Conteúdo atualizado em: 17/06/2020
O tratamento de dados pessoais na internet foi regulamentado na Europa em 2018. Logo, saber o que é GDPR e como ele afeta a sua empresa será essencial para o futuro.
GDPR é a sigla de General Data Protection Regulation, que, na tradução literal, significa Regulamento Geral de Proteção de Dados. Ele foi criado devido a quantidade de informações em circulação, graças ao avanço tecnológico.
Na atualidade, milhares de transações financeiras, cadastros em sites e trocas de e-mails são realizados diariamente. Por esse motivo, a gestão dos dados pessoais pelas empresas prestadoras de serviços se tornou ainda mais essencial.
Inclusive, recentemente, diversos casos de vazamento de informações pessoais de usuários foram tema de reportagens nos meios de comunicação. Esses vazamentos fizeram muitas empresas brasileiras e estrangeiras, como a Target, passarem a ser investigadas e terem sua capacidade de sigilo questionada.
Neste artigo, você vai saber o que é o GDPR e de que forma ela afeta o funcionamento das empresas. Boa leitura!
O que é GDPR?
A União Europeia (UE) mantém atenção com a segurança e sigilo dos dados pessoais nas empresas desde 1995, quando um conjunto de leis que regulamentavam o gerenciamento dessas informações entrou em vigor.
Com o surgimento da internet, bem como da dinamização e a globalização do processo de interação entre pessoas e empresas, percebeu-se a necessidade de revisar e ajustar esse regulamento à nova realidade.
As novas discussões começaram em 2012, sendo a GDPR finalmente aprovada em 2016. O regulamento entrou em vigor somente no dia 25 de maio de 2018, para que todas as empresas tivessem tempo de se adequar e para que os usuários também tomassem ciência das normas.
Inclusive, esse foi o motivo dos usuários terem recebido tantos e-mails informando sobre a alteração das políticas de privacidades nos sites em que possui cadastro neste período entre a aprovação e entrada em vigor.
No caso, essas empresas alteraram suas políticas em razão do GDPR e as estenderam para usuários de todo o mundo, mesmo aqueles que não estão necessariamente sob a proteção da lei, mas que podem vir a estar em razão do alcance extraterritorial do regulamento.
Qual o objetivo da GDPR?
A ideia principal da GDPR é que o usuário tenha direito de saber quais informações pessoais estão em posse da empresa, bem como com que objetivo seus dados estão sendo utilizados. Além disso, a regulamentação prevê que eles tenham a liberdade de escolher se os seus dados podem ou não ser usados para tal finalidade.
Alguns pontos específicos abordados pelo regulamento são:
- Cabe ao usuário escolher como os seus dados serão tratados e autorizar ou não esse uso;
- A empresa é obrigada a informar ao usuário quais são os dados que estão sendo coletados e para qual finalidade;
- A empresa deverá disponibilizar ao usuário uma forma de interromper a coleta de dados ou de apagar todas as informações coletadas. E, ainda, fazer com que essa decisão seja respeitada;
- O usuário deverá ter permissão para acessar, solicitar cópia ou migrar os dados para outros serviços;
- Toda a comunicação entre a empresa e o usuário, incluindo o termo de privacidade, deverá ser feita através de linguagem clara e de modo transparente;
- O prazo de notificação das autoridades em casos de vazamento de informações é de até 72 horas após a empresa tomar conhecimento do ocorrido;
- A proteção dos dados deve estar presente desde a concepção de um novo projeto;
- É recomendável que a empresa proteja os dados dos usuários, ocultando informações ou substituindo-as de alguma forma, como, por exemplo, c*********@xxx.com;
- As empresas que coletam dados de usuários e se enquadram em determinadas características devem possuir funcionários ou consultores especialistas no tema indicados para a função de encarregado, para garantir a proteção dessas informações.
O regulamento conta com algumas restrições, ou seja, regras específicas que permitem que tais dados pessoais sejam tratados sem a incidência plena dessas regras. Segundo o seu artigo 23, essa restrição respeita a essência dos direitos e liberdades fundamentais e é uma medida necessária quando envolve, entre outros:
- Segurança nacional e/ou pública;
- Defesa;
- Prevenção, investigação, detecção ou repressão de infrações penais;
- Aplicações de reivindicações de direito civil.
Como a GDPR afetará as empresas brasileiras?
O Regulamento foi criado pelo bloco de países que formam a União Europeia, mas ela não menciona a cidadania do titular dos dados, apenas como eles devem ser tratados pelas empresas que os detêm. Isso faz com que o regulamento se aplique a todas as pessoas que estejam na União Europeia, mesmo que de passagem.
A principal forma de impacto no Brasil é que a empresa brasileira prestadora de serviço para uma empresa sediada na União Europeia ou para titulares na União Europeia poderá causar a imposição de multa aplicada diretamente ao contratante. Ou seja, a empresa brasileira será atingida indiretamente, por meio da penalização do seu contratante, caso infrinja as regras estabelecidas na GDPR.
A fim de evitar qualquer problema, as empresas brasileiras precisam conhecer a fundo o que é a GDPR para que possam implementar as modificações impostas por ela, de forma a evitar problemas futuros. Principalmente porque o bloco deixa claro a rigidez com que o regulamento é fiscalizado.
Além disso, é importante reiterar que, em julho de 2018, o Senado brasileiro se adiantou e aprovou a chamada Lei Geral de Proteção de Dados Pessoais (LGPD), baseando-se em muitas das disposições do GDPR.
Com isso, conseguiu criar um conceito de proteção de dados mais amplo, mantendo-se totalmente alinhado aos países europeus.
Outros países também seguiram esse mesmo caminho. São eles:
- Canadá;
- Japão;
- Israel;
- Argentina;
- Nova Zelândia;
- Chile;
- Colômbia;
- Peru;
- Uruguai.
O que ocorre em caso de descumprimento do regulamento?
Caso uma empresa infrinja essa normativa, ela pode receber desde uma notificação simples até pagar uma multa de € 20 milhões ou o equivalente a 4% da sua receita anual global, prevalecendo o maior valor. Para as empresas que não estão sediadas na União Europeia, a multa poderá ser cobrada conforme os acordos de cooperação internacionais.
Apesar das empresas brasileiras não serem obrigadas a fazer nenhum tipo de alteração na sua política de privacidade, muitas delas se anteciparam e seguiram por esse caminho, enviando notificações aos seus usuários a respeito das atualizações. Com isso, os usuários brasileiros que possuem dados cadastrados em sites acabam se beneficiando indiretamente desse regulamento.
Outro ponto bastante importante é que a aplicação da GDPR pode gerar o chamado efeito cascata. A contratação de serviços terceirizados para atendimento ao cliente, com acesso aos seus dados pessoais, pode fazer as empresas que se adequaram à lei, quererem trabalhar somente com parceiros que também tenham se adequado.
Isso faz a implementação das novas diretrizes se espalhar, quase que espontaneamente, entre muitas empresas pelo mundo.
Como está o cumprimento da GDPR?
Apesar do período de dois anos entre a aprovação da GDPR e a sua entrada em vigor em 2018, muitos países europeus ainda não se adequaram às novas normas. Segundo estudo da Check Point Software Technologies, 40% das companhias europeias estão parcialmente cumprindo o GDPR ou encontram-se na fase de adaptação.
Somente Alemanha, França, Suécia, Bélgica, Áustria, Eslováquia e Reino Unido fizeram as atualizações previstas. Enquanto Irlanda, Espanha, Estônia, Letônia, Lituânia, Eslovênia e Grécia ainda estão em fase de discussão dos projetos de lei.
Por outro lado, alguns países ainda não chegaram ao ponto de iniciar as discussões, como é o caso da Bulgária, Croácia, Chipre, Hungria, Portugal e Romênia.
O fato de nem todo o bloco estar caminhando junto acaba dificultando a cobrança do cumprimento da legislação e mesmo em como aplicar as multas previstas por ela para quem não seguir o GDPR.
Agora que você entendeu melhor o que é o GDPR e a sua importância para o futuro da confiabilidade de dados na internet, continue acompanhando o nosso blog, pois tratamos de outros temas relacionados à regulamentação internacional.
—
“Se quiser saber mais sobre este tema, contate o Dr. Cesar Peduti Filho.”
“If you want to learn more about this topic, contact the Dr. Cesar Peduti Filho.”