GDPR: o que implica a lei de privacidade da UE

Nas últimas semanas, você deve ter recebido diversos e-mails de sites e aplicativos informando a atualização dos seus termos de privacidade e condições de uso. Essa movimentação das empresas se deve ao Regulamento Geral sobre a Proteção de Dados Pessoais (GDPR, em inglês), que começa a valer nesta sexta-feira (25) em toda a Europa e terá impactos para nós brasileiros.

O GDPR é um conjunto de leis que regulamentam a forma como empresas podem captar, manejar e armazenar dados dos seus usuários. Dessa forma, o marco pretende dar maior controle aos usuários em relação às suas informações pessoais e como as organizações poderão utilizá-las.

O que o GDPR implica na prática?

Para nós, usuários, as principais mudanças não serão sentidas em sua superfície, além, claro, da atualização do termo de uso do serviço, com informações mais claras em relação a forma como a empresa irá tratar seus dados. Porém, como o GDPR obriga as empresas a tomarem um cuidado maior na captação, manejo e armazenamento das informações, isso diminuirá a ocorrência de vazamentos e uso ilegal dos dados.

Um exemplo prático disso é em relação à publicidade digital. Com as novas regras, será mais complicado para as empresas nos “perseguirem” com anúncios por toda a internet depois de fazermos buscas em seus e-commerces.

Como as novas regras de privacidade afetam as empresas

O principal ponto da legislação é “forçar” todas empresas digitais a terem um mindset de segurança em primeiro lugar, o que evitaria os principais problemas de má conduta com esses dados.

Em casos de vazamento de informações, como o que aconteceu recentemente com Facebook e pode ter acontecido com o Banco Inter, a organização terá até 72h, após detecção, para divulgar o ocorrido, junto a um plano de ações para reduzir o impacto do incidente para seus usuários.

Além disso, o GDPR incentiva às empresas adotarem um conceito chamado pseudonimização, que, em termos simplistas, consiste em renomear as informações sensíveis para que não possam ser atribuídas a um usuário, garantindo o anonimato de quem utiliza os serviços.

Outro ponto importante é que as empresas deverão fornecer total controle sobre os dados aos usuários, que, em qualquer momento, poderão solicitar o acesso, transferência ou exclusão de todas as suas informações armazenadas no serviço.

As empresas que não cumprirem com as exigências do Regulamento Geral sobre a Proteção de Dados Pessoais terão que pagar multa de até 20 milhões de euros ou 4% do faturamento do último ano, o que para as gigantes da internet seria um valor compatível com suas operações. Por exemplo, no caso do Facebook, essa quantia seria de 6 bilhões.

Mas o que a legislação europeia tem a ver com o Brasil?

As novas regras não se estendem apenas às empresas com sede na Europa, mas a todos os sites ou aplicativos que captem dados de europeus. Em termos práticos, todos os serviços globais terão que se adequar às regras criadas pela UE.

Dessa forma, o GDPR afeta os brasileiros em dois níveis: usuários e empresas. No primeiro, há a extensão das práticas de segurança exigidas pela União Europeia aos usuários de outros continentes, como nós brasileiros, o que já pode ser visto com a atualização dos termos de privacidade de grandes empresas, como Spotify e Twitter.

No outro nível, sites e ecommerces brasileiros que realizam captação e tratamento de dados de usuários no continente europeu deverão se adequar ao GDPR para não amargar processos milionários.

Relação entre GDPR e “Facebookgate”

Nos últimos meses, o escândalo da Cambridge Analytica tem chamado atenção de todo o mundo e, além de fazer despencarem as ações do Facebook, levou o CEO da empresa, Mark Zuckerberg, a dar explicações aos parlamentos norte americano e europeu. Para resumir o caso, a empresa Cambridge Analytica foi capaz de utilizar os dados pessoais dos usuários da rede social para manipular as eleições para presidente dos Estados Unidos e o Brexit (saída da Inglaterra da União Europeia).

Embora o timing entre o “Facebookgate” e a aplicação do GDPR ser similar, foi tudo uma grande coincidência. Essas leis já estão sendo discutidas no parlamento europeu há um bom tempo e sua aprovação aconteceu antes do escândalo.