Afinal de contas, o que é GDPR?

Recentemente essa sigla começou a preencher o conteúdo de várias timelines, blogs, newsletters e páginas. Vamos entender um pouco melhor o o seu significado.

Há dois anos, empresas cujos funcionamentos dependem de qualquer tipo de coleta de dado pessoal preparam-se para a implementação da GDPR (General Data Protection Regulation), a regulação de proteção de dados da União Europeia (UE), que entra em vigor neste dia 25 de maio (#GDPRday).

Se resumida em um tuíte para não-advogados, GDPR é a regulação que dá a cidadãos na União Europeia controle sobre seus dados pessoais. Usuários têm o direito de saber o que marcas e governo fazem com os dados e o direito de pedir a retirada ou a portabilidade dessas informações de servidores. A multa às empresas pode alcançar € 20 milhões.

Só vale para empresas de tecnologia?

Não. Organizações que lidam com alto fluxo de dados tendem a sentir maior impacto, como redes sociais, lojas virtuais, data brokers (uma empresa que reúne e vende informações de consumidores na internet), instituições bancárias, de pesquisa, de saúde e serviços públicos, pois precisarão realizar adaptações sob risco de multas pesadas. A GDPR, no entanto, incide sobre qualquer serviço, empresa e entidade que coleta dados na União Europeia, seja uma farmácia, um cinema ou o varejo.

É importante ressaltar que não se trata de uma legislação de proteção ao cidadão europeu, mas a pessoas localizadas na União Europeia.

Que proteção é essa?

A Electronic Frontier Foundation, entidade que versa sobre direito de usuários na internet, diz que a GDPR personifica direitos enunciados na Carta de Direitos Humanos Fundamentais da União Europeia. Ela determina:

“Toda pessoa tem direito à proteção de dados pessoais que lhe digam respeito. Esses dados devem ser processados ​​de forma justa para fins específicos e com base no consentimento da pessoa envolvida ou em alguma outra base legítima estabelecida por lei. Todos têm o direito de acessar os dados coletados sobre ele e o direito de retificá-los”

Um dos principais propósitos da GDPR é garantir transparência. A partir de hoje, é obrigatório que empresas e organizações na UE estejam aptas a comunicar sua responsabilidade sobre o ciclo de vida dos dados: coleta, tratamento, compartilhamento, armazenamento e descarte.

De que dados estamos falando?

Há diferentes interpretações jurídicas acerca do conceito de dado pessoal, mas a GDPR entende que são os que identificam uma pessoa diretamente (CPF, RG e nome completo, por exemplo) e, também, os que possam vir a identificar uma pessoa.

Essa segunda categoria se refere a dados que, quando cruzados ou agregados com outros, podem levar a identificação de um indivíduo. São exemplos a geolocalização, a faixa etária, a escolaridade, além de dados sensíveis como sexualidade, raça e religião.

Nesse rol também entram metadados, como o tipo de aparelho que o usuário conecta à internet (um iPhone X, um smartphone de R$ 500 ou um laptop), a velocidade da banda larga, o IP e o tempo de permanência on-line.

Dados de profiling (perfilamento) serão protegidos?

Sim, mas com maior flexibilidade.

Nos modelos de negócios baseados em anúncios e profiling, os dados pessoais passam por um processo de pseudoanonimização, em que são cruzados e agregados a outros dados. Assim, plataformas podem criar grupos de consumo específicos e otimizar o direcionamento de publicidade, sem que saibam quem são seus alvos.

Por exemplo: se uma marca de esportes quiser anunciar a pessoas como “Júlia Silva, de 29 anos, que ganha R$ 20 mil, mora na rua X e corre no parque Y” na internet; alcança o grupo a qual pertence Júlia Silva: “mulheres na faixa de 30 anos, moradoras de determinada região de São Paulo, com alto poder aquisitivo e adeptas a um estilo de vida saudável”.

Pode parecer difícil desassociar esse monte de cruzamentos, mas a GDPR garante proteção em casos de profiling por que há processos tecnológicos capazes de reverter a anonimização e, portanto, identificar “Júlia Silva” e um banco de dados.

Nesses casos, a lei instaura um princípio de razoabilidade. É um tipo de cálculo que considera custo, tempo e tecnologia disponível para desanonimizar um dado diante do potencial malefício que ele pode causar à pessoa envolvida.

Um exemplo prático: se você está na União Europeia, envia currículo para uma empresa e não passa na primeira fase da seleção, que é feita por um robô, mas atende aos requisitos objetivos solicitados para a primeira fase, poderá solicitar informações sobre os critérios usados pelo robô.

Consentimento e legítimo interesse, os queridões da lei

Imagem: Pixabay

Na teoria, todo dado coletado provém de um consentimento. Na prática, serviços que coletam dados têm redações complicadas, podem, eventualmente, compartilhar dados com terceiros sem risco de punição severa ou usar o dado para uma finalidade diferente para qual o cidadão topou fornecê-lo.

Para a GDPR, consentimento é uma “indicação livre, específica, informada e inequívoca do desejo do titular dos dados”, mediante uma ação afirmativa clara que aceite o processamento de seus dados.

A mudança prática para os cidadãos é: os novos modelos de contratos agora deverão vir com opt-in, um botão que expressa a vontade ou não de o usuário em aceitar fornecer seu dado. Opções pré-marcadas em termos de uso ou em questionários eletrônicos não servirão mais como consentimento.

O consentimento também será necessário para o compartilhamento de informações pessoais com terceiros (como outras organizações e empresas), não servirá mais como pré-condição de um serviço (o famoso aceite tudo ou caia fora) e poderá ser revogado quando o cidadão desejar.

Além do consentimento, outro pilar legal da GDPR é o legítimo interesse. Uma empresa pode julgar que será positivo para seu cliente se compartilhar seu dado pessoal com um terceiro, por exemplo. O farol ético, nesse caso, deve ser: isso quebra a expectativa do usuário? Se ferir qualquer outro direito fundamental dele, é provável que a decisão esteja errada. A dica às empresas é: ficou na dúvida na hora informar e pedir novo consentimento? Informe e peça.

Portabilidade e revogação

Usuários têm o direito de solicitar a portabilidade de dados para outro serviço. É como mudar de operadora e autorizar que todo o pacote de informações vá de uma marca a outra, com segurança. A diferença é que agora cidadãos podem pedir a transferência de dados do Facebook para o Orkut, se ele estivesse vivo.

Outra prerrogativa dos usuários é solicitar a revogação dos dados de um servidor. Empresas terão um mês para entregar os dados de forma estruturada.  Se um indivíduo decidir que não quer mais usar o aplicativo de corridas, pode requerer a devolução. Provavelmente receberá uma tabela com as localizações de GPS pelos lugares em que se exercitou.

Empresas brasileiras serão impactadas?

Sim. Estão sujeitas à lei empresas brasileiras com filiais na União Europeia ou que estejam fora do bloco mas ofereçam serviços ao mercado europeu. Também as que estão fora da UE mas coletam, monitoram ou processam dados de pessoas localizadas no bloco.

Se um site brasileiro é acessado na UE, ele não está necessariamente sujeito a GDPR. É preciso comprovar a evidência que um e-commerce é direcionado a usuários da Europa, como um SAC escrito em francês, por exemplo.

Lojas pequenas que comercializam para consumidores da UE poderão fazer adaptações em relação ao ciclo de vida dos dados, mas dificilmente estarão sujeitas a multas, muito menos ao temido valor de € 20 milhões. Essa preocupação é para Facebook, Google e demais.

Agora, se a empresa brasileira é um data broker ou uma agência de publicidade que terceiriza a uma empresa da UE a coleta e o processamento de dados, deve seguir todas as normas.

Empresas brasileiras que coletem dados de europeus no Brasil ou em outras partes do mundo fora da Europa não entram no escopo GDPR.

Controller, processor, DPO e DPIA: você não escapará desses nomes

A partir de agora, esses termos tendem a pipocar nas empresas e no noticiário. Fazem parte do grupo de responsabilidade e de prestação de contas sobre dados pessoais.  O data controller (controlador de dados) determina os propósitos para os quais os dados pessoais são processados. É uma empresa ou organização que decide por que e como os dados serão tratados.

  • O processor data (processador de dados) é a empresa ou organização que, claro, trata os dados. Ela responde ao controlador. Mas há responsabilidade solidária. Exemplo: uma cervejaria terceiriza o salário dos funcionários a uma empresa de pagamentos, que oferece o sistema de tecnologia e de armazenamento de dados dos trabalhadores. A cervejaria é o controlador e a terceirizada é o processador. Há situações em que uma entidade exerce as duas funções.
  • DPO é a sigla de Data Protection Officer, um cargo dedicado a proteção de dados em casos de organizações, empresas ou entidades que tenham um grande fluxo de dados (mais de 5 mil registros de dados pessoais). É responsável por garantir a conformidade da empresa com a regulamentação. Pode ser uma pessoa, um escritório, alguém de dentro da organização e não precisa estar na UE. No entanto, deve trabalhar de forma independente.
  • DPIA é a sigla de Data Protection Impact Assessments, uma avaliação de impacto no uso de dados pessoais que deve ser feita uma vez por ano. É uma função do DPO. Quando um tratamento utilizar novas tecnologias ou tiver uma natureza que possa resultar num risco elevado para direitos e liberdades de pessoas (como monitoramento de áreas públicas por drones ou de dados criminais), o responsável pelo tratamento precisa garantir um plano com medidas previstas para mitigar riscos, para assegurar a segurança, demonstrar a conformidade com a lei e levar em conta direitos e interesses legítimos das pessoas afetadas. Trata-se d elaboração e do preenchimento de questionários que envolvem diferentes setores da organização.

Vazamento de dados e multa

Em caso de vazamento de dados, a Autoridade Europeia para a Proteção de Dados, que já existe na Europa, precisa ser notificada em até 72 horas após o incidente, bem como todos os usuários lesados.

Vazamentos de dados pessoais estão sujeitos à multa, bem como o uso indevido. As penas são de até € 20 milhões ou de 4% do faturamento global, o que for maior. No entanto, a Autoridade Europeia para a Proteção de Dados seguirá critérios de proporcionalidade, que envolvem diferentes categorias de danos e o histórico de cada organização. Se uma empresa fizer o tema de casa, é bem mais provável que seja notificada.

Fontes:

https://gizmodo.uol.com.br/lei-proteca-dados-gdpr

Data Privacy Brasil (com os especialistas em privacidade e proteção de dados Bruno Bioni e Renato Leite Monteiro), European Comission, Electronic Frontier Foundation e GDPR.

 

Leave a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

This site uses Akismet to reduce spam. Learn how your comment data is processed.