O que é o GDPR e por que ele vai afetar a vida de todos nós

Você com certeza recebeu uma grande quantidade de e-mails na última semana, dos mais diversos serviços online com o assunto "Nós atualizamos nossa Política de Privacidade". Pois saiba que há uma razão para isso: na última sexta-feira (25) entrou em vigou Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation, sigla GDPR), um grande e rígido conjunto de regras que determina como empresas, produtos e serviços terão que lidar com os dados privados dos cidadãos da União Europeia daqui para a frente.

E dada a magnitude, as novas regras afetarão as vidas não só de quem vive no Velho Mundo, mas também em outras partes do globo, Brasil incluso. Nos acompanhe e descubra o que muda de agora em diante.

O que é o GDPR?

O conjunto de regras surgiu de um projeto iniciado em 2012 e aprovado em 2016, de modo a criar novas e mais atuais restrições e procedimentos para o tratamento dos dados privados dos cidadãos do bloco econômico, visto que as anteriores datavam de 1995 e estavam severamente datadas para a realidade atual. De modo geral, a UE entende que o direito à privacidade do cidadão é inviolável e dessa forma, toda e qualquer empresa que atue na região ou forneça serviços/produtos para os europeus terão que seguir normas severas de como os dados individuais serão coletados, tratados, armazenados e compartilhados.

Em linhas gerais, todas as regras do GDPR colocam o usuário como soberano sobre seus dados. Elas são as seguintes:

• o usuário é soberano no direito de autorizar ou não a coleta de dados, e tem o direito de determinar como eles serão tratados;
• o usuário tem o direito de saber quais dados uma determinada empresa está coletando e para quais fins;
• o usuário tem o direito de mudar de opinião quando quiser, sendo as empresas obrigadas a fornecer ferramentas para remoção de dados e sua decisão de interromper a coleta deve ser respeitada;
• o usuário tem o direito de ser informado se seus dados estão sendo compartilhados com empresas ou grupos externos;
• o usuário tem o direito à portabilidade de dados, de modo que ele possa baixa-los e disponibiliza-los em outro serviço ou à sua escolha, e as empresas são obrigadas a fornecer ferramentas para tal finalidade;
• o usuário tem o direito de apagar seus dados em ocasiões específicas;
• as empresas ficam obrigadas a notificar os usuários e as autoridades em até 72 horas após uma ocorrência de vazamento de dados;
• as empresas são obrigadas a considerar a proteção de dados e privacidade dos usuários por design, desde o início de qualquer projeto;
• as empresas são obrigadas, na medida do possível aplicar a pseudoanonimação dos dados, de modo a dificultar a identificação das informações por terceiros; a GDPR menciona métodos de ocultação e/ou substituição de dados de forma que a identificação correta só possa ser realizada com a adição de mais dados;
• as empresas são obrigadas a manter registros internos de todas as atividades de processamento dos dados dos usuários, e elas deverão incluir nome e detalhes da organização, a finalidade do processamento, a descrição de categorias de indivíduos e dados pessoais, destinatários, detalhes da transferência e cronogramas de retenção de dados;
• as empresas ficam proibidas de transferir dados para um país que não possua leis adequadas de proteção aos dados; a Comissão Europeia manterá uma lista de "países aprovados" para as transações e de forma alguma os inclusos na "lista negra" deverão ter acesso a informações de cidadãos europeus;
• fornecedores terceirizados estão sujeitos às mesmas regras; basicamente, qualquer companhia que lide com dados de europeus será obrigada a manter registros de suas atividades, mesmo que sirva apenas como uma intermediária;
• as empresas deverão nomear um Diretor de Proteção de Dados (Data Protection Officer, ou DPO), um executivo responsável pela supervisão da manutenção e tratamento dos dados, que também deverá atuar como elo de ligação com as autoridades para prestar esclarecimentos e auxiliar em investigações.

O que acontece com quem descumprir a GDPR?

Trocando em miúdos, toda companhia que preste qualquer tipo de serviço à União Europeia que lide com coleta e tratamento de dados, sejam redes sociais, empresas de e-commerce, servidores de dados são obrigadas a se adequar, investindo em cibersegurança para manter as informações seguras e fornecer ferramentas que permitam que os usuários possam deletar ou transferi-las. As empresas que descumprirem a Lei poderão ser notificadas em casos de infração leve, ou em situações mais severas serem multadas em € 20 milhões ou até 4% do faturamento anual, o valor que for maior.

E como a Comissão Europeia não dorme em serviço, o Google e o Facebook já foram processados no primeiro dia de vigência do GDPR: de acordo com denúncia do ativista austríaco Max Schrems, ambas companhias (no caso do Facebook, também pelo WhatsApp e Instagram) estão coagindo o usuário a aceitarem seus próprios Termos de Serviço, em detrimento da GDPR sob pena de interromper o fornecimento dos serviços (a velha política do "ou dá ou desce"). Caso seja comprovada a má-fé de ambas, as multas somam € 7,6 bilhões (€ 3,9 bilhões do Facebook e € 3,7 bilhões do Google).

Como o Brasil será afetado pelo GDPR?

Embora tenhamos em ação o Marco Civil no país, o GDPR possui prevalência e dessa forma, qualquer companhia externa que minimamente atue no bloco está sujeita às novas regras. Isso significa que se você possui uma empresa e trata dados de europeus, terá sim que se adequar às regulações e implementar uma série de modificações em seus projetos de modo a fornecer as mesmas ferramentas e direitos que outras grandes companhias globais já o fazem.

Por exemplo: uma loja online brasileira que atenda a União Europeia e venda produtos para seus moradores terá sim que cumprir a GDPR, sendo obrigada a tratar os dados dos usuários e cumprir todas as determinações da Lei, como oferecer meios para deleção e migração de dados, manter logs de todas as atividades e nomear um GPO para supervisionar os dados.

Por outro lado, a GDPR pode ser benéfica ao usuário: sua caixa de e-mails lotada nos últimos dias é uma consequência da GDPR, visto que muitas empresas e serviços que atuam em todo o mundo preferem implementar as mudanças para todos os usuários ao invés de setorizar as modificações, pelo simples motivo de ser uma decisão mais barata. A partir de agora, diversos sites, redes sociais e serviços oferecerão uma série de novas ferramentas que serão bastante úteis.

Quanto às punições: embora a GDPR deixe claro que elas sejam voltadas às empresas com escritórios e/ou representação oficial no bloco, nada impede que negociações diplomáticas ou acordos de cooperação comercial entre a UE e o governo brasileiro acabem por impor as mesmas sanções a companhias nacionais. Embora seja um processo complexo ele não é impossível de ser implementado e como estamos falando da União Europeia, é quase certo que acabarão por adotar tal caminho neste caso.

A dica para as empresas nacionais é: invistam em cibersegurança. Muito mais do que uma multa pesada, os danos à imagem de uma companhia em caso de um processo serão muito mais danosos.