Apesar de se tratar de uma regulamentação europeia, a GDPR afeta diretamente as empresas brasileiras. Como essa legislação aborda uma relação que ocorre na internet e, portanto, no mundo inteiro, o parlamento europeu considerou que ela deve proteger os cidadãos europeus mesmo quando eles acessam o seu site aqui no Brasil, por exemplo.

Independentemente de todo o debate sobre o quanto o governo deva se envolver nesse tipo de relação, tão em pauta no momento atual, o fato é que a lei está em vigor e devemos nos preocupar com ela.

A seguir, vou relacionar as regras para você com foco nas motivações para a elaboração da lei, pois elas estão ligadas às expectativas e interferências que as organizações precisam estar atentas para poder incorporar a Transformação Digital. Vamos começar com a definição da sigla?

O que é a GDPR?

General Data Protection Regulation (GDPR), ou Regulamentação Geral de Proteção de Dados, foi aprovado em abril de 2016 e entrou em vigor em maio de 2018. Trata-se de um conjunto de regras que regulamentam a forma como as empresas lidam com dados pessoais dos cidadãos europeus em todo o mundo. O objetivo principal é garantir a privacidade online e esse intuito afeta a maneira como as empresas coletam, armazenam e utilizam essas informações.

Toda ação que envolva dados pessoais que possam identificar um indivíduo — como nome, endereço, dados financeiros e de comportamento —, estão agora sujeitas aos procedimentos previstos na lei. Ao mesmo tempo em que as empresas brasileiras estão sujeitas a essas normas quando coletam dados de cidadãos europeus, residentes em qualquer parte do mundo, o GDPR serviu de base para a nova lei brasileira.

PLC 53/2018, Lei Geral de Proteção de Dados (LGPD), foi sancionada com vetos na semana passada e aguarda sua publicação no Diário Oficial para passar a vigorar em todo o país.

Qual o contexto da regulação?

Por mais bem intencionado que seja o esforço das empresas em utilizar dados de seu público para entender o seu comportamento, identificar suas necessidades, desejos e problemas, essa prática criou desconforto e insegurança. Afinal, as pessoas se preocupam com sua privacidade e são sensíveis a qualquer situação que as coloquem em risco.

Alguns casos mais graves de vazamento de dados e a tradição legislativa — que valoriza a liberdade, a privacidade e o direito de propriedade e sigilo de dados pessoais —, despertou juristas em todo o mundo para a necessidade de regulamentar a forma de uso dessas informações.

Esse movimento começou na década de 80, quando o parlamento inglês aprovou a Data Protection Act (DPA). Com base na noção de que cada indivíduo é o proprietário legítimo de seus dados pessoais, a DPA influenciou a primeira lei europeia — vigente desde 1995. No Brasil, a iniciativa foi um pouco tardia e se apresentou na forma do Marco Civil da Internet, de 2014.

Diante do cenário da Transformação Digital, no qual o levantamento de informações é fundamental para entender o problema do público, desenvolver uma solução e determinar a melhor forma de entregá-la, é necessário que as empresas fiquem atentas às novas regras para garantir a confiança e bem-estar do consumidor, além de garantir sua imagem, e evitar sanções do governo e crises de marca nos meios digitais.

De outro modo, não é possível entregar uma boa experiência de compra e uso sem correr sérios riscos. Desse ponto de vista, o ideal é usar as leis vigentes como base de uma política de segurança e respeito ao público — no lugar de encará-las como uma obrigação incômoda. Da ótica de uma empresa estamos falando de ações de compliance voltadas para a segurança.

Quais os princípios da legislação?

Tanto no caso brasileiro quanto no europeu os princípios são os mesmos, já que nossa lei sofre influência europeia. Por isso, relacionamos para você as principais regras do GDPR e, no próximo tópico, os direitos mais específicos da lei nacional. Confira:

Aviso de falhas

As empresas são obrigadas a comunicar eventuais falhas de segurança de dados às pessoas afetadas e aos órgãos reguladores. O prazo é de 72 horas e acaba com a prerrogativa de justificar problemas depois que eles ocorrem. Ou seja, as empresas precisam ser proativas em segurança da informação.

Princípio de privacidade

Essa orientação para a segurança deve estar presente como uma finalidade em qualquer projeto da empresa. Isso significa que, além de desenvolver uma determinada ação com o objetivo de promover o relacionamento, por exemplo, a organização deve estar focada em garantir a privacidade dos envolvidos.

Responsabilidade solidária

Se você terceirizar alguma atividade e for necessário o compartilhamento de informações com a empresa parceira, sua organização continua sendo responsável pela segurança e deve manter os registros detalhados de qualquer processamento de dados. Independentemente da legislação, assumir essa responsabilidade é fundamental para criar o ambiente ideal para o processo de Transformação Digital.

Garantia de exclusão

O GDPR garante aos europeus o direito de solicitar a exclusão de seus dados quando considerarem adequado, mesmo que tenham autorizado anteriormente o seu uso. Esse processo deve ser facilitado.

Processamento

As organizações são obrigadas a manter registros de todas as atividades de processamento de dados. Elas devem incluir: o nome e os detalhes da empresa; a razão de utilização; categorias dos dados e pessoas; a destinação; informações sobre transferências; e o período em que farão o processamento.

Transferências

A comissão europeia classifica os países que adotam medidas satisfatórias de proteção e os aprova ou não. Com base nessa certificação, as empresas não podem enviar dados privados para países sem uma legislação considerada adequada.

Administrador

Caso as empresas processem mais de 5 mil registros em 12 meses, elas passam a ser obrigadas a contratar uma pessoa responsável pela gestão de dados. Necessariamente, não é obrigatório contratar esse profissional em tempo integral. Ele pode atender mais de uma organização e deverá garantir que as regras do GDPR sejam cumpridas, além de realizar avaliações e treinamentos.

Consentimento, portabilidade e privacidade

As empresas ficam proibidas de usar dados sem prévia autorização, devem fornecer cópia de registros quando solicitado, de forma a permitir que sejam transferidos, e divulgar suas políticas de privacidade de maneira clara e acessível.

Quais os direitos específicos dos usuários brasileiros?

Como mencionamos, a lei nacional ainda pode sofrer alterações, uma vez que o veto presidencial ocorre em pontos específicos do texto. Feita essa observação, os direitos garantidos aos brasileiros são:

  • ser informado da coleta e compartilhamento de seus dados sempre que ocorrer;
  • acesso total aos seus dados;
  • possibilidade de corrigi-los;
  • solicitar que seus dados fiquem anônimos;
  • garantia de bloqueio ou exclusão de dados;
  • transferência de dados;
  • ter a opção de desautorizar cookies ao acessar um site e receber a informação de que isso compromete o desempenho de navegação e a personalização;
  • solicitar e ser respeitado no seu desejo de interromper comunicações;
  • revisar decisões automáticas de algoritmos relativas a seus dados, com direito a solicitar revisão humana.

Com base nessas regras, fica clara a influência da GDPR na LGPD. Em alguns pontos, podemos considerá-la até mais detalhada que a versão europeia, mas a essência é a mesma: proteger a privacidade das pessoas.

Para concluir, vale a pena mencionar que desenvolver políticas eficientes de proteção é uma ótima oportunidade para fortalecer a confiança do seu público na sua marca.

Esdras Moreira

CEO na Introduce Formado em Redes de Computadores, com especializações em Gestão de Pessoas, Coaching e MBA em Marketing. É co-founder da introduceti.com.br, que conduz o crescimento dos negócios através de estratégias e tecnologias. Além disso é investidor no projeto Globin.it, Middas e Grupo 3Minds.

dadosDados
Futuro do Trabalho Inteligência artificial e o mercado de trabalho: fim dos empregos?
Jurídico Leis para Startups: como se prevenir ao criar uma empresa