Empresas de outros países, como o Brasil, que possuem negócios - e que armazenem dados - na Europa, também devem estar em conformidade com a nova regulação
A partir de hoje (25/5), entra em vigor o GDPR (General Data Protection Regulation), a nova regulação de dados da União Europeia. Com isso, empresas que coletam dados sobre cidadãos em países do continente europeu precisarão cumprir novas regras rígidas.
Qualquer organização que armazene ou processe informações pessoais sobre cidadãos da União Europeia deve cumprir o GDPR, mesmo que não tenha presença comercial na região. Empresas de outros países, como o Brasil, que possuem negócios – e que armazenem dados – na Europa, também devem estar em conformidade com a nova regulação.
O GDPR considera informações como informações básicas de identidade (nome, endereço e número de documentos), dados da web (localização endereço IP, cookies e etiquetas RFID), saúde, dados biométricos, dados raciais ou étnicos, opiniões políticas e orientação sexual. Em caso de não conformidade, as multas podem chegar a € 20 milhões ou 4% do faturamento anual global – o que for maior.
A nova lei, acompanhada do tema privacidade de dados, tem ganhado as notícias nos últimos meses. E mais do que isso, assustado muitas companhias. Diversos estudos mostram que a grande minoria das empresas conseguiu se adequar a tempo para ficar em conformidade com o GDPR. Levantamento do SAS, por exemplo, diz que apenas 7% das companhias estão prontas.
Nenhuma pesquisa abordou especificamente o Brasil, mas certamente o país segue a tendência mundial de não conformidade. É momento para se desesperar? Minha empresa será multada a partir de hoje? Não!
“Não é o fim do mundo”, resume João Ferreira Pinto, advogado português especialista em direito digital, que acompanhou todo o processo de criação do GDPR.
O especialista explica que se trata apenas do início da aplicabilidade de uma nova regulamentação, que será aplicada nos próximos 20 anos. O recado dele para uma companhia que não se adequou, sobretudo em países fora de Europa, é: mantenha a calma. “Esse é um processo e excelente oportunidade para empresas olharem para dentro, se tornarem competitivas e comunicarem ao mercado sobre o tema. Nada como criar uma equipe, com assessoria jurídica e tecnológica para traçar um plano e começar a pôr em prática”, afirma.
César Medeiros, especialista em seguro cibernético e Country Head da unidade de Customer Engagement Solutions da Affinion, diz que o GDPR é um processo evolutivo e que não vai solucionar tudo a partir desta sexta-feira. “É um processo”, define.
Um argumento para não entrar em desespero é o de que as multas – talvez o item que mais assusta as empresas – não começarão a ser aplicadas tão brevemente. “Há um entendimento que, por ser um processo complicado, haverá uma atividade proativa pedagógica das autoridades de controle para educar as empresas, antes de propriamente multar”, explica Pinto.
Mas, em casos graves e pontuais, como o do vazamento de dados do Facebook e da Cambridge Analytica, as penalizações devem ocorrer de forma mais contundente e rápida.
“Com relação às empresas brasileiras, não há motivos para desespero. Tem tempo e será um processo evolutivo”, comenta Medeiros.
O advogado acredita que, com o alcance que o GDPR está tomando, haverá uma preocupação cada vez maior com o direito dos cidadãos e, com isso, será criada uma penalização da própria sociedade no âmbito de reputação.
Ele cita o caso de uma clínica de Londres, que, ao enviar um comunicado para pacientes terminais de HIV, se confundiu com o recurso de cópia oculta do e-mail e expôs o nome dos pacientes, enviando com os remetentes abertos. “É um dano reputacional gigantesco. Imagina se acontece com suas informações do banco? Teremos essa mudança de consciência a partir do momento que consideramos compliance. Se vou a uma loja que passa meus dados para a do lado, não vou mais comprar lá. A grande mudança está na mentalidade de todos, enquanto consumidores e titulares de direitos. A responsabilidade começa em nós”, comenta Pinto.
Medeiros vê dois lados da questão, olhando para empresas e consumidores. De um lado, companhias precisarão cuidar dos dados de clientes com transparência e, do outro, consumidores buscarão se relacionar com empresas que estejam atendendo normas como o GDPR. “Como usuários finais, que empresas queremos? Para quem estamos dando nossos dados? (O GDPR) vai contribuir para essa melhoria tanto do lado da empresa, de ser mais transparente, quanto para o cliente ter mais consciência”, diz.
Essa consciência citada pelo executivo – e também pelo especialista em Direito – deve alterar um comportamento comum dos usuários de tecnologias: não ler termos de contrato ao instalar serviços on-line.
O fato é que, antes mesmo de entrar em vigor, o GDPR já está causando grandes revoluções no quesito proteção de dados. Resta saber quais impactos teremos em todo o mundo e, sobretudo, no Brasil.
