por Ricardo Rodrigues*
Entrou em vigor nesta última sexta-feira, 25, a chamada General Data Protection Regulation (GDPR). Já valendo em toda a União Europeia, a regulamentação foi criada para proteger cidadãos europeus da exposição de informações pessoais e, apesar não possuir força legal sobre empresas no Brasil que não lidem com residentes da UE, algumas companhias nacionais já estão saindo à frente e atualizando suas políticas de privacidade.
Mas, afinal, do que trata essa nova lei?
A GDPR aparece num momento em que explodiram diversos escândalos envolvendo o vazamento de dados – sendo o caso do Facebook e Cambridge Analytica o mais recente. O objetivo da norma é oferecer mais segurança aos usuários de serviços que compartilham suas informações pessoais.
Para isso, a nova lei exige que as empresas trabalhem com mais cuidado e transparência no processamento de dados, sendo ainda mais rígida em alguns casos que envolvem informações sensíveis, como aquelas sobre orientação sexual, opinião política, dados biométricos e genéticos, de religião, vínculos com sindicatos e antecedentes criminais.
E o que são dados pessoais relevantes, pela GDPR?
Segundo a norma, no caso dos websites, um usuário só é considerado como uma pessoa que compartilha dados pessoais e está, portanto, protegido pela lei, quando se torna possível vincular suas informações ao seu endereço de I.P ou quaisquer outros dados de comportamento de navegação. Ou seja, tais dados somente possuem essa proteção quando for possível determinar quem é a pessoa que navegou pela página.
Nesse sentido, dados de catálogo, database e quaisquer informações que apenas deixem um rastro de navegação e não identifiquem, de fato, uma pessoa, não são objetos dessa legislação. Para um e-commerce, por exemplo, esse registro de comportamento de navegação não seria considerado um dado pessoal caso o usuário não se identificasse por nome, e-mail ou algum plugin de vínculo com redes sociais.
E quais são os direitos dos usuários?
Para estar de acordo com a legislação, as empresas devem saber que usuários protegidos pela GDPR têm direitos que podem ser exercidos a qualquer momento. Para que isto ocorra, basta que as pessoas visitem um website e vinculem sua navegação e dados pessoais àquela página – seja através de canais Opt-in, e-mail ou redes sociais.
Destacamos os direitos que o usuário tem sobre seus dados coletados, segundo a GDPR:
– Direito de ser informado: o usuário tem o direito ser informado sobre quais dados são processados e concordar (ou não) com a coleta dessas informações.
– Direito ao acesso das informações: o usuário tem o direito a ter acesso às informações coletadas e processadas pelas empresas.
– Direito à retificação: se existirem divergências nos dados processados, o usuário tem o direito de solicitar o ajuste de qualquer informação equivocada que tenha sido armazenada.
– Direito ao esquecimento: é direito do usuário pedir que os seus dados armazenados até então sejam deletados.
– Direito ao processamento restrito: direito do usuário a que se processe o mínimo possível de informações.
– Direito à portabilidade de dados: o usuário tem o direito a ter acesso a seus dados em um formato possível de ser reutilizado.
– Direito à objeção: o usuário possui o direito de proibir a coleta e o processamento de novos dados, ou seja, a restrição tem efeitos futuros.
– Direitos em relação a tomadas de decisão automatizadas: o usuário pode, ainda, contestar permissões feitas por meios automatizados ou elaboração de perfis, caso essas decisões tenham algum efeito jurídico ou outro igualmente significativo.
Como esses dados serão protegidos?
Empresas que controlam e processam dados devem decidir sobre como essas informações serão coletadas e, a partir disso, criar bases legais para se proteger. É bom questionar: quais dados são necessários coletar; para que eles serão utilizados e por quanto tempo esses dados ficarão armazenados; de quem serão esses dados; se essas informações serão compartilhadas e, se sim, com quem; e quais direitos essa pessoa terá?
Por isso, é bom ficar atento aos 7 princípios que norteiam a GDPR:
1) Dados pessoais devem ser processados de maneira legal, justa e transparente;
2) Dados pessoais devem ser coletados para razões específicas, explícitas e legítimas;
3) Dados pessoais devem ser adequados ao uso para o qual se destinam e mantidos de forma mínima;
4) Dados pessoais devem ser precisos e atualizados;
5) Dados pessoais não devem ser mantidos por mais do que o necessário;
6) Dados pessoais devem ser processados de uma maneira que garanta a segurança dos usuários;
7) As empresas que trabalham com o controle desses dados devem ser responsáveis e estarem em compliance com os princípios anteriores.
E o que acontece com quem violar essas regras?
A GDPR apresenta penalidades diferentes para as empresas que violarem a lei, de acordo com a gravidade do incidente. As multas podem ir de 2% a 4% do faturamento global da empresa, ou de €10 milhões a €20 milhões.
E o que isso representa para o Brasil?
Como podemos ver, essas normas estão se tornando cada vez mais relevantes para o mercado. No Brasil, o tema já está quente e sendo, inclusive, debatido nas Casas Legislativas. Assim, é importante ficar atento e por dentro das alterações, para já estar preparado quando normas como as da GDPR virarem lei por aqui também.
*Ricardo Rodrigues é cofundador e CEO da Social Miner