Início » Legislação » O que é GDPR e que diferença isso faz para quem é brasileiro

O que é GDPR e que diferença isso faz para quem é brasileiro

É por causa disso que você está recebendo tantos emails sobre privacidade

Emerson Alecrim Por
TB Responde

Esse monte de emails sobre políticas de privacidade estão chegando à sua caixa de entrada por um motivo: nesta sexta-feira (25), entrou em vigor o Regulamento Geral sobre a Proteção de Dados (GDPR, na sigla em inglês), um rigoroso conjunto de regras sobre privacidade válido para a União Europeia, mas que também afeta pessoas em outras partes do mundo, inclusive no Brasil.

A pergunta que fica no ar é: afeta como?

GDPR - União Europeia

O que é GDPR, exatamente?

Vamos começar pelo começo. GDPR é um projeto para proteção de dados e identidade dos cidadãos da União Europeia que começou a ser idealizado em 2012 e foi aprovado em 2016. Embora a região já tivesse leis relacionadas à privacidade, elas datavam de 1995 e, mesmo com algumas atualizações, não correspondiam ao cenário tecnológico atual. A decisão de criar o regulamento vem daí.

A União Europeia considera a proteção de dados pessoais um direito dos cidadãos dos países do bloco. Por conta disso, todas as empresas e organizações, independente de porte ou área de atuação, deverão seguir regras rígidas para coletar, processar, compartilhar e resguardar dados pessoais.

GDPR

As principais obrigações são as seguintes:

  • O serviço deverá permitir que o usuário escolha como os seus dados serão tratados e autorize ou não o seu uso;
  • O usuário tem direito de saber quais dados estão sendo coletados e para quais finalidades;
  • Deve haver meios para que o usuário solicite a exclusão de informações pessoais ou interrompa a coleta de dados, com a decisão devendo ser respeitada;
  • O usuário também pode acessar, solicitar cópia ou migrar dados coletados para outros serviços (quando cabível);
  • Uso de linguagem clara, concisa e transparente para que qualquer pessoa possa compreender comunicações sobre seus dados, inclusive termos de privacidade;
  • Em caso de incidentes que resultem em vazamento ou violação de dados que podem ferir direitos e a liberdade das pessoas, a organização deverá notificar autoridades em até 72 horas;
  • Aplicação da privacidade por design: a proteção dos dados deve ser considerada desde o início do projeto de um sistema, como parte imprescindível deste;
  • Recomendação de pseudonimização: quando cabível, é recomendável que a empresa proteja informações sensíveis ocultando-as ou substituindo-as de alguma forma para que a identificação do usuário só seja possível com a adição de outros dados;
  • As empresas terão, em certas circunstâncias, que trabalhar com um Data Protection Officer (DPO), executivo que deverá supervisionar o tratamento de dados pessoais, bem com prestar esclarecimentos ou se comunicar com autoridades sobre o assunto.

Como o GDPR afeta o Brasil?

Um dos pontos que causam confusão sobre o GDPR é a prevalência na União Europeia. O regulamento é válido para praticamente todo tipo de serviço que chega a um cidadão de um dos países do bloco. Isso significa, por exemplo, que uma loja online no Brasil ou em qualquer outro país terá que se adaptar ao GDPR se quiser enviar produtos para clientes na União Europeia sem desrespeitar a lei.

Isso explica o fato de várias companhias estarem atualizando seus termos e adaptando sistemas mesmo em países fora da Europa. Como muitos dos serviços estão disponíveis globalmente, é mais viável ajustar toda a plataforma — ou a maior parte dela — do que fazer mudanças localizadas e, em virtude disso, correr o risco de infringir alguma regra.

Como consequência, redes sociais, lojas online, plataformas de streaming e tantos outros serviços modificaram ou acrescentaram recursos para todas as contas, independente de país.

É o caso do Facebook, que já permite, entre outras medidas, que usuários de todo o mundo apaguem ou façam download de dados pessoais na rede social. Outro exemplo: notamos hoje aqui no Tecnoblog que o painel de moderação do Disqus (sistema de comentários) não exibe mais IP e email dos usuários que comentam nos posts — é uma espécie de pseudonimização.

Disqus

O que acontece com a empresa que descumprir o GDPR?

A empresa pode receber desde uma simples notificação (no caso de infração leve) até uma multa de € 20 milhões ou de até 4% sobre a receita anual global da companhia, o que for maior. Isso significa que, no caso de companhias como Google, Microsoft e Facebook, a punição pode custar bilhões de dólares.

Na primeira olhada, empresas que não têm escritórios ou qualquer tipo de representação dentro da União Europeia parecem imunes à punição, mas, nesses casos, as autoridades europeias poderão recorrer a acordos de cooperação internacional ou a procedimentos diplomáticos para aplicar a multa. São processos complicados, mas não impossíveis.

Euro

É por isso que você recebeu tantos e-mails ou notificações sobre atualizações de termos de privacidade e, a partir de agora, poderá perceber mudanças funcionais em muitos serviços. Numerosas empresas tiveram que se adequar, pois o GDPR foi redigido de uma forma que deixa claro que a União Europeia não vai mais tolerar o uso indiscriminado de dados pessoais.

Vai dar certo?

Espera-se que sim. O GDPR não deve resolver todos os problemas relacionados à privacidade, mas é, inegavelmente, o movimento mais agressivo em prol da proteção dos dados pessoais. Abusos como o que culminou no escândalo Cambridge Analytica serão menos frequentes a partir de agora. Pelo menos essa é a expectativa.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Bruno
https://uploads.disquscdn.c...
Bruno
"Copyright 1999-2018 www.inovacaotecnologica.com.br"Não mudaram desde 1999 mesmo, com esse design aí...kkkkk
Bruno
Você pode pedir remoção desde que não afete leis já existentes, que sempre irão sobrepor o GDPR.Caso seja solicitado, as empresas são obrigadas a deletar dados públicos, e os dados privados como nome, endereço e etc, se não forem necessários (como em bancos e etc) devem ser deletados, mas podem ser mantidos para fins estatísticos (sem nome/telefone e etc).
Bruno
Reino Unido ainda faz parte da União Europeia, então sim, a lei ainda vale para o UK
ʞǝʌǝɥs
o pessoal do GNOME não mexe no sistema operacional...o único componente do GNOME feito em javascript é o gnome-shell, e acho que é uma boa escolha, pois permite a criação de extensões para o desktop sem ter que mexer nas libs do GNOME (escritas em C)
ʞǝʌǝɥs
vim aqui só pra ver alguém dizer isso, a sério ou não :)
Dummye Sooneed
como um programador, eu concordo.programar em js é pular corda bamba beeem porre.
Dummye Sooneed
se o reino unido aceitar a GDPR vai ter peso, se não... não uai.mas isso vai implicar em serviços lá.
Mateus Scarlett Reis
Parabéns amigo gostei da sua colocação, vou printar a tela para eu não esquecer esse seu comentário e usar quando a justiça pedir dados dos usuários do meu site vou dizer isso ai, vou printar a tela para VC não usar o seu direito de esquecimento e o tecnoblog apagar o comentário e eu vir aqui e não ter ele mais. Kkkk
SiouxBR
O papel "ideal" do Estado seria ser um agente regulador/fiscalizador. Justamente o que a UE fez nesse caso.
SiouxBR
Os dados bancários, assim como os tributários e fiscais, possuem legislação própria e na prática ficam armazenados por muito mais dos 5 + 1 anos (isso é o mínimo, mas na prática são mantidos quase que por tempo indeterminado), além de não ser um direito do usuário solicitar sua exclusão.Além disso, esses dados só são acessados por ordem judicial ou se houver convênio autorizado pela legislação para a troca (por exemplo, dados repassados pelos bancos/cartões de crédito/concessionárias públicas e privadas para a Receita Federal e Secretarias de Fazenda).
pedrowillyam
Se não for pedir demais, queria saber se essa lei também vale pro Reino Unido apesar de sua saída da União Europeia.
Dummye Sooneed
fica com os dados uai, o banco no caso.por mais que a UE tente fazer damage control, o máximo que pode fazer é ficar chorando para acordos de cooperação (que dependendo da vontade do juiz, cai em ouvidos surdos).esses dados são necessários para o funcionamento correto dos bancos/algumas empresas no seu país de origem e não é a UE que vai incomodar, só fogo de palha pra dar a impressão de "privacidade" mesmo.
Dummye Sooneed
aí seria bom para os nossos políticos, nom? fora isso seria melhor o juiz ver o lado do "quem não deve não teme" e fazer isso pesar no cara
zoiuduu .
Homem, vc deu a melhor resposta que já tive nesse disqus a muito tempo kkk, geralmente o povo responde,,,, pra que vc ker saber? o q isos importa pra vc?
Theus
Excelente artigo. Vou salvá-lo para adequar um serviço que -- provavelmente -- vai ser lançado. Ainda não tinha base para começar isso.
Bruno Feliciano
Pesquisei aqui, e me parece que afeta os países da União Europeia, mais os países da EEA (Espaço Econômico Europeu) que não pertencem a UE (Islândia, Liechtenstein e Noruega). A Suíça não está em nenhum desses dois blocos, mas como faz parte da Associação Europeia de Livre Comércio (EFTA), penso que também deve ser diretamente afetada.
zoiuduu .
vou salvar aqui pra ler depois, vai que cai no concurso de papiloscopista
zoiuduu .
Quais os países assinaram esse acordo? O que é europa pra esse GDPR?
Internet
Apenas ressaltando que a lei não foi foi criada como resposta ao Cambridge Analytica — afinal, como o próprio texto diz, o projeto data de 2012.Aparentemente, a lei não não se aplica apenas a residentes na UE, mas também a cidadãos da UE ao redor do mundo;Na maioria dos casos as enpresas não precisavam enviar os e-mails sobre a GPDR, especialmente aqueles perguntanto por consentimento para continuar recebendo e-mails — e, em alguns casos, tais e-mails não estariam dentro da lei;E sim, alguns serviços acharam que era mais fácil/viável interromper ou encerrar as operações na Europa, caso do Instapaper e da A&E Networks — parece que dois anos para se adaptar não foi suficiente.
Bruno Feliciano
"Com o GDPR, o chamado “direito ao esquecimento” o deixa de ser uma decisão da Justiça, passa a ter peso de lei e a ter sua aplicação ampliada: são obrigados a deletar registros de informações pessoais todos os serviços que lidam com dados das pessoas, o que inclui redes sociais como o Facebook, além de meios de pagamento e serviços de turismo.A exclusão é a norma, com a ressalva de que as empresas poderão manter informações “necessárias para propósitos históricos, estatísticos e científicos, para saúde pública ou para exercer o direito de liberdade de expressão”."Acho que está esclarecido
migrating coconut
Maldito Estado, interferindo no livre mercado. /s
Bruno
Pensando um pouco, faz sentido esse tipo de dado ser mantido. Os próprios bancos de lá devem por lei manter informações de movimentações, e mesmo rede sociais tem que manter um histórico para caso a justiça queira.Imagina que legal o juiz pedir dados de um usuário e o site local responder: "O usuário usou o direito de esquecimento e apagamos tudo."
Bruno
https://g1.globo.com/econom...
Bruno Feliciano
Pode passar o site por favor? Queria ler sobre isso.
Bruno
Eu li em outro site que dados de segurança, auditoria, estatísticos e coisas assim podem ser mantidos mesmo depois que o usuário pediu a remoção.
Bruno Feliciano
No texto cita "Deve haver meios para que o usuário solicite a exclusão de informações pessoais". Isso não abre brechas para haver um problema com o cenário que eu coloquei ali em cima? Existe exceção para os dados que você pontuou?
Trovalds
Dados bancários, fiscais e telefônicos são sigilosos. Só a empresa e você tem acesso a eles. Só se quebra esses sigilos com ordem judicial.
Bruno Feliciano
Pensando aqui com os meus botões, suponha que alguém com dupla nacionalidade (brasileira e europeia) tem conta num banco brasileiro, que possui escritório na Europa.Esse pessoa solicita o fechamento da conta no Brasil, e pede para excluir todos os seus dados (mas os bancos brasileiros mantém os dados de movimentação bancária por pelo menos cinco anos, por determinações do BACEN, por exemplo).E aí, como fica?
Gertrudes, a Lhama
Ótimo post! Embora eu seja entusiasta e goste de ler sobre tecnologia, acabei não tendo tempo suficiente pra ler sobre a GDPR. Ficou bem claro e resumido ;)