Início » Legislação Segurança » O que é GDPR e que diferença isso faz para quem é brasileiro

O que é GDPR e que diferença isso faz para quem é brasileiro

É por causa disso que você está recebendo tantos emails sobre privacidade

Por
20 semanas atrás
Já conhece a nova extensão do Tecnoblog? Baixe Agora

Esse monte de emails sobre políticas de privacidade estão chegando à sua caixa de entrada por um motivo: nesta sexta-feira (25), entrou em vigor o Regulamento Geral sobre a Proteção de Dados (GDPR, na sigla em inglês), um rigoroso conjunto de regras sobre privacidade válido para a União Europeia, mas que também afeta pessoas em outras partes do mundo, inclusive no Brasil.

A pergunta que fica no ar é: afeta como?

GDPR - União Europeia

O que é GDPR, exatamente?

Vamos começar pelo começo. GDPR é um projeto para proteção de dados e identidade dos cidadãos da União Europeia que começou a ser idealizado em 2012 e foi aprovado em 2016. Embora a região já tivesse leis relacionadas à privacidade, elas datavam de 1995 e, mesmo com algumas atualizações, não correspondiam ao cenário tecnológico atual. A decisão de criar o regulamento vem daí.

A União Europeia considera a proteção de dados pessoais um direito dos cidadãos dos países do bloco. Por conta disso, todas as empresas e organizações, independente de porte ou área de atuação, deverão seguir regras rígidas para coletar, processar, compartilhar e resguardar dados pessoais.

GDPR

As principais obrigações são as seguintes:

  • O serviço deverá permitir que o usuário escolha como os seus dados serão tratados e autorize ou não o seu uso;
  • O usuário tem direito de saber quais dados estão sendo coletados e para quais finalidades;
  • Deve haver meios para que o usuário solicite a exclusão de informações pessoais ou interrompa a coleta de dados, com a decisão devendo ser respeitada;
  • O usuário também pode acessar, solicitar cópia ou migrar dados coletados para outros serviços (quando cabível);
  • Uso de linguagem clara, concisa e transparente para que qualquer pessoa possa compreender comunicações sobre seus dados, inclusive termos de privacidade;
  • Em caso de incidentes que resultem em vazamento ou violação de dados que podem ferir direitos e a liberdade das pessoas, a organização deverá notificar autoridades em até 72 horas;
  • Aplicação da privacidade por design: a proteção dos dados deve ser considerada desde o início do projeto de um sistema, como parte imprescindível deste;
  • Recomendação de pseudonimização: quando cabível, é recomendável que a empresa proteja informações sensíveis ocultando-as ou substituindo-as de alguma forma para que a identificação do usuário só seja possível com a adição de outros dados;
  • As empresas terão, em certas circunstâncias, que trabalhar com um Data Protection Officer (DPO), executivo que deverá supervisionar o tratamento de dados pessoais, bem com prestar esclarecimentos ou se comunicar com autoridades sobre o assunto.

Como o GDPR afeta o Brasil?

Um dos pontos que causam confusão sobre o GDPR é a prevalência na União Europeia. O regulamento é válido para praticamente todo tipo de serviço que chega a um cidadão de um dos países do bloco. Isso significa, por exemplo, que uma loja online no Brasil ou em qualquer outro país terá que se adaptar ao GDPR se quiser enviar produtos para clientes na União Europeia sem desrespeitar a lei.

Isso explica o fato de várias companhias estarem atualizando seus termos e adaptando sistemas mesmo em países fora da Europa. Como muitos dos serviços estão disponíveis globalmente, é mais viável ajustar toda a plataforma — ou a maior parte dela — do que fazer mudanças localizadas e, em virtude disso, correr o risco de infringir alguma regra.

Como consequência, redes sociais, lojas online, plataformas de streaming e tantos outros serviços modificaram ou acrescentaram recursos para todas as contas, independente de país.

É o caso do Facebook, que já permite, entre outras medidas, que usuários de todo o mundo apaguem ou façam download de dados pessoais na rede social. Outro exemplo: notamos hoje aqui no Tecnoblog que o painel de moderação do Disqus (sistema de comentários) não exibe mais IP e email dos usuários que comentam nos posts — é uma espécie de pseudonimização.

Disqus

O que acontece com a empresa que descumprir o GDPR?

A empresa pode receber desde uma simples notificação (no caso de infração leve) até uma multa de € 20 milhões ou de até 4% sobre a receita anual global da companhia, o que for maior. Isso significa que, no caso de companhias como Google, Microsoft e Facebook, a punição pode custar bilhões de dólares.

Na primeira olhada, empresas que não têm escritórios ou qualquer tipo de representação dentro da União Europeia parecem imunes à punição, mas, nesses casos, as autoridades europeias poderão recorrer a acordos de cooperação internacional ou a procedimentos diplomáticos para aplicar a multa. São processos complicados, mas não impossíveis.

Euro

É por isso que você recebeu tantos e-mails ou notificações sobre atualizações de termos de privacidade e, a partir de agora, poderá perceber mudanças funcionais em muitos serviços. Numerosas empresas tiveram que se adequar, pois o GDPR foi redigido de uma forma que deixa claro que a União Europeia não vai mais tolerar o uso indiscriminado de dados pessoais.

Vai dar certo?

Espera-se que sim. O GDPR não deve resolver todos os problemas relacionados à privacidade, mas é, inegavelmente, o movimento mais agressivo em prol da proteção dos dados pessoais. Abusos como o que culminou no escândalo Cambridge Analytica serão menos frequentes a partir de agora. Pelo menos essa é a expectativa.