O que é afinal de contas, o GDPR?
O General Data Protection Regulation (Regulamento Geral de Proteção de Dados) é um projeto para proteção de dados e identidade dos cidadãos da União Européia que começou a ser idealizado em 2012 e foi aprovado em 27 de abril de 2016 e emitida a Regulation (EU) 2016/679, a GDPR da UE. Ele visa a mudança significativa sobre as obrigações de empresas que lidam com dados de pessoas que sejam residentes na União Europeia.
Esse regulamento tem como objetivo de aumentar a privacidade desses indivíduos que estão online. E esse novo regulamento vale para qualquer empresa que deseja processar ou armazenar dados pessoais de qualquer cidadão na União Europeia, ou em qualquer outro lugar onde ele esteja.
Isto é, que mesmo que a sua empresa esteja instalada no Brasil, você precisa estar de acordo com a nova regulamentação caso tenha dados pessoais de contatos em Portugal, Espanha, França ou qualquer outro país da União Europeia.
E pode ser pessoas que trabalham com redes sociais, varejistas, agências de marketing digital ou até mesmo fornecedores de serviços, agora estarão sujeitas a várias novas obrigações — de acordo com o texto legislativo aprovado em 2016.
A utilidade da GDPR pode ser resumida facilmente: a lei geral de proteção, garante os usuários da internet quanto à coleta, processamento, compartilhamento e armazenamento de seus dados pessoais.
Por que e onde ele surgiu?
União Europeia – idealizadores
A UE surgiu no decorrer da Guerra Fria (1947 – 1991), a fim de auxiliar alguns países seletos da Europa a manterem um comércio controlado e projetado para seus crescimentos pós-guerra.
Para termos ideia do seu impacto econômico no mundo, na época os EUA tentaram construir uma comunidade Americana semelhante. O “União Americana” foi impossibilitada pela enorme diferença econômica dos países da América Latina e do Norte.
A “panelinha” Européia foi englobando mais e mais países durante os anos. Atualmente (janeiro de 2019) ela conta com 28 comissários, um de cada país participante. São os usuários de internet que moram nessas regiões os protegidos pela GDPR.
Você conhece alguma empresa que possua dados na nuvem ou em algum banco e que possa realizar comércio com alguma região da Europa? Talvez alguns nomes lhe pareçam familiares: Facebook, Instagram, Amazon, Twitter, Steam, Windows, Mac, Wish, Hazer, Hubspot, LinkedIn ou MailChimp.
Comércio eletrônicos, redes sociais, e-mails, softwares, games, serviços, empresas de pesquisas, etc. Não são poucos os modelos de negócio que são de alguma maneira afetados pela lei de proteção de dados europeia, afinal de contas, muitos dos possível públicos estão na região.
Por isso, é importante para todo mundo entender as tratativas e impactos desse conjunto de regras imposto pela UE.
Segundo o site Meio Bit, todas as regras do GDPR colocam o usuário como soberano sobre seus dados. E o site cita:
- O usuário é soberano no direito de autorizar ou não a coleta de dados, e tem o direito de determinar como eles serão tratados;
- O usuário tem o direito de saber quais dados uma determinada empresa está coletando e para quais fins;
- O usuário tem o direito de mudar de opinião quando quiser, sendo as empresas obrigadas a fornecer ferramentas para remoção de dados e sua decisão de interromper a coleta deve ser respeitada;
- O usuário tem o direito de ser informado se seus dados estão sendo compartilhados com empresas ou grupos externos;
- O usuário tem o direito à portabilidade de dados, de modo que ele possa baixa-los e disponibilizá-los em outro serviço ou à sua escolha, e as empresas são obrigadas a fornecer ferramentas para tal finalidade;
- O usuário tem o direito de apagar seus dados em ocasiões específicas;
- As empresas ficam obrigadas a notificar os usuários e as autoridades em até 72 horas após uma ocorrência de vazamento de dados;
- as empresas são obrigadas a considerar a proteção de dados e privacidade dos usuários por design, desde o início de qualquer projeto;
- As empresas são obrigadas, na medida do possível, aplicar o pseudo anonimato dos dados, de modo a dificultar a identificação das informações por terceiros; a GDPR menciona métodos de ocultação e/ou substituição de dados de forma que a identificação correta só possa ser realizada com a adição de mais dados;
- As empresas são obrigadas a manter registros internos de todas as atividades de processamento dos dados dos usuários, e elas deverão incluir nome e detalhes da organização, a finalidade do processamento, a descrição de categorias de indivíduos e dados pessoais, destinatários, detalhes da transferência e cronogramas de retenção de dados;
- As empresas ficam proibidas de transferir dados para um país que não possua leis adequadas de proteção aos dados; a Comissão Europeia manterá uma lista de “países aprovados” para as transações e de forma alguma os incluídos na “lista negra” deverão ter acesso a informações de cidadãos europeus;
- Fornecedores terceirizados estão sujeitos às mesmas regras; basicamente, qualquer companhia que lide com dados de europeus será obrigada a manter registros de suas atividades, mesmo que sirva apenas como uma intermediária;
- As empresas deverão nomear um Diretor de Proteção de Dados (Data Protection Officer, ou DPO), um executivo responsável pela supervisão da manutenção e tratamento dos dados, que também deverá atuar como elo de ligação com as autoridades para prestar esclarecimentos e auxiliar em investigações.
Mas, qual o motivo disso?
Lembram que falei sobre a “União Americana” que deu errado? Pois é, embora isso tenha falhado, um dos pólos de negócios mundiais está centralizado na querida América do Norte. Você conhece o Vale do Silício?
Vamos especular o que pode ser uma das maiores questões internacionais do nascimento da GDPR. Da mesma maneira que a economia foi afetada quando a UE fechou algumas de suas importações e exportações e aceitações de migrações para seus participantes, hoje a economia é transformada pela existência do comércio de dados.
Basta olharmos para as últimas “mancadas” de empresas internacionais envolvendo os dados de seus usuários (logo no texto lembraremos um pouco disso) para entendermos porque os Europeus não querem se envolver com elas sem ter restrições e multas bem determinadas.
Empresas do mundo hoje possuem todo tipo de dados de seus usuários. A troca e venda deles entre si acabou se tornando até mesmo comum. Basta olhar sua lista de SPAMs no e-mail para perceber que você não recebe apenas aquilo que pede, mas qualquer coisa que imaginem que você possa ou não querer.
O que acontece com a empresa que descumprir o GDPR?
Toda companhia que preste qualquer tipo de serviço à União Europeia que trabalhe com coleta e tratamento de dados, sejam nas redes sociais, empresas de e-commerce ou como servidores de dados, são obrigados a se adequarem.
E para isso, é necessário investir em cibersegurança para que as informações estejam seguras e, fornecer ferramentas que autorizem os usuários a deletar ou transferi-las. Ou seja as empresas que descumprirem a Lei poderão ser notificadas e, em casos de infração leve, ou em situações mais graves, serão multadas no valor de € 20 milhões ou até 4% do faturamento anual.
Já está valendo no Brasil?
O Regulamento é válido para a União Européia toda, portanto qualquer empresa que possa vir a negociar com esse público precisa estar em conformidade com o GDPR.
“Misericordiosamente” o mundo teve um prazo para se adequar a essa legislação desde a sua aprovação em 2018. Esse prazo já passou. Desde 25 de maio de 2018 as empresas que violam as cláusulas da proteção de dados europeia são multadas. Que multa é? Logo falaremos dela, mas que fique claro que qualquer pessoa que não queira perder mais de 15 milhões de “doletas” precisa ficar de olho…
Tópicos importantes
O que está incluso no Regulamento Geral de Proteção de Dados? Vamos listar com base no site oficial da GDPR:
Dados pertencem aos seus usuários
- Esse fato parece algo logicamente óbvio, mas a lei descreve isso em alguns tópicos importante para o mercado de dados;
- Usuários podem escolher como seus dados serão tratados e autoriza ou não o uso;
- Usuários devem saber que dados são coletados e com qual finalidade;
- Usuário devem ter meios de excluir informações pessoais ou interromper a coleta de dados;
- Usuário deve poder acessar, copiar e migrar dados.
Clareza nas Políticas de Privacidade
O GDPR cobra que haja linguagem clara nas políticas de privacidade, para todos poderem entendê-la. Seria fácil maquiar ou burlar alguma das leis colocando cláusulas dentro das políticas que os usuários não conseguissem entender.
O famoso “persuadir” os usuários a deixarem a empresa fazer o que ela quiser com os dados não é algo raro. Afinal de contas, sendo como forem as políticas, é raro os usuários que lêem…
A PSafe cita uma pesquisa que mostra que pelo menos 124 dos sites mais acessados do mundo informam em suas políticas que utilizam informações dos seus visitantes para vender publicidade a terceiros.
Enquanto 720 destes sites tem uma opção para desativar isso, mas em sua maior parte, a opção está escondida no site ou o link e só está presente na “Política de Privacidade”.
Por que a maioria das pessoas não vêem isso? É só lembrar quais foram as últimas políticas que você leu, há grandes chances de serem os mesmo motivos de praticamente todo mundo.
Duas pesquisadoras da Carnegie Mellon University (EUA), Aleecia McDonald e Lorrie Faith Cranor, realizaram uma pesquisa sobre a leitura de políticas de privacidade. Seu artigo (disponível aqui no final do artigo) mostra que ler as letras miúdas dos serviços online consumiria, em média, 250 horas anuais, equivalente a um mês inteiro de trabalho.
Notificações de vazamento ou violação
Para se valer sem problemas do GDPR, as empresas que de alguma maneira sofrem algum tipo de ataque ou violação dos dados, devem notificar os usuários ou pelo menos as autoridades, em até 72 horas.
Privacidade por design
Você já ouviu falar de “Day 1”? É o termo usado, geralmente por startups, para falar sobre o primeiro dia oficial de existência de uma empresa. O GDPR pede para que desde esse dia a privacidade de dados esteja inserida na maneira de pensar da empresa.
O Design, ou seja, os passos dados pela empresa, suas metas e suas práticas devem todos incluir e projetar a maneira que irão realizar a Segurança de dados de usuários e clientes.
Recomendação de pseudo minimização
Talvez uma das questões mais complexas de se pensar estrategicamente na lei. A GDPR recomenda que seja possível manter dados sensíveis protegidos ou trocados de maneira a não conduzir os dados do usuário a identificarem quem de fato seja a pessoa. Segundo o glossário da lei:
Tratamento de dados pessoais de forma a que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável.
É um pouco difícil de se narrar facilmente né? E olha que uma das leis pede que as Políticas sejam claras… Vou tentar clarear mais uma vez:
O pseudônimo é manter usados oficiais da pessoa em sigilo, para serem usados para as necessidades comerciais ou envolvidas na política de cobertura. Dados expostos podem ser apresentados por nicknames ou de modo a manter um anonimato digital.
Isso permite que a pessoa não seja rastreada por usuários navegantes, mas que o banco de dados saiba quem ela é. Isso impede que ela viole alguma lei ou cometa alguma infração sem ter consequências e, também que suas informações sejam usadas em algum lugar que ela não queira.
Data Protection Officer (DPO)
Sua empresa tem um CTO? CEO? CMO? E você já pensou em ter também o DPO? Os Data Protection Officers indicados pelo GDPR, são os executivos responsáveis por representar a empresa em suas exposições de dados e em casos de processo ou intimação.
Resumo da lei
- Usuário tem o direito de serem avisados de “Data Brenchs” (nome para os vazamentos ou violações);
- Eles tem também o direito de acessar seus dados quando quiserem;
- Podem ser esquecidos pelo banco de dados(apagar os dados).
E quem não se adequar?
Vamos falar sobre as multas que citamos anteriormente?
Parece um pouco assustador a princípio, e realmente o é. A multa para infrações da GDPR são de pelo menos 20 milhões de Euros. Não é pouco. Converta para reais e você verá miseráveis R$84 milhões de bolsinhos.
Há a possibilidade dessa multa ser ainda maior. Se 4% da receita anual global da empresa detratora ser maior do que o valor padrão, esse será a multa. Depende qual número for maior. Até porque se essa porcentagem anual equivale a esse montante, essa multa está bem pequena…
Como me adequar como empresa?
Utilize o pedido de privacidade por design e organize seus negócios de maneira justa, legal e transparente. Pense bem nos seus processos e negócios e apresente para seus clientes com clareza qual é o tipo de relacionamento que vocês desejam ter.
Observe seu plano de negócio e veja qual é o propósito de cada dado que você está adquirindo de seus usuários. Ao entendê-los bem você pode e deve coletar apenas aquilo que é necessário para manter o propósito da sua empresa.
Mantenha atualizados os dados de seus usuários, peça a eles e explique o porquê das atualizações. Além disso, a partir do momento em que um dado não for mais necessário para os seus propósitos de empresa, apague-o!
Manter um dado privado inútil no seu banco é dar pano para a manga do universo dos problemas para sua empresa. Afinal de contas, você não deve utilizar dados que não sejam para o propósito da sua empresa!
Hoje em dia usamos ferramentas para praticamente tudo. Por que não utilizá-las também para obter segurança técnica e organizacional?
Grandes casos
Safe Harbor – Privacy Shield
Até 2016 o principal framework para transferências e migração de dados da Europa para os Estados Unidos era o Safe Harbor.
Durante as aplicações da GDPR foi percebido que ele não atendia todos os requisitos do regulamento. A parte de transação é uma história maior, mas ao fim das contas a empresa foi substituída pela Privacy Shield.
Case Facebook
Não é preciso muita pesquisa para lembrar que o Facebook está passando por maus lençóis quando falamos em segurança de dados.
Começando pelo começo , o escândalo envolvendo a Cambridge Analytica revela como políticas de privacidade e uso de dados pode ser algo perigoso sem legislações e ordens mais firmes. Houve aprendizado?
A última nova atividade de dados do Facebook foi a compra de dados direto dos usuários, no fim de Janeiro de 2019. A rede social colocou em ação o Facebook Research App, que pagou 20 dólares para jovens de 12 a 15 anos de idade permitirem o acompanhamento das atividades em seus Smartphone. O App teve acesso desde conversas até históricos de navegação e compras. Fica a seu critério julgar esse cenário…
Empresas e os advogados GDPR
Obviamente há, no mundo, quem encontre brechas na Regulamentação feita pela UE e trabalhe com isso.
As empresas que se preocupam com isso estão extremamente ativas. Além de buscarem soluções para se adequarem à lei, buscam também caminhos para se defender dela.
Bibliografia
Escrevemos esse texto para você a fim de abordar o assunto de maneira íntegra e satisfatória. Vivemos num momento histórico onde a importância de entender o uso dos dados no mercado é relevante para qualquer negócio. Economicamente e socialmente existe uma responsabilidade digital muito grande sobre empresas de tecnologia ou que usam ela, e basicamente o mundo inteiro entra nesse filtro.
Por isso nós demos o trabalho de nos situar historicamente e pontuar pequenos detalhes que podem nos esclarecer as coisas sobre o Regulamento Geral de Proteção de Dados. Segue nossa bibliografia para caso você deseje consultar:
Glossário GDPR: http://www.openlimits.pt/pt/thinking-ahead-blog/glossario-rgpd-regulamento-europeu-protecao-dados/?all=1
Site internacional GDPR: https://eugdpr.org/
Site oficial GDPR: https://gdpr-info.eu/
Artigo sobre a pesquisa da leitura das políticas de privacidade: https://www.tecmundo.com.br/privacidade/22620-leitura-da-politica-de-privacidade-de-sites-custaria-us-781-bilhoes-aos-eua.htm
Acesse o documento da pesquisa sobre a leitura das políticas de privacidade: http://lorrie.cranor.org/pubs/readingPolicyCost-authorDraft.pdf
Deixe o seu comentário