Conteúdo atualizado em 09/07/2020

Você já deve ter recebido em seu e-mail alguma mensagem sobre mudanças na política de privacidade de algum site que acessa sempre. Isso pode ter acontecido com frequência ainda maior quando entrou em vigor o GDPR, Regulamento Geral sobre Proteção de Dados.

Esse regulamento, que entrou em vigor no ano de 2018, é válido para a União Europeia, mas qualquer site que atenda aos países-membros daquela região pode ser afetado, o que explica porque até as empresas brasileiras tiveram que se adaptar às mudanças ocorridas do outro lado do continente.

O Regulamento Geral sobre Proteção de Dados afirma que as empresas precisam justificar, claramente, as razões de pedirem determinadas informações de seus usuários, sem contar que devem relatar como os dados vêm sendo utilizados e como serão utilizados no futuro (ou requer nova autorização para essa nova forma de utilização).

Quem não cumpre o que está no regulamento pode ter que pagar multa de até 4% sobre o valor anual do volume de negócios feitos em todo o mundo ou o valor de 20 milhões de euros. Esta é a multa mais grave, mas a falta de cuidados com as informações pessoais também é penalizada: 2% sobre o valor de negócios anual.

Logo no primeiro dia em vigor, Facebook e Google foram acionados judicialmente por não estarem de acordo com a GDPR.

Por que o Google e o Facebook foram multados?

Segundo as autoridades, o Facebook e o Google não estavam sendo transparentes quanto ao que faziam com os dados de seus usuários. Diversas aprovações e atualizações eram solicitadas pelas empresas por parte de quem acessava seus produtos, mas nada era bem explicado. Uma das primeiras entidades a identificar esse fato  foi a ONG “Europa Versus Facebook”, de Max Schrems, que já vinha criticando a política de privacidade de alguns sites, e acionou judicialmente a rede social e o site de buscas assim que o GDPR entrou em vigor.

A lei afirma que qualquer solicitação de dados precisa ser justificada, o que Google e Facebook não vinham respeitando na visão dos autores da ação, sempre deixando em aberto a finalidade e como usariam aquelas informações.

Tratava-se de algo que, na visão dos autores, deixava o usuário sem alternativas: ou ele concordava em ceder os dados ou perderia o acesso à rede social e ao buscador. Tudo funcionava de forma a forçar a aceitação, pois dificilmente o usuário deixaria de usar o Facebook ou fazer uma pesquisa no Google.

Tanto o Facebook quanto a Google se justificaram em relação às acusações. As empresas afirmaram que estavam em busca de adaptar-se, o mais breve possível, às exigências da nova lei, incluindo uma revisão de suas políticas de privacidade e configurações de seus sites.

O Facebook se expressou também no sentido de que passou os dezoito meses anteriores à lei se preparando para o que seria alterado.

E no Brasil?

No Brasil, ainda não temos casos relevantes de aplicação de multas em razão de violação ao GDPR, embora já estejam sendo discutidos, inclusive judicialmente, casos de aplicação da Lei Geral de Proteção de Dados Pessoais – LGPD, a Lei nº 13.709/2018 em situações concretas.

É necessário destacar que a LGPD ainda não está vigente no País, mas as Cortes vêm se antecipando e já exigindo algumas das salvaguardas previstas legalmente.

No que se refere à LGPD, podem ser impostas tanto sanções administrativas por meio da Autoridade Nacional de Proteção de Dados Pessoais – ANPD como outras medidas igualmente administrativas, aplicáveis por outros órgãos reguladores e fiscalizadores e baseadas em legislação extravagante (como Código de Defesa do Consumidor, por exemplo).

Além disso, é oportuno mencionar que o Poder Judiciário poderá (e já vem sendo) ser provocado para questões relativas a privacidade e proteção de dados pessoais, inclusive de maneira difusa – mediante demandas dos próprios titulares de dados.

GRDP afeta o Brasil?

O Regulamento Geral sobre Proteção de Dados é válido em toda a União Europeia. Inclusive, foi uma atualização quanto à privacidade de dados pessoais, já que a regra anterior era de 1995 e muitas coisas mudaram – na internet, principalmente. Google e Facebook sequer existiam àquele momento.

No Brasil, a lei afeta todas as empresas que, de alguma forma, interagem com países que fazem parte do bloco europeu.

Para garantir aderência às regras internacionais de proteção de dados pessoais, o melhor é atualizar as políticas de privacidade e cuidar das informações que seu site coleta. Quanto mais transparente for com os usuários, menor o risco de enfrentar um processo judicial e ter que pagar uma multa, como aconteceu com a Oi no ano de 2014.

Como evitar problemas com o GDPR

A melhor forma de se proteger e não ser multado pela nova lei, mesmo que válida apenas na União Europeia, é se adaptar às novas exigências. Para evitar problemas com o GDPR, é recomendado que:

• Forneça para o usuário a opção de autorizar ou não o tratamento de seus dados;
• Demonstre quais dados estão sendo coletados e explique onde serão utilizados;
• Respeite a solicitação de exclusão de dados pessoais arquivados;
• Seja transparente e claro em sua política de privacidade;
• Notifique rapidamente as autoridades em caso de vazamento de dados;
• Respeite a solicitação de bloqueio de tratamento de dados;
• Mantenha registro organizado de todas as atividades de tratamento de dados;
• Transfira dados apenas para países que se enquadrem dentro do quesito “proteção de dados satisfatória”;
• Conte com um responsável para gerir os dados, o chamado DPO (Data Protection Officer);
• Tenha a comprovação de autorização para tratamento de dados;
• Facilite a disponibilização de cópias dos dados dos titulares, quando solicitado por estes ou pelos órgãos reguladores;

Você percebeu o quanto o GDPR é importante? Lembre-se de adequar o seu site às novas regras, principalmente se atende titulares situados na União Europeia.

—

“Se quiser saber mais sobre este tema, contate o Dr. Cesar Peduti Filho.”
“If you want to learn more about this topic, contact the managing partner, Dr. Cesar Peduti Filho.”