Mas, afinal, o que é a lei GDPR e como ela afeta os brasileiros?

Por Ramon de Souza | 25 de Maio de 2018 às 11h10
Wandera

Falta pouco para que o General Data Protection Regulation (GDPR ou Regulamento Geral de Proteção de Dados) passe a valer. A legislação, que foi proposta em 2012 e aprovada pela União Europeia (UE) em abril de 2016, entra em vigor nesta sexta-feira, dia 25 de maio — mesmo assim, ainda existem muitos brasileiros que não sabem exatamente como ela funciona ou qual será o seu impacto em nosso país.

Antes de mais nada, vale a pena entender o que exatamente é o GDPR. Trata-se, a grosso modo, de um conjunto de leis que visam criar um regulamento pioneiro para proteger os dados pessoais de cidadãos europeus em plataformas online — e isso inclui serviços financeiros, redes sociais, lojas virtuais ou quaisquer outros ambientes digitais que armazenem informações pessoais na internet, gratuitamente ou não.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Basicamente, quando o GDPR foi criado seis anos atrás, o objetivo da União Europeia era impedir, desde aquela época, alguns tipos de tragédias virtuais que vemos acontecendo nos tempos atuais: o Facebook abusando dos dados de seus usuários, sites sofrendo vazamentos sem alertar seus consumidores e outras violações ao direito de privacidade. Após muita discussão, tal legislação está finalmente prestes a entrar em ação.

Para os usuários

O GDPR foi criado com total foco nos cidadãos, no intuito de garantir que eles possuam alguns direitos básicos ao utilizar serviços online. A coleta massiva de informações de qualquer internauta europeu só poderá ser feita com sua devida autorização — que, por sinal, poderá ser revogada quando ele quiser. Tal direito também se traduz em termos de uso mais simples, claros e de fácil entendimento para qualquer indivíduo.

(Reprodução: CapGemini)

Outra vitória da legislação diz respeito ao famoso “direito de ser esquecido”. Embora o texto aprovado seja um pouco mais restritivo em comparação com o cenário ideal, ele finalmente decreta que qualquer internauta deve ser capaz de requisitar a total exclusão de seus dados em qualquer servidor online. E isso não significa simplesmente “deletar sua conta do Facebook”, mas sim garantir que não haja mais rastros de sua existência por lá.

A consulta e transferência de dados é outro direito bem interessante concedido pelo GDPR. A qualquer momento, o cidadão europeu poderá fazer uma vistoria própria para confirmar quais de seus dados estão em posse da empresa em questão. Caso queira, ele poderá ordenar a transferência dessas informações para outro serviço online, seja de forma manual ou através de ferramentas automatizadas criadas especialmente para tal fim.

Para as empresas

A União Europeia não pegou leve ao descrever os deveres das empresas no GDPR. Deixando claro que a proteção de dados deve se tornar algo planejado desde os primórdios de qualquer empreendimento online, a assembleia deseja criar uma mentalidade privacy-first — ou seja, garantir que todos os sites e serviços digitais sejam construídos com foco na segurança cibernética de seus clientes.

Primeiramente, a lei estabelece um conhecido chamado pseudonimização (pseudonymisation, no original em inglês), que basicamente refere-se ao ato de “renomear” informações sensíveis armazenadas em um servidor para que elas não possam ser atribuídas a uma pessoa específica. Embora o regulamento não obrigue que as companhias adotem tal método, ela sugere que ele seja usado para proteger a privacidade alheia.

Por outro lado, todo empreendimento digital é obrigado a atender imediatamente as requisições dos consumidores que foram descritas anteriormente. Também é necessário eleger um Data Protection Officer (DPO), executivo que ficará responsável por gerenciar as requisições, se comunicar com as autoridades e garantir que os processos da empresa estejam em compliance com as regras do GDPR — ou seja, um gestor de qualidade.

(Reprodução: The SL Store)

Por fim, caso o serviço online seja vítima de um ataque, invasão, vazamento ou qualquer outro incidente cibernético que ponha em risco a privacidade dos clientes, o episódio deverá ser divulgado em até 72 horas após sua detecção — acompanhado ainda de um plano de ação para mitigar o problema ou ao menos reduzir os seus impactos na população em geral. Chega de leaks que demoram anos para aparecerem na mídia.

Se você achou as regras rígidas demais, prepare-se para descobrir que a multa para quem descumprir tais decretos pode chegar a 20 milhões de euros ou 4% do último faturamento anual da companhia — o que for maior. Obviamente, tal penalidade só será aplicada em casos extremos; para pequenos “vacilos” e infrações não-intencionais, a infratora só receberá um aviso por escrito e poderá ser obrigada a fazer auditorias periódicas.

E como fica o Brasil?

Há muita confusão a respeito da real abrangência do GDPR. Antes de mais nada, é preciso lembrar que, embora a legislação tenha sido criada pela União Europeia, ela engloba toda e qualquer empresa que colete, armazene e processe dados de cidadãos europeus, independentemente de onde ela esteja sediada. Isso, na teoria, significa que se você tem uma loja virtual que envia produtos para o mundo inteiro e possui um único consumidor europeu, a regulação já pode ser aplicada em seu empreendimento.

Pode parecer um tanto injusto, mas as regras do jogo são bem claras: se guardou informações de um europeu, estará sujeito às leis europeias. Obviamente, na prática, as autoridades estrangeiras não serão tão estritas assim e possivelmente vão ignorar casos de coletas não-intencionais ou situações nas quais os dados pessoais obtidos não são tão sensíveis assim (por exemplo, um internauta gringo visita seu site estático e passa a ser rastreado por um ad tracker).

(Reprodução: Tudo sobre Ecommerce)

Porém, isso não significa que as empresas brasileiras precisam continuar “desleixadas” a respeito desse assunto. O maior impacto do GDPR é moral: o regulamento está forçando empresários do mundo inteiro a pensar mais na segurança e na privacidade de seus clientes, o que pode ser benéfico para ambas as partes — os cidadãos se mantêm digitalmente protegidos e as corporações não precisam lidar com as dores de cabeça após um vazamento de dados, por exemplo.

Para o internauta comum, o GDPR é só alegria. Afinal, o regulamento forçou adaptações em gigantes do mercado de tecnologia que, mesmo que indiretamente, também afetam de forma positiva a experiência dos cidadãos brasileiros. Facebook, Twitter, Instagram, Google e Spotify são apenas alguns exemplos que marcas que se adaptaram às regras, reescreveram seus termos de uso, passaram a ser mais transparentes e começaram a oferecer ferramentas para que você tenha maior domínio sobre seus próprios dados.

No fim das contas, por mais que ela possa parecer assustadora, a legislação veio para propor uma nova era na internet, podendo — e devendo — ser recebida de braços abertos.

Fonte: Flipside, Jota, GDPR Portal

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.