A nova lei de proteção de dados pessoais da União Europeia, que começa a valer nesta sexta-feira (25), tem poder de afetar a vida de todas as empresas e usuários que tiverem relações com o bloco europeu.
O Regulamento Geral de Proteção de Dados (GPDR, na sigla em inglês) é a mais dura reação do bloco europeu à espionagem em massa promovida pelo governo dos Estados Unidos, que compartilhava informações com outros países, como o Reino Unido. Revelado em 2013 por Edward Snowden, ex-analista da CIA, o escândalo ajudou a impulsionar a revisão da lei que havia começado no ano anterior.
Maior conjunto de proteção à privacidade online já criado desde o início da internet, o GDPR tinha seus efeitos suspensos desde 2016, quando foi aprovado, justamente para que companhias se adaptassem a ele.
Veja os 11 principais pontos do GDPR:
- usuários podem, em algumas situações, ver, corrigir ou até deletar as informações que empresas guardam sobre ele;
- empresas devem coletar apenas dados necessários para que seus serviços funcionem;
- coleta e uso de dados pessoais só podem ser feitas com consentimento explícito;
- qualquer serviço conectado tem de conceder ‘direito ao esquecimento’;
- informações de crianças ganham proteção especial;
- clientes que tiverem dados hackeados devem ser avisados em até 72 horas;
- empresas devem informar com linguagem compreensível sua política de proteção de dados;
- infratores são punidos com multa pesada, de € 20 milhões ou 4% do volume global de negócios da empresa.
- dados de europeus podem ser transferidos só para países com lei de proteção de dados equivalente à europeia;
- empresas que tratem dados de europeus têm de seguir a lei europeia caso estejam em países não considerados “portos seguros”.
- grandes processadoras de informação têm de guardar registros sobre todas as vezes em que manipularam dados.
“É uma mudança de cultura”, comenta o advogado português João Pereira Pinto, que trabalha auxiliando empresas europeias a se adaptarem ao novo cenário.
Ele acrescenta que o novo regulamento passa a mensagem de que “mesmo estando online, nós não podemos perder a segurança ou privacidade”.
Ainda que seja direcionado a europeus e a pessoas de outras nacionalidades que morem na Europa, o GDPR tem potencial de impactar internautas e empresas de tecnologia de todo planeta. Mas não só. Toda e qualquer companhia que manipule dados pode ser impactada, caso guarde ou receba informações de europeus. Isso inclui desde instituições financeiras até pousadas ou restaurantes em pontos turísticos.
A pedido do Portal G1, o advogado Renato Ópice Blum, do escritório de mesmo nome e professor de Proteção de Dados do Insper, listou três situações em que os efeitos da GDPR valerão para brasileiros:
- subsidiárias de empresas europeias no Brasil que tratem dados de cidadãos europeus e pessoas que residam na Europa;
- empresas brasileiras que fizerem ou tiverem alguma transação que envolva dados pessoais com a Europa;
- empresas brasileiras que não fizeram transação alguma com a Europa, mas, em algum momento, tratarem dados de europeus, ainda que em solo brasileiro.
O caso das subsidiárias no Brasil de empresas não-europeias mas com presença na Europa é uma quarta situação em que os brasileiros verão seu relacionamento com empresas conectadas regidos pelos termos europeus, ainda que indiretamente.
Nesse caso, porém, a extensão das adaptações ao GDPR para brasileiros é opcional. Nessa categoria, estão as maiores empresas de tecnologia do mundo, como Apple, Facebook, Google, Microsoft e Twitter.
Elas se dividem em dois grupos: o das que vão liberar as mudanças para usuários de todos os lugares, como Facebook, Google e Microsoft, e o dos que restringirão as alterações a europeus ou selecionarão quais das novas regras levar a usuários de outros locais, como Twitter e Apple.
As empresas brasileiras que tiverem de cumprir as regras mas não o fizerem estão sujeitas às sanções previstas na lei.
Não está definido, porém, nem para as entidades judiciais brasileiras como isso ocorrerá.
“Não está muito bem esclarecimento como vai ser feito a execução da lei, do ponto de vista de alcançar empresas que estão fora da comunidade europeia”, diz a magistrada. “Terá que haver uma transposição e também serem usados instrumentos de cooperação.”
A discussão no Brasil sobre um projeto nesse sentido começou em 2011, mas até agora não há uma regra para proteger dados pessoais, ainda que dois projetos estejam tramitando na Câmara e no Senado. Ainda que de forma limitada, o Marco Civil da Internet estabelece regras para uso de informações pessoais por parte de empresas conectadas.
Especialistas atestam que a ausência de uma lei de proteção de dados no Brasil cria complicações para empresas instaladas no país que fazem processamento intensivo de dados de europeus. Elas terão que criar procedimentos para respeitar as regras da GDPR. “Aí tem que ser feito contrato a contrato”, comenta Ópice Blum. “Ou seja, burocratiza mais, encarece um pouquinho e por tabela pode desestimular [negócios no Brasil].”
Fonte: G1