Após um período de adaptação, entrou em vigor no dia 25 de maio de 2018 o GDPR, Regulamento Geral sobre a Proteção de Dados da União Europeia (ou EU General Data Protection Regulation). Trata-se de um projeto de padronização das leis de proteção de dados e identidade dos cidadãos do bloco europeu, que começou a ser idealizado em 2012 e foi aprovado em abril de 2016. O conjunto de normas substituiu a antiga “Diretiva de Proteção de Dados”, de 1995.
De maneira resumida, com o GDPR, os cidadãos dos 28 Estados-membros da UE (incluindo o Reino Unido, que está em processo de desligamento do bloco) mais 3 países que não fazem parte da UE, mas pertencem ao Espaço Econômico Europeu (EEE), passam a ter direito à consulta, revogação da autorização de coleta e exclusão de informações pessoais por parte das empresas daqueles países. Isso inclui sites, lojas virtuais, redes sociais e outros sistemas de captação de dados sensíveis.
O que o GDPR determina?
O regulamento trata da proteção da privacidade, direito de acesso à informação e normas de manipulação, armazenamento e governança de dados pessoais dos clientes por parte das empresas em seus sistemas e sites. Para se adaptar ao GDPR, a empresas deverão:
- Permitir que o usuário escolha como os dados pessoais serão tratados
- Permitir que usuário autorize ou não o uso dos seus dados
- Garantir ao cliente o direito de saber quais dados são coletados, como e para quê. É preciso usar linguagem clara nos termos de uso e privacidade.
- Garantir o direto do usuário solicitar interrupção de coleta de dados e exclusão das informações pessoais.
- Garantir o direto do usuário acessar e solicitar cópia dos dados pessoais coletados
- Garantir o direto do usuário migrar seus dados para outros serviços, quando possível (portabilidade)
- Notificar em até 72 horas as autoridades em caso de vazamentos ou violação de dados, como falhas de criptografia, ataques de hackers e vírus, etc.
- Considerar a proteção dos dados desde a criação e desenho do projeto. A segurança deve ser parte fundamental.
- Cumprir a recomendação para que dados sejam guardados usando anonimização completa ou pseudonimização, quando a identificação do usuário só é possível com a combinação de outros dados externos.
- Manter um profissional responsável por garantir que o RGDP está sendo cumprido – é o chamado DPO (Data Protection Officer). Essa norma se aplica a empresas e órgãos do governo que tenham como atividade central realizar tratamento regular de dados pessoais.
Quais as punições previstas?
As empresas que não se adaptarem ao Regulamento Geral sobre a Proteção de Dados, poderão sofrer punições que vão desde uma notificação (na infração leve) até uma pesada multa de € 20 milhões (cerca de R$ 87 milhões) ou de até 4% sobre a receita anual global da empresa, o que for maior. Esses valores podem chegar a bilhões de euros, se consideramos grandes corporações mundiais como Google, Facebook, WhatsApp, Microsoft e Apple.
Como o GDPR afeta as empresas brasileiras?
Via de regra, qualquer empresa que coleta dados do consumidor europeu, seja de tecnologia ou não, precisa se preocupar com o GDPR. Companhias que não têm representação nos países da UE, a priori, estão livres das punições previstas, no caso de descumprimento. Todavia, usuários europeus que se sentirem prejudicados poderão apelar para acordos de cooperação internacional, ou por via diplomática, para pressionar essas empresas.
Além disso, empresas do Velho Continente já estão evitando negociar contratos com companhias de fora do bloco que não estão em compliance com as novas regras de proteção de dados, o que pode atrapalhar os planos de quem pretende expandir os negócios internacionais na direção daqueles países. Há também indicativos de que, em breve, as leis brasileiras deverão sofrer alterações, sob influência das normas do GDPR. Projetos de lei ligados à privacidade que estavam parados no Congresso Nacional voltaram a tramitar, em regime de urgência, após a implantação do regulamento europeu.