O que os mercados fora da União Europeia precisam saber sobre GPDR

O Regulamento Geral sobre a Proteção de Dados Europeu (GPDR) entrou em vigor em 25 de maio de 2018, dando início a uma nova era de privacidade digital em toda a Europa. Embora a legislação esteja em vigor há quase um ano, ainda há muitas incertezas e equívocos em torno dela, especialmente nos mercados localizados fora da UE.

O GDPR define as regras básicas para o processamento legal e justo de dados pessoais, transparência para os titulares dos dados, limitação de armazenamento, integridade e confidencialidade junto aos controladores de dados.

Para as empresas fora da UE, no entanto, é difícil saber se o GDPR se aplica a elas, e o que fazer em caso afirmativo – o que pode ser o caso daquelas que visam ativamente clientes europeus.

Diretrizes para comerciantes fora da UE

O Comitê Europeu para a Proteção de Dados (EDPB) emitiu recentemente um projeto de diretrizes sobre o assunto, que fornece uma lista de fatores que podem indicar a intenção de oferecer bens ou serviços a indivíduos na UE.

Estes incluem fazer campanhas de marketing destinadas ao público da UE; usar URLs relacionadas à UE; fornecer números de telefone de contato locais para indivíduos na UE; fornecer um site em um idioma local e oferecer pagamentos em moeda local da UE, entre outros.

As diretrizes tentam, de certa forma, resolver a confusão em torno do GDPR para empresas não europeias, mas também levantam mais questões. Por exemplo, o EDPB afirmou que atender apenas a um dos fatores não é necessariamente uma indicação clara de que um comerciante está vendendo para a UE.

Sem um limiar claro, podemos pensar se isso conduzirá a várias interpretações locais de quantos fatores de critérios do EDPB devem ser cumpridos para concluir se um comerciante está vendendo para a UE. É necessário esperar para entender o que vai acontecer.

Controlador de dados contra processador de dados

Outro fator desafiador para os comerciantes fora da UE é o fato de que muitas partes estão envolvidas em um único pagamento, o que significa que nem sempre está claro quem é o controlador de dados e quem é o processador de dados.

As atuais diretrizes europeias tendem a classificar quase todas as instituições financeiras como controladores de dados em vez de processadores, o que pode ter implicações significativas para os comerciantes, que mantêm o relacionamento com o titular relevante dos dados. Ao mesmo tempo, o conceito de "co-controlador" - em que duas partes são controladores, mas não responsáveis pelas ações de cada uma - está surgindo na indústria. No entanto, ainda não se sabe se isso dará certo legalmente.

Para esclarecer essas questões, junto com a Ingenico, perguntei a seus principais clientes fora da UE o que eles querem saber sobre o GDPR e como isso se aplica a eles.

O relatório resultante – A Visão de um Comerciante: A complexidade do GDPR desvendada no mundo dos pagamentos – responde às 10 perguntas mais comuns sobre GDPR, fornecendo informações sobre conformidade, localização de servidores, hospedagem, documentação, bem como o envolvimento e a conformidade das muitas partes diferentes em uma cadeia de transações de pagamento.

Os comerciantes deveriam ler o relatório agora para entender sua própria posição e se suas medidas de conformidade estão de acordo.

 

Arnaud Dubreuil | Diretor de Estratégia & Marketing - Innovation Labs Group

Nadja van der Veer é advogada do setor de meios de pagamentos com mais de 10 anos de experiência em Pagamentos Internacionais e especialista legal em normas e regulamentos envolvendo PSD (Diretiva dos Serviços de Pagamentos), AML (Prevenção à Lavagem de Dinheiro) e CDD (Diligência Devida de Cliente) e esquemas de cartões. Como Co-Fundadora da PaymentCounsel (www.paymentcounsel.com) e uma das Sócias-Gerentes da Pytch Ventures (www.pytchventures.com), ela é consultora para comerciantes adquirentes, prestadores de serviços de pagamento (PSPs / MSPs), fintechs e comerciantes em fase de startup que desejam expandir seu negócio internacionalmente.