#GDPRday: por que estamos falando disso?

Chegou o #GDPRday, data em que entrou em vigor a General Data Protection Regulation (GDPR), a nova regulamentação de proteção de dados pessoais da União Europeia. O seu principal objetivo é colocar o cidadão como protagonista no controle de seus dados pessoais e exigir transparência das organizações. O texto instaura uma série de regras que visam tornar os contratos digitais mais claros e obriga empresas a comunicarem detalhes sobre o ciclo de vida dos dados: como, quando e por que os coletam, tratam, compartilham, armazenam e descartam.

Os modelos de negócio mudaram drasticamente nos últimos 20 anos. Por isso, a Comissão Europeia atualizou a diretiva, dando às novas regras contornos que dialogam com a atual economia, baseada no fluxo de dados pessoais. Há dois anos, a GDPR foi anunciada para que empresas, serviços públicos e diferentes organizações pudessem adotar as medidas necessárias para ficar em conformidade com a lei, que substitui a Diretiva Europeia, um ato legislativo em vigor desde 1995. Até ontem, cada país já seguia diretrizes e respondia à mesma Autoridade Europeia para a Proteção de Dados. No entanto, tinham espaço para adaptar os condutos às suas normas nacionais, o que criava diferentes ambientes legislativos dentro do bloco europeu. Com a GDPR, todos os 28 países do bloco estão sob a mesma regulação.

A partir de agora, usuários de internet ou de serviços off-line da União Europeia que dependam da coleta de dados têm direito de:

1) entender o que é feito com seus dados pessoais;

2) solicitar a portabilidade de dados entre diferentes plataformas (como acontece com operadoras no Brasil, por exemplo);

3) pedir a revogação de dados de servidores (sim, é possível requerer a retirada de dados fornecidos ao Google);

4) retificar seus dados;

5) ser esquecido; e

6) contestar decisões automatizadas (como questionar a um banco ou a um data broker por que o algoritmo lhe conferiu determinada pontuação de crédito, por exemplo).

Esses são apenas alguns pontos e a lei é válida a pessoas naturais localizadas na União Europeia, não necessariamente a cidadãos europeus.

Do ponto de vista organizacional, cada empresa tem um tipo de adaptação. Companhias ou serviços públicos com mais de 5 mil registros de dados pessoais precisam dispor de um Data Protection Officer(DPO), cargo destinado a garantir conformidade da empresa com a GDPR, como explica esse artigo do Jota. Mesmo pequenos negócios precisam estar cientes do ciclo de vida do dado dentro da sua empresa, garantindo que todas as etapas sejam registradas para eventuais auditorias. Se uma marca terceiriza o processamento de dados de seus clientes a outra empresa, essa empresa tem responsabilidade solidária e também precisa estar de acordo com a GDPR. Neste caso, o responsável pelo tratamento se chama data processor e o tomador de decisões, data controller. Ambos respondem em caso de vazamento ou de uso indevido de dados.

Muitos CEOs temem as multas pesadas impostas pela nova lei, de até € 20 milhões ou de 4% do faturamento global, o que for maior. No entanto, há critérios de proporcionalidade que levam em conta outros fatores, como o histórico de adequação da empresa à lei. Mais importante do que temer uma multa dessa proporção – algo que deverá se direcionar apenas a grandes corporações com vastos bancos de dados – é prestar atenção nos contratos, como explica esse artigo do Data Privacy Brasil, que fornece cursos sobre o tema.

A pergunta principal: empresas brasileiras estão sujeitas a GDPR? Sim. Respondem à lei empresas brasileiras com filiais na UE, que ofereçam serviços ao mercado europeu (em diferentes graus), que estejam fora da UE mas coletem, monitorem ou tratem dados de pessoas de lá ou que terceirizem uma empresa da Europa para esse processo.

Se você tem dúvida sobre o que é considerado um dado pessoal, saiba que a GDPR assumiu uma postura altamente protecionista ao usuário. A lei considera dado pessoal qualquer informação relacionada a uma “pessoa natural identificada ou identificável”. Isso abrange dados que diretamente se relacionam a um indivíduo, como nome e CPF, bem como dados que podem vir a identificá-lo, como metadados (IP do computador e aparelho de conexão à internet) e rastros digitais (dados ligados à identidade cultural e econômica, por exemplo).

O assunto é extenso – são 88 páginas, 11 capítulos e 99 artigos – e o #GDPRday é só o começo do debate sobre as inúmeras questões que devem surgir nessa nova era da privacidade. Você pode acessar a lei aqui. Apesar de estar em inglês, as seções key issues e recitals são superdidáticas (assim como determinam que sejam os termos de uso a partir do dia 25 de maio de 2018).

 

Por Mundo Mais Tech

Fonte: http://mundomaistech.com.br/2018/05/25/gdprday-por-que-estamos-falando-disso/

Comentários

Comentários