de protecção de dados e danos de responsabilidade.

Requisitos de GDPR para empresas dos EUA: como cumprir

Para que seu negócio nos EUA esteja de acordo com o GDPR, aqui estão alguns dos passos a seguir:

  1. Ter uma base legal: o GDPR exige que você tenha pelo menos uma base legal para processar os dados do usuário.
  2. Adquirir consentimento verificável: Enquanto as legislações dos EUA geralmente permitem a coleta e o processamento de dados pessoais sem o consentimento do usuário, a GDPR exige que você colete o consentimento “livre, específico, informado e explícito” através de uma ação “opt-in” clara.
  3. Manter registros claros relacionados ao consentimento: a GDPR também dá aos usuários um direito específico de retirar o consentimento e, portanto, deve ser tão fácil retirar o consentimento quanto dar a ele. Como o consentimento sob a GDPR é uma questão tão importante, é vital que você documente e mantenha registros claros relacionados ao consentimento.
  4. Nomear um responsável pela proteção de dados (DPO): se você estiver baseado fora da UE, ainda pode precisar de um representante europeu para garantir que sua empresa esteja de acordo com o GDPR. Entretanto, a nomeação de um RPD nem sempre é obrigatória, e você deve atender a requisitos específicos (você pode lê-los aqui).
  5. Realizar uma Avaliação de Impacto da Proteção de Dados (DPIA): quando certas condições são cumpridas, e nos casos em que a atividade de processamento de dados é susceptível de resultar em alto risco para os usuários, o GDPR exige que seja realizada uma Avaliação de Impacto da Proteção de Dados (DPIA).

Como iubenda pode ajudar no cumprimento do GDPR

No iubenda, nós adotamos uma abordagem abrangente para o cumprimento da lei de dados. Construímos soluções com os mais rigorosos regulamentos em mente, dando-lhe opções completas para personalizar conforme necessário. Desta forma, nós o ajudaremos a cumprir suas obrigações legais, a reduzir seu risco de litígio e a proteger seus clientes – construindo confiança e credibilidade.

Você pode dar uma olhada em nosso conjunto de soluções para conformidade com a GDPR here.

About us

iubenda

GDPR compliance for your site, app and organization

www.iubenda.com

Este site está registrado em wpml.org como um site de desenvolvimento. Você pode mudar para uma chave de site de produção para remove this banner.