Mas, afinal, o que é a lei GDPR e como ela afeta os brasileiros?
Falta pouco para que o General Data Protection Regulation (GDPR ou Regulamento Geral de Proteção de Dados) passe a valer. A legislação, que foi proposta em 2012 e aprovada pela União Europeia (UE) em abril de 2016, entra em vigor nesta sexta-feira, dia 25 de maio — mesmo assim, ainda existem muitos brasileiros que não sabem exatamente como ela funciona ou qual será o seu impacto em nosso país.
Antes de mais nada, vale a pena entender o que exatamente é o GDPR. Trata-se, a grosso modo, de um conjunto de leis que visam criar um regulamento pioneiro para proteger os dados pessoais de cidadãos europeus em plataformas online — e isso inclui serviços financeiros, redes sociais, lojas virtuais ou quaisquer outros ambientes digitais que armazenem informações pessoais na internet, gratuitamente ou não.
Basicamente, quando o GDPR foi criado seis anos atrás, o objetivo da União Europeia era impedir, desde aquela época, alguns tipos de tragédias virtuais que vemos acontecendo nos tempos atuais: o Facebook abusando dos dados de seus usuários, sites sofrendo vazamentos sem alertar seus consumidores e outras violações ao direito de privacidade. Após muita discussão, tal legislação está finalmente prestes a entrar em ação.
Para os usuários
O GDPR foi criado com total foco nos cidadãos, no intuito de garantir que eles possuam alguns direitos básicos ao utilizar serviços online. A coleta massiva de informações de qualquer internauta europeu só poderá ser feita com sua devida autorização — que, por sinal, poderá ser revogada quando ele quiser. Tal direito também se traduz em termos de uso mais simples, claros e de fácil entendimento para qualquer indivíduo.
Outra vitória da legislação diz respeito ao famoso "direito de ser esquecido". Embora o texto aprovado seja um pouco mais restritivo em comparação com o cenário ideal, ele finalmente decreta que qualquer internauta deve ser capaz de requisitar a total exclusão de seus dados em qualquer servidor online. E isso não significa simplesmente "deletar sua conta do Facebook", mas sim garantir que não haja mais rastros de sua existência por lá.
A consulta e transferência de dados é outro direito bem interessante concedido pelo GDPR. A qualquer momento, o cidadão europeu poderá fazer uma vistoria própria para confirmar quais de seus dados estão em posse da empresa em questão. Caso queira, ele poderá ordenar a transferência dessas informações para outro serviço online, seja de forma manual ou através de ferramentas automatizadas criadas especialmente para tal fim.
Para as empresas
A União Europeia não pegou leve ao descrever os deveres das empresas no GDPR. Deixando claro que a proteção de dados deve se tornar algo planejado desde os primórdios de qualquer empreendimento online, a assembleia deseja criar uma mentalidade privacy-first — ou seja, garantir que todos os sites e serviços digitais sejam construídos com foco na segurança cibernética de seus clientes.
Primeiramente, a lei estabelece um conhecido chamado pseudonimização (pseudonymisation, no original em inglês), que basicamente refere-se ao ato de "renomear" informações sensíveis armazenadas em um servidor para que elas não possam ser atribuídas a uma pessoa específica. Embora o regulamento não obrigue que as companhias adotem tal método, ela sugere que ele seja usado para proteger a privacidade alheia.
Por outro lado, todo empreendimento digital é obrigado a atender imediatamente as requisições dos consumidores que foram descritas anteriormente. Também é necessário eleger um Data Protection Officer (DPO), executivo que ficará responsável por gerenciar as requisições, se comunicar com as autoridades e garantir que os processos da empresa estejam em compliance com as regras do GDPR — ou seja, um gestor de qualidade.
Por fim, caso o serviço online seja vítima de um ataque, invasão, vazamento ou qualquer outro incidente cibernético que ponha em risco a privacidade dos clientes, o episódio deverá ser divulgado em até 72 horas após sua detecção — acompanhado ainda de um plano de ação para mitigar o problema ou ao menos reduzir os seus impactos na população em geral. Chega de leaks que demoram anos para aparecerem na mídia.
Se você achou as regras rígidas demais, prepare-se para descobrir que a multa para quem descumprir tais decretos pode chegar a 20 milhões de euros ou 4% do último faturamento anual da companhia — o que for maior. Obviamente, tal penalidade só será aplicada em casos extremos; para pequenos "vacilos" e infrações não-intencionais, a infratora só receberá um aviso por escrito e poderá ser obrigada a fazer auditorias periódicas.
E como fica o Brasil?
Há muita confusão a respeito da real abrangência do GDPR. Antes de mais nada, é preciso lembrar que, embora a legislação tenha sido criada pela União Europeia, ela engloba toda e qualquer empresa que colete, armazene e processe dados de cidadãos europeus, independentemente de onde ela esteja sediada. Isso, na teoria, significa que se você tem uma loja virtual que envia produtos para o mundo inteiro e possui um único consumidor europeu, a regulação já pode ser aplicada em seu empreendimento.
Pode parecer um tanto injusto, mas as regras do jogo são bem claras: se guardou informações de um europeu, estará sujeito às leis europeias. Obviamente, na prática, as autoridades estrangeiras não serão tão estritas assim e possivelmente vão ignorar casos de coletas não-intencionais ou situações nas quais os dados pessoais obtidos não são tão sensíveis assim (por exemplo, um internauta gringo visita seu site estático e passa a ser rastreado por um ad tracker).
Porém, isso não significa que as empresas brasileiras precisam continuar "desleixadas" a respeito desse assunto. O maior impacto do GDPR é moral: o regulamento está forçando empresários do mundo inteiro a pensar mais na segurança e na privacidade de seus clientes, o que pode ser benéfico para ambas as partes — os cidadãos se mantêm digitalmente protegidos e as corporações não precisam lidar com as dores de cabeça após um vazamento de dados, por exemplo.
Para o internauta comum, o GDPR é só alegria. Afinal, o regulamento forçou adaptações em gigantes do mercado de tecnologia que, mesmo que indiretamente, também afetam de forma positiva a experiência dos cidadãos brasileiros. Facebook, Twitter, Instagram, Google e Spotify são apenas alguns exemplos que marcas que se adaptaram às regras, reescreveram seus termos de uso, passaram a ser mais transparentes e começaram a oferecer ferramentas para que você tenha maior domínio sobre seus próprios dados.
No fim das contas, por mais que ela possa parecer assustadora, a legislação veio para propor uma nova era na internet, podendo — e devendo — ser recebida de braços abertos.
Canaltech
