O que é a GDPR e como ela afeta empresas e internautas brasileiros

Pizxabay Empresas terão de pedir autorização expressa de cidadãos para armazenar e compartilhar seus dados pessoais, sob ameaça de multa de ao menos R$ 85 milhões

Entrou em vigor na última sexta-feira (25) a General Data Protection Regulation (GDPR) (Regulamento Geral sobre a Proteção de Dados, em tradução livre), uma inovadora lei de proteção de dados pessoais da União Europeia, mas que tem efeitos no mundo todo. Até porque a internet não conhece fronteiras.

Além de apontar uma tendência global de regulamentação, a nova regra extrapola do Velho Continente em sua aplicação. Estar adaptado a ela é estar aberto a novas oportunidades de negócios e evitar sanções internacionais diretas ou indiretas. (Leia a GDPR completa em português)

A Jovem Pan Online consultou especialistas para explicar por que a GDPR importa a internautas e empresas brasileiras. Entenda como funciona a nova lei, em perguntas e respostas.

O que é a GDPR?

É a nova regulamentação europeia de proteção de dados pessoais que entrou em vigor nesta sexta-feira (25). “É uma regulamentação revolucionária, a lei de proteção de dados mais abrangente e robusta que já foi desenvolvida em qualquer lugar no mundo”, diz o professor de Direito Digital do Mackenzie Renato Leite Monteiro.

Ela protege dados pessoais na União Europeia, dando a indivíduos maior controle sobre eles. A GDPR também regulamenta a transferência internacional de dados entre empresas. “O usuário terá mais instrumentos para ser informado quais dados sobre ele serão coletados, para que esses dados serão coletados (finalidade) e com quem esses dados serão compartilhados”, apontou.

“A GDPR visa a atualizar, modernizar e harmonizar as leis de proteção de dados pessoais que hoje já vigoram na União Europeia”, explica. Havia uma diretiva de 1995 que fazia com que cada país europeu tivesse a própria lei, o que gerava incompatibilidades. A nova regulamentação traz uma lei única.

“O segundo objetivo da GDPR é conferir um controle muito maior do que pode ser feito com seus dados por meio de direitos básicos, elementos de transparência e explicação, não só na Europa, mas no mundo inteiro”, resumiu.

O que a lei fala é que os dados que as empresas coletam sobre as pessoas no fim das contas são das pessoas, e não das empresas”, resume André Miceli, comentarista Jovem Pan e professor de gestão de tecnologia da FGV.

A quem a GDPR se aplica?

Apesar de a lei ser europeia, ela não se aplica apenas a cidadãos europeus. A nova regra vale a empresas do mundo inteiro que possuem filiais na União Europeia ou que ofertem serviços ao mercado europeu (pessoas localizadas na UE independentemente da nacionalidade), mesmo sem presença física na Europa.

A regra também se aplica a todas as empresas contratadas ou subcontratadas por companhias sujeitas à GDPR para serviços de tratamentos de dados como coleta, armazenamento (em “nuvens” por exemplo), enriquecimento, matching, consulta e “profiling” (traçar o perfil) de informações de qualquer pessoa que se encontre em um território pertencente a algum dos 28 países membros da União Europeia, independente da sua nacionalidade, cidadania, domicílio ou residência.

Empresas como Apple, Facebook e Google já se adaptaram. A Apple começou inclusive a remover aplicativos de sua loja online que não estão em conformação com a GDPR. As 500 maiores empresas norte-americanas esperam investir cerca de US$ 8 bilhões de dólares nos próximos dois anos para se adaptar à nova regulamentação.

Quais exemplos de empresas brasileiras podem ser afetadas?

O gama de aplicação da GDPR é imenso. “Muitas e muitas empresas serão afetadas”, diz Monteiro. Ele exemplifica: uma empresa aérea que colete dados de pessoas localizadas na Europa ou até de brasileiros que viajam ao Velho continente;, uma empresa de aluguel de carros; uma empresa brasileira de publicidade online que tem contratos com companhias europeias; uma empresa que faz análise de dados; universidades que mandam estudantes para outros países, etc.

Monteiro explica que um hotel brasileiro que coleta dados pessoais de turistas europeus, por exemplo, deve se atentar às novas regras para protegê-los.

“Os dados não obedecem fronteiras geográficas”, diz Monteiro. “A GDPR tem aplicação extraterritorial. Ela se aplica a empresas que estão fora da União Europeia”.

“Se o seu site opera na Europa, ele precisa se adequar à GDPR porque inevitavelmente haverá um efeito viral de implementação desse processo de coleta e armazenamento de dados”, afirma Miceli.

Quais são os dados protegidos pela GDPR?

A GDPR protege dados de “uma pessoa natural identificável” (art. 4 da GDPR). Isso inclui “nome, número de identificação, dado locacional, identificador eletrônico ou um ou mais fatores específicos a identidade física, psicológica, genética, mental, econômica, cultural ou social da pessoa”.

“Quando falamos em proteção de dados, não falamos apenas de internet, mas de coleta de dados pessoais, seja online, seja offline. A lei de proteção de dados se aplica a um cadastro de faculdade, no restaurante, na farmácia, em um hotel, na hora de comprar um seguro de vida, seguro de saúde, dados junto ao RH da empresa”, exemplifica Monteiro.

Que punição se aplica a empresas que não protegerem os dados?

Há a previsão de uma multa que pode variar de 20 milhões de euros (cerca de R$ 85 milhões) a 4% do faturamento global da empresa, “o que for maior”, diz a lei. “São multas altíssimas”, pondera Monteiro.

A supervisão se dá pelas Autoridades nacionais de proteção de dados pessoais. “Essas agências podem aplicar as multas para empresas que devem estar em conformidade com a GDPR, mas não estão”. “Isso tem levado empresas do mundo inteiro a se adaptarem para entrar em conformidade”.

Como uma lei se aplica a uma empresa fora da União Europeia?

Monteiro explica em estudo publicado no site de seu escritório:

“As autoridades nacionais podem tomar medidas contra os representantes localizados em seus territórios, não contra os responsáveis pelo processamento se estes se encontram em países terceiros. Mas estas podem ordenar, por exemplo, que operadores de infraestrutura de comunicação, como empresas de telefonia, bloqueiem o acesso aos serviços oferecidos pelo responsável. Em ambas situações existe um risco de dano reputacional muito grande, o que pode influenciar a decisão em cooperar com as autoridades”.

O que fazer para minha empresa se adaptar?

Estar em conformidade com a GDPR pode ser considerado um diferencial competitivo, diz Monteiro. Isso porque as empresas sujeitas à regulamentação só poderão contratar com companhias que respeitem as novas regras de proteção de dados.

“As empresas precisam se adequar do ponto de vista tecnológico a esse movimento”, concorda Miceli.

O professor da FGV afirma que as companhias devem implementar funções tecnológicas que permitam o controle e fatiamento de dados.

“O que uma empresa precisa fazer é: 1) comunicar todos os dados que são coletados; 2) dizer exatamente o que ela faz com os dados coletados e 3) criar instrumentos que todos esses dados sejam transferidos ou apagados pelo usuário”, resume Miceli.

“Quem ainda não se adaptou está muito atrasado”, diz Monteiro. “Mas entrar em conformidade com a GDPR não é um fato, é um processo”, ressalva o professor, sugerindo indiciar o processo “o mais rápido possível”.

Por que é importante se adaptar às novas regras?

“Se uma empresa quiser ter acesso ao mercado europeu, ela terá de se adequar às novas regras”, decreta Monteiro.

Como é a lei de proteção de dados no Brasil hoje?

O Brasil não é considerado pela Comissão Europeia como um país com nível adequado de proteção de dados, diz Monteiro. Na América Latina, apenas Uruguai e Argentina têm esse status.

Apesar disso, “é errado dizer que não temos leis de proteção de dados. Temos muitas, mas elas são específicas para determinados setores, como lei para internet, lei para o sistema financeiro nacional, histórico de crédito”.

Essas leis muitas vezes são conflituosas e trazem insegurança jurídica, diz Monteiro. Por isso se discute no Congresso Nacional uma nova lei geral de proteção de dados. “Todos os projetos que estão em discussão são amplamente influenciados pelas novas regras europeias”, diz.

O fato de o Brasil não ter uma regulamentação consolidada “na prática cria um isolamento entre nosso País e os países europeus”, diz Miceli.

A GDPR afeta a publicidade direcionada?

Sim, mas não necessariamente negativamente. O usuário pode autorizar ou não o uso de seus dados por empresas de seus interesses.

“O ojetivo da legislação não é limitar ou impedir qualquer modelo de negócio”, diz Monteiro. “Uma vez que o tipo de dados pessoais que irão circular no ecossistema da internet terão uma qualidade melhor, pode ser que as propagandas sejam menos invasivas e mais precisas”, ponderou.

A GDPR teria evitado o escândalo da Cambridge Analytica, em que dados de não autorizados de usuários de redes sociais foram usados com fins eleitorais?

Não há uma resposta certa.

“Talvez ela tivesse tornado isso mais difícil de acontecer.  A GDPR torna obrigatório o conceito de ‘privacy by design’, ou privacidade desde a concepção”, diz Monteiro. “Desde quando estiver desenhando um modelo de negócio, a empresa terá sempre de olhar como poderão proteger a privacidade de seu usuário e isso seria levado em consideração em questões contratuais, de design e de engenharia”, afirmou.

“Talvez, se a GDPR já estivesse em vigor e alguns dos princípios que ela torna obrigatórios, seguidos, menos dados tivessem sido compartilhados com a Cambridge Analytica e maior controle seria dado aos usuários sobre o uso de seus dados”. O professor destaca, no entanto, que a companhia violou regras do próprio contrato que tinha com o Facebook.

A regra se aplica a governos?

Sim. Mas caso os governos coletem dados pessoais, existem exceções de permissão como para fins de segurança pública e segurança nacional, explica Monteiro.

Como a GDPR afeta o direito ao esquecimento? Ela pode ser usada por políticos ladrões?

O direito ao esquecimento não é um direito absoluto, diz Monteiro. “É levado em consideração se a informação é verdadeira ou não, se está atualizada, se existe algum interesse público envolvido, se dificultar o acesso pode ser considerado um ato de censura”, ponderou.

É quase impossível “apagar” dados da internet. Mas é possível “desindexá-los” para que o acesso a eles seja dificultado.

“Temos vários e vários casos de políticos e pessoas que cometeram crimes e tentaram fazer isso. Na maioria das vezes eles não conseguiram até porque havia o interesse público”, disse.

“Mas alguns conseguiram”, diz Monteiro, citando o caso de um holandês que cometera um furto há mais de 50 anos e a informação continuava a atormentá-la na internet.

Que medidas tomar para proteger meus dados pessoais na internet?

• Cuidado na navegação (use na medida do possível a aba anônima);
• Não criar contas ou cadastros em sites de origem duvidosa;
• Requisitar os dados para a empresa;
• Requisitar legalmente a exclusão de informações em eventuais casos de abuso.

Foi usado como fonte de dados também um estudo do professor Renato Leito Monteiro para o escritório Baptista Luz, do qual ele é sócio.

Ouça a entrevista de Renato Monteiro:

Ouça a entrevista de André Micelli: