Artigo 27 da GDPR: Como Nomear Representante na UE ?
Descubra quando e como nomear um representante na União Europeia (UE) sob o Artigo 27 da GDPR. Guia prático com multas, exceções e implementação para empresas brasileiras que processam dados europeus
Você sabia que empresas brasileiras podem ser multadas em valores milionários por não terem um representante na União Europeia?
Se sua empresa processa dados de cidadãos europeus, o Art. 27 da GDPR (legislação europeia, Regulamento Geral sobre a Proteção de Dados) pode ser obrigatório para você. Boa leitura!
O que o Artigo 27 da GDPR exige, e para quem?
Se a sua empresa não tem estabelecimento na União Europeia e oferece bens/serviços para pessoas na UE ou monitora comportamento dessas pessoas (Art. 3), deve designar por escrito um representante na UE (EU Representative).
Apesar de haver exceções estritas, estas não se aplicam quando há tratamento em larga escala ou quando há o tratamento de categorias especiais de dados, tais como os dados sensíveis (dados de saúde, por exemplo).
Onde este representante deve estar sediado?
O representante deve estar e um dos Estados-Membros da UE onde estejam os titulares afetados. Como boa prática, escolha o país com maior concentração desses titulares (ex.: Alemanha, se a coleta for majoritária com titulares de dados alemães).
Exemplos de países mais estratégicos para empresas brasileiras:
1. Alemanha: maior economia da UE, regulação bem estruturada;
2. França: mercado relevante, idioma similar ao português;
3. Irlanda: hub tecnológico, regulação business-friendly;
4. Países Baixos: localização central, autoridade reguladora com atuação pragmática.
O representante atua como ponto de contato oficial com as autoridades nacionais e os titulares de dados, sem substituir o controlador nem haver a necessidade de criar um “estabelecimento” na UE.
Além do mandato escrito, o controlador deve divulgar a identidade e os contatos do representante no aviso de privacidade publicado em seu site e manter o representante apto a fornecer o registro das atividades de tratamento quando solicitado pela autoridade.
Risco real: sanções e precedentes
O não cumprimento do Art. 27 integra o bloco de artigos sancionáveis em até €10 milhões ou 2% do faturamento global do grupo empresarial (art. 83(4)).
Autoridades europeias já aplicaram penalidades significativas pela ausência de representante na União Europeia. Um exemplo marcante é o do site Locatefamily.com, em que a falta de representante foi considerada violação direta ao GDPR, resultando em multa de €525 mil aplicada pela autoridade holandesa.
Outro caso emblemático é o da empresa norte-americana Clearview AI, multada em €20 milhões pela autoridade italiana, além de ter sido obrigada a excluir os dados coletados e a interromper a captação de informações de cidadãos italianos por meio de web scraping.
Esses precedentes demonstram que as autoridades nacionais têm feito menções expressas ao Artigo 27 da GDPR em suas decisões, impondo multas elevadas e medidas corretivas severas. A tendência regulatória indica um endurecimento progressivo das penalidades nos próximos anos, reforçando a necessidade de adequação imediata pelas empresas.
Passo a passo de adequação ao Artigo 27 da GDPR:
1. Avalie o escopo (art. 3(2)): há oferta ou monitoramento de dados na UE? Há o uso de dados sensíveis? E tratamento em escala? Se sim, nomeie um representante.
2. Escolha a jurisdição: priorize o Estado-Membro onde está a maioria dos titulares; alinhe idioma e interlocução regulatória.
3. Formalize o mandato: contrato de prestação de serviços definindo tarefas, prazos, idioma e SLA regulatório.
4. Atualize o aviso de privacidade com nome e contato do representante e instrua canais de atendimento.
5. Garanta governança: deixe o mapeamento dos fluxos de dados pessoais (ROPA) disponível para consulta via representante, além do canal para exercício de direitos dos titulares e cooperação com autoridades locais.
6. Integre governança com transferências internacionais e medidas de segurança mitigatórias de riscos (incluindo pseudonimização eficaz quando aplicável).
Check prático: quando a exceção do §2 (Art. 27) se aplica?
A exceção do §2 é cumulativa e só se aplica quando TODOS os critérios são atendidos:
- O tratamento de dados é ocasional, ou seja, é uma atividade esporádica ou fora da rotina de negócio;
- O uso de dados não inclui categorias especiais de dados (saúde, orientação sexual, origem racial, entre outros dados sensíveis descritos no Art. 9º), nem dados sobre condenações penais.
- É improvável que resulte em risco aos direitos e liberdades dos titulares
Esta formulação e interpretação prática estão detalhadas nas orientações do Comité Europeu para a Proteção de Dados e no texto do GDPR.
“Ocasional” tende a significar atividade esporádica ou fora da rotina de negócio (ex.: um inquérito pontual limitado), ao passo que “grande escala” é avaliado por fatores, como número/percentual de titulares, volume e variedade de dados, duração/permanência do tratamento e extensão geográfica.
Esses critérios vêm das orientações do Comité Europeu para a Proteção de Dados devem ser avaliados caso a caso.
Cuidados no tratamento de categorias especiais
Se o tratamento envolve categorias especiais (dados de saúde, genéticos, biométricos) em escala relevante, a exceção normalmente não se aplica, mesmo que o tratamento use pseudonimização, porque o potencial de risco aos titulares é maior.
É interessante ressaltar que pseudonimizar dados (substituir identificadores pessoais diretos como nomes e números de identificação por identificadores fictícios) reduz risco e é uma boa prática técnica, mas, salvo anonimização irreversível, os dados continuam pessoais e o GDPR aplica-se.
As orientações recentes do Comité Europeu para a Proteção de Dados reforçam que pseudonimização é uma medida de mitigação, mas não é uma saída automática da obrigação de nomear representante.
O que recomendamos operacionalmente
- Faça um data mapping de suas atividades de tratamento de dados na UE. Quem são os titulares na UE, qual o volume e a finalidade do tratamento.
- Se houver dúvidas sobre “ocasional” ou “grande escala”, trate a operação como sujeita ao Art. 27 e nomeie representante, afinal, a leitura conservadora minimiza risco regulatório.
- Realize (ou valide) um DPIA quando houver tratamento potencialmente de alto risco, documente e análise e decisão.
- Se optar por não nomear representante com base na exceção, formalize o racional técnico-jurídico (fatores analisados) e mantenha evidência documental para autoridade.
Para empresas sem estabelecimento na UE que tratam dados de titulares europeus, é inequívoco que o caminho mais seguro é nomear representante e documentar a governança.
Como o Camargo e Vieira Advogados pode ajudar?
O CVA atua com governança de privacidade e compliance internacional, nossa equipe reúne profissionais certificados por entidades reconhecidas, incluindo credenciais IAPP reconhecidas no mercado (CIPP/E, CIPM, CDPO e Fellow of Information Privacy). Esses certificados atestam expertise técnica e regulatória para avaliar escopo, riscos e estruturar mandato de representante conforme o Artigo 27 da GDPR.
Nossos serviços incluem:
1. Análise de aplicabilidade do Artigo 27 da GDPR para sua empresa;
2. Data mapping e avaliação de riscos;
3. Seleção e contratação de representantes qualificados;
4. Estruturação de DPIA quando necessário;
5. Atualização de avisos de privacidade e contratos;
6. Treinamento de equipes para uma conformidade contínua.
Temos parceiros sediados na UE, além de toda a capacidade técnica necessária e excelência para estruturar uma análise jurídica técnica, DPIA se necessária, seleção/contratação do representante e atualização dos avisos e contratos.
Entre em contato para uma avaliação gratuita e descubra se sua empresa precisa de um representante na UE.
