25.05.2018
Agora está valendo. Hoje, entrou em vigor a General Data Protection Regulation (“GDPR” ou “Regulamento Geral de Proteção de Dados”).
A GDPR é um conjunto de leis que criou um regulamento pioneiro para proteger os dados pessoais de cidadãos europeus em plataformas online — e isso inclui serviços financeiros, redes sociais, lojas virtuais ou quaisquer outros ambientes digitais que armazenem informações pessoais na internet, gratuitamente ou não.
A coleta massiva de informações de qualquer internauta europeu só poderá ser feita com sua devida autorização — que, por sinal, poderá ser revogada quando ele quiser, pois a qualquer momento, o cidadão europeu poderá fazer uma vistoria própria para confirmar quais de seus dados estão em posse da empresa em questão. Caso queira, ele poderá ordenar a transferência dessas informações para outro serviço online, seja de forma manual ou através de ferramentas automatizadas criadas especialmente para tal fim.
Suas principais diretrizes são a garantia da privacidade de informações repassadas a empresas e o direito dos cidadãos de solicitarem esses dados a qualquer momento, bem como a obrigação de as companhias eliminarem as informações se esse for o desejo do usuário.
Outra vitória da legislação diz respeito ao famoso “direito de ser esquecido”. O texto finalmente decreta que qualquer internauta deve ser capaz de requisitar a total exclusão de seus dados em qualquer servidor online. E isso não significa simplesmente “deletar sua conta do Facebook”, mas sim garantir que não haja mais rastros de sua existência por lá.
As empresas também deverão eleger um Data Protection Officer (DPO), executivo que ficará responsável por gerenciar as requisições, se comunicar com as autoridades e garantir que os processos da empresa estejam em compliance com as regras da GDPR — ou seja, um gestor de qualidade.
Em casos de ataque, invasão, vazamento ou qualquer outro incidente cibernético que ponha em risco a privacidade dos clientes, o episódio deverá ser divulgado em até 72 horas após sua detecção — acompanhado ainda de um plano de ação para mitigar o problema ou ao menos reduzir os seus impactos na população em geral.
A multa para quem descumprir tais exigências pode chegar a 20 milhões de euros ou 4% do último faturamento anual da companhia — o que for maior. Obviamente, tal penalidade só será aplicada em casos extremos; para pequenos “vacilos” e infrações não-intencionais, a infratora só receberá um aviso por escrito e poderá ser obrigada a fazer auditorias periódicas.
No caso de empresas de fora da União Europeia, mas que tenham filiais instaladas no continente, a responsabilização ocorrerá pelo próprio Estado-membro. Já as companhias que apenas atendem cidadãos europeus ou conduzem negócios na Europa, sem presença física, precisam apontar um representante legal em território europeu.
E como fica o Brasil? Antes de tudo, é preciso lembrar que, embora a legislação tenha sido criada pela União Europeia, ela engloba toda e qualquer empresa que colete, armazene e processe dados de cidadãos europeus, independentemente de onde ela esteja sediada, ou seja, se guardou informações de um europeu, estará sujeito às leis europeias. Isso, na teoria, significa que se você tem uma loja virtual que envia produtos para o mundo inteiro e possui um único consumidor europeu, a regulação já pode ser aplicada em seu empreendimento.
Fato é que, mesmo fora da abrangência da GDPR, a atenção com a privacidade dos cidadãos e a segurança de suas informações cresce no mundo todo. E, quanto antes se ajustar aos princípios éticos mais rigorosos, melhor.
O maior impacto da GDPR é moral: o regulamento está forçando empresários do mundo inteiro a pensar mais na segurança e na privacidade de seus clientes, o que pode ser benéfico para ambas as partes — os cidadãos se mantêm digitalmente protegidos e as corporações não precisam lidar com as dores de cabeça após um vazamento de dados, por exemplo.
O Leite, Tosto e Barros possui equipe especializada à disposição de V. Sas. para esclarecer eventuais dúvidas.
* Colaborou com este informativo a advogada Priscilla Papacena Luciano.
