21 de mai de 2018

GDPR: o que é a nova lei de proteção de dados na União Europeia?

Udacity Brasil

Você deve ter reparado que, na últimas semanas, seu inbox se encheu com e-mails que anunciavam atualizações de termos de serviço. O motivo é um só: a implementação da General Data Protection Regulation (GDPR). E se você nunca ouviu falar sobre a GDPR, isso provavelmente vai mudar nos próximos meses, visto que ela entra em vigor em 25 de maio deste ano.

Surgida na União Europeia, essa nova regulamentação visa tornar mais transparente, consciente e respeitoso o uso que as empresas fazem dos dados pessoais de cidadãos do bloco. (Os e-mails que você recebe no Brasil, portanto, são por fazer parte de uma base geral.)

Agora, se sua foto, localização geográfica ou diversos outros tipos de informações vistas como dados estiverem sendo coletadas em países do bloco europeu, você deve ser avisado sobre quem está coletando seus dados, com qual finalidade e por quanto tempo estarão sob aquela tutela, entre outras informações. Quem pisar fora da linha pode pagar multas de até 20 milhões de euros.

Não é exagero dizer que este pode ser o começo de uma grande transformação no mundo dos negócios.

A jornada da GDPR: europeus têm recebido diversos e-mails como este exemplo, da consultoria PwC, pedindo seu consentimento novamente para continuar o contato

E embora esteja a caminho há anos – as companhias tiveram dois anos para se adaptar às regras –, sua chegada tem um timing fortuito: de acordo com Vĕra Jourová, comissária de justiça da União Europeia, os recentes escândalos envolvendo o processamento de dados de usuários do Facebook não teriam acontecido sob a regulamentação da GDPR.

"A GDPR prevê multas altas. Isso é novidade e acredito que levará as empresas a se adequarem melhor. Talvez assim haja uma maior proteção da privacidade", opina Ot van Daalen, professor do Instituto de Direito da Informação da Universidade de Amsterdã, em entrevista à Udacity.

"O que eu temo é que as organizações encarem o GDPR apenas como mais uma burocracia a ser resolvida – e não visualizem claramente a lógica e o embasamento das regras para garantir um verdadeiro compliance", afirma o professor.

Na opinião dele, a GDPR representa uma oportunidade para muitas companhias refletirem sobre como utilizam os dados e com quais finalidades. "A GDPR pode ser útil e ajudar porque, em alguns casos, as próprias empresas irão notar que estão coletando mais dados do que realmente precisam", diz o professor Ot van Daalen.

Assista ao webinar: Tecnologia e inovação: conheça o perfil destes profissionais

GDPR: o que é e como funciona a nova lei?

Mas, afinal, o que significa GDPR? Como ela funciona? Como as empresas devem se adequar às novas regras? São muitas as perguntas que envolvem o assunto. Por isso, respondemos as dez principais dúvidas a seguir:

1. O que é GDPR?

GDPR é a sigla para General Data Protection Regulation (Regulamento Geral de Proteção de Dados, em tradução livre para o português). Trata-se de um ato legislativo com o objetivo de regulamentar o processamento de dados pessoais de cidadãos da União Europeia feito por empresas ou instituições públicas. Essa regulamentação deve ser aplicada em toda a UE, mas cabe a cada país decidir como fazer isso individualmente.

Mesmo que a empresa não comercialize os dados das pessoas e apenas os utilize com outros fins, ela deverá se adequar à GDPR.

A regulamentação não se aplica apenas às organizações sediadas dentro na União Europeia mas sim a qualquer uma que ofereça produtos ou serviços a cidadãos da UE, mesmo tendo sede em outro país.

A regulação também deve ser seguida independentemente do tamanho da empresa: se há processamento de dados pessoais, gigantes multinacionais e companhias pequenas precisam se adequar do mesmo jeito.

E uma observação importante: a GDPR considera como "dado" qualquer informação que identifique uma pessoa direta ou indiretamente. Pode ser, por exemplo, nome, foto, endereço de email, informações bancárias, posts em redes sociais, localização geográfica, informações médicas ou o IP do computador, entre outros.

2. Como a GDPR funciona?

A GDPR estabelece que, no momento em que os dados pessoais forem coletados, o usuário deverá ser informado sobre:

  • Qual é a empresa ou organização que está usando as informações
  • Finalidade (propósitos) da coleta dos dados
  • Quais dados serão usados
  • A justificativa legal para processar tais dados
  • Por quanto tempo os dados serão guardados
  • Que outras empresas poderão acessar os dados
  • Se os dados serão transferidos para fora da UE
  • Que o usuário terá direito a uma cópia desses dados
  • Que o usuário tem o direito de apresentar queixa junto à Autoridade de Proteção de Dados (DPA)
  • Que o usuário tem direito de não concordar mais com o uso dos dados a qualquer momento

A GDPR também afirma que as instituições públicas, as organizações que trabalham com monitoramento sistemático em larga escala e as empresas que lidam diretamente com informações pessoais sensíveis precisam ter um DPO (Data Protection Officer), ou seja, um profissional responsável por cuidar especificamente das boas práticas envolvendo o processamento de dados.

Nos casos em que os dados pessoais são divulgados acidentalmente ou ilegalmente a destinatários não autorizados, o fato deve ser notificado à Autoridade de Proteção de Dados (DPA) o quanto antes, no máximo dentro de 72 após o conhecimento do problema.

Para as organizações que não se adequarem à regulamentação, a GDPR prevê imposição de multas rígidas.

Leia: A inteligência artificial como artista: músicas, filmes e quadros criados por AI

3. Por que a GDPR surgiu?

A GDRP é uma revisão e atualização de um regulamento que esteve em vigor pelas duas últimas décadas, que havia sido criado no final dos anos 1990, quando a internet para fins comerciais estava ainda começando.

A reformulação das regras se mostrou necessária porque, à medida que as tecnologias avançaram, as pessoas passaram a ficar cada vez mais expostas ao uso indevido de dados e informações por parte de empresas e terceiros.

4. Quando a GDPR passa a valer?

A GDPR foi aprovada pelo Parlamento da UE em abril de 2016. Durante os dois anos seguintes, as empresas tiveram um bom tempo de transição para se adaptar às mudanças. O novo regulamento entrará em vigor em 25 de maio de 2018.

5. Quais são os benefícios da GDPR?

Regras mais rígidas voltadas à proteção de dados têm o objetivo de dar às pessoas um controle maior sobre seus dados pessoais. A ideia é que os usuários sejam melhor informados a respeito dos dados que estão compartilhando com as empresas e que saibam de que maneira eles estão sendo usados.

Outro ponto positivo é que, de acordo com a GDPR, os usuários terão o direito de voltar atrás na decisão e cancelar o acesso das empresas a seus dados quando bem entenderem.

6. Quais são as críticas à GDPR?

Alguns dos críticos da GDPR afirmam que as nova regulamentação não é suficiente para impedir que os dados das pessoas sejam coletados e usados indevidamente.

Por outro lado, uma crítica que tem sido feita diz respeito à complexidade de aplicação da GDPR – o que tornaria difícil a sobrevivência de pequenas empresas que não dispõem de uma grande estrutura para se adequar às novas regras.

Assim, muitos acreditam que se adequar à GDPR é um "luxo para poucos", de modo que apenas as grandes multinacionais teriam condições de competir por negócios em um cenário onde as multas pelo não cumprimento da GDPR pode chegar a custar a custar 20 milhões de Euros ou 4% da receita da empresa – o que for maior.

7. Quais são as punições previstas?

As empresas e instituições que não se adequarem à regulamentação prevista pela GDPR serão multadas em até 20 milhões de euros ou 4% da receita da empresa – o que for maior. Essa é a maior penalidade prevista pelo regulamento, mas há uma série de outras, a depender da gravidade do caso.

Por exemplo, se a empresa tiver conhecimento de um problema de vazamento de dados e não comunicar à autoridade competente dentro de 72 horas, pode receber uma multa no valor de 2% de sua receita.

A GDPR também afirma que a companhia que agir indevidamente poderá ser processada pelos usuários cujos dados forem usados de maneira irregular.

Leia: Entre uma crise e outra, o debate ganha espaço: a tecnologia precisa de um código de ética?

8. Como as empresas estão reagindo à GDPR?

É fato: as indústrias estão cada vez mais famintas por dados que chegam a valer centenas de bilhões de euros por ano. Afinal, muitas empresas enxergam esse tipo de informação em larga escala como elemento central para suas atividades e futuro financeiro – especialmente grandes players como Google e Facebook.

Mas a realidade é que as empresas que atuam na UE não têm opção a não ser se adequar às novas regras. Até mesmo Mark Zuckerberg, fundador e CEO do Facebook, admitiu que sua companhia, sediada nos EUA, adotará alguns dos padrões previstos pela GDPR mesmo em regiões onde eles não se aplicam.

Julien Blanchez, estrategista de segurança global & compliance da Google, explica como as mudanças afetam os serviços do Google Cloud

9. A GDPR poderá servir como exemplo ou modelo de regulação para outros países?

Sim. Por mais que a regulamentação tenha suas limitações, ela poderá incentivar e inspirar outros países a seguirem caminhos parecidos em prol da segurança dos cidadãos.

Até legisladores dos EUA – que antes não se mostravam grandes entusiastas da GDPR – agora já falam publicamente em criar algo parecido para o país.

"Eu acredito que a GDPR irá criar um certo padrão no mundo. Outros países vão querer ter fluxos de dados livres com a UE, o que significa que eles precisarão ter níveis semelhantes de proteção", opina Ot van Daalen, professor do Instituto de Direito da Informação da Universidade de Amsterdã.

10. Como as empresas têm se adequado à GDPR?

As empresas que vendem produtos e fornecem serviços a clientes da UE e registram seus dados pessoais tiveram dois anos para se adequar às novas regras estabelecidas pela GDPR. Durante esse período, muitas empresas de consultoria em segurança na internet prestaram serviços para ajudar as companhias a se adequarem às novas regras.

Leia também:

Sobre o autor
Udacity Brasil

A Udacity, conhecida como a "Universidade do Vale do Silício", é uma plataforma online e global que conecta educação e mercado para ensinar as habilidades do futuro – de data science e marketing digital à inteligência artificial e desenvolvimento. Hoje, há mais de 7 mil alunos ativos no país e 50 mil pelo mundo.