A implementação da tecnologia ao redor do mundo e a corrida digital têm deixado cada vez mais evidente o quanto os dados podem ser valiosos. Do mesmo modo, a privacidade e proteção de dados também ganhou mais importância. É nesse contexto que surge a GDPR, assunto que vamos abordar hoje no Certifiquei.
O processamento de dados tornou-se um insumo importante para garantir vantagens competitivas a tais negócios. Contudo, a responsabilidade do uso desses dados também tornou-se uma preocupação. É disso que se trata a GDPR: a proteção dos dados pessoais e a privacidade dos titulares localizados na AEE (Área Econômica Europeia).
- O que é GDPR?
- Qual a Importância da GDPR Para Empresas e Usuários?
- Como a GDPR Pode Impactar as Empresas Brasileiras?
- Quais São Principais Regras da GDPR?
- E Se Uma Empresa Descumprir as Regras?
- Como a GDPR se Relaciona Com a LGPD?
- O Que Fazer Para se Enquadrar à GDPR?
O que é GDPR?
GDPR, ou General Data Protection Regulation, em termos gerais, é o conjunto de normas e regulamentação das práticas de uso de dados no ambiente digital criado pelo Parlamento Europeu e Conselho da União Europeia.
O termo pode ser traduzido para “Regulamento Geral sobre a Proteção de Dados“.
Trata-se de um projeto de regulação virtual que faz parte de uma série de iniciativas com foco na proteção do usuário, exercendo o cumprimento de direitos e deveres de pessoas físicas e jurídicas no meio digital.
Portanto, a principal proposta é que o usuário saiba quais informações está fornecendo aos serviços dos quais usufrui, bem como impor que as entidades justifiquem a finalidade do uso desses dados.
Vale dizer que os dados englobados pela lei GDPR podem ser os mais diversos. Isto é, sejam informações menores, como cookies do navegador, ou maiores, como nome ou endereço. Todos são pertinentes e cobertas pelas regras.
A proteção de dados envolve dois conceitos fundamentais, o de transparência e o de responsabilidade.
O primeiro, como já abordamos rapidamente, envolve que a entidade detentora dos dados esclareça para quais fins serão utilizados, bem como o consentimento do usuário por meio de uma política de transparência e privacidade.
Já a responsabilidade tem como finalidade fazer com que tais entidades adotem uma postura mais consciente e comprometida com a segurança dos dados, buscando, assim, evitar informações vazadas e problemas similares.
Quando foi proposta em 2012, inclusive, a legislação tinha como objetivo principal justamente evitar que sites e redes sociais abusassem do uso desses dados.
Além, é claro, de outras violações ao direito de privacidade, problemas que se tornavam cada vez mais recorrentes.
Foi aprovada pela União Europeia (UE) apenas dois anos depois, em maio de 2018.
Qual a Importância da GDPR Para Empresas e Usuários?
Antes mesmo da criação da GDPR, a União Europeia já possuía leis relacionadas à privacidade.
Caso da “Data Protection Directive“, ou Conduta de Proteção de Dados, em português. Contudo, esta era datada de 1995, o que, somado ao rápido crescimento e desenvolvimento do mundo digital, tornou-a obsoleta.
A progressiva conectividade digital e as novas soluções tecnológicas oferecidas pelas empresas revolucionaram a forma com que os dados são processados.
Trazendo à tona dilemas éticos os quais antes não eram uma preocupação para a nova sociedade digital.
Logo, a GDPR foi criada para suprir as lacunas da antiga lei, impactando tanto os titulares dos dados como as empresas detentoras desses dados.
Assim, a importância da adoção da lei europeia de proteção de dados pode ser vista sob essas duas óticas, do usuário (o titular dos dados) e das empresas, de modo que uma também tem influência sobre a outra.
A seguir, vamos falar um pouco sobre essas duas perspectivas.
Como Afeta o Titular dos Dados?
Uma vez que a GDPR foi criada pensando especialmente no usuário, pode-se considerar que essa lei tem relevância ainda maior para ele.
Para visualizarmos isso, basta imaginarmos por um momento a quantidade de logins e senhas que usamos em nossa rotina diária. Seja para acessarmos as redes sociais, e-mails e até mesmo para realizar transações bancárias.
Nossos dados estão em toda parte e espalhados entre várias empresas.
Pense agora, qual é o sistema operacional do seu computador ou do seu celular? Qual o banco que você utiliza? E o sites que frequenta diariamente? E as informações que você fornece nas redes sociais?
Os serviços digitais já fazem parte da nossa rotina diária e nossas informações estão em posse de várias empresas do meio. E quem pode garantir nossa segurança nesse aspecto?
Desse modo, conseguimos enxergar a importância das leis que regulamentem a forma como eles são usados.
Para o usuário, o Regulamento Geral de Proteção de Dados representa uma garantia de que seus dados fornecidos para qualquer tipo de tratamento estão seguros e a disposição para exercer seus direitos.
Com isso, ele está protegido de possíveis utilizações não autorizadas de suas informações, como uso de seus dados pessoais para fins ilegais ou qualquer ocorrência desse sentido, assegurando-o moral e financeiramente.
A GDPR garante ao cidadão digital que a coleta massiva de seus dados poderá ser realizada apenas mediante seu consentimento. Uma vez dada a autorização, o usuário também tem direito de revogá-la.
Outro direito adquirido pela lei também inclui, por exemplo, o “direito de ser esquecido”, em que o usuário pode requerer a exclusão de seus dados de qualquer plataforma ou servidor.
Calma! Nós falaremo mais sobre esses e outros direitos garantidos pela lei de proteção de dados da Europa mais pra frente.
Como Afeta as Empresas?
Na outra perspectiva encontramos as empresas detentoras dos dados.
Apesar da lei ter sido criada com foco no usuário, não significa que a regulamentação também não traz importância para quem está do outro lado das plataformas digitais.
Até mesmo para as empresas que não dependem exclusivamente dos servidores virtuais para vender ou prestarem seus serviços, a GDPR tem sua importância.
Isso porque dificilmente encontramos qualquer empresa que não faça uso de ferramentas tecnológicas e digitais para a realização de seus processos, como os famosos softwares.
Esse movimento de automação das empresas, seja em sua área administrativa, contábil ou fiscal, é um processo que tem ocorrido de forma natural, como exigência do nosso cenário digital.
Assim, a importância da lei para essas empresas está justamente nesse quesito.
A maior segurança na realização desses processos, no tocante à proteção da informação, torna-se um benefício que pode até mesmo impactar em sua lucratividade.
Se por um lado as empresas que não trabalham com canais exclusivamente digitais a GDPR é importante, para as que dependem unicamente do ambiente online para sobreviver ela é essencial.
O cidadão digital que vivencia as constantes mudanças desse universo tem se tornado cada vez mais exigente. De modo que, garantir segurança às informações fornecidas não é apenas uma questão de adesão às normas da GDPR.
Plataformas ou serviços online que não oferecem transparência ao internauta, perde sua confiança e credibilidade, ou seja, seu cliente.
Além disso, a General Data Protection Regulation requer que todo e qualquer empreendimento digital tenha sua preocupação e planejamento com a segurança de dados desde seu início.
O intuito é gerar uma cultura privacity-first, isto é, tornar a segurança virtual uma prioridade.
Como a GDPR Pode Impactar as Empresas Brasileiras?
A GDPR é uma lei que foi criada pela União Europeia e, portanto, abrange toda e qualquer empresa sediada e atuante no bloco.
Desse modo, é comum pensar apenas as organizações da UE serão afetadas, mas isso não é verdade. Esse é um regulamento válido para todo serviço que alcança um cidadão pertencente a esse bloco.
Isso quer dizer que qualquer empreendimento brasileiro, independe de onde esteja sediado, que quiser ter como cliente um cidadão desse bloco terá que se adequar às novas regras.
Em síntese, qualquer empresa que deseja armazenar dados de um europeu terá que se submeter à GDPR. Isso inclui os mais variados tipos de serviços, como:
- Lojas virtuais e serviços online que exigem cadastro dos usuários e atuam internacionalmente;
- Aplicativos de smartphone que demandam acesso aos dados registrados no aparelho celular, cadastros e conexões via contas pré-existentes;
- Sites que requerem qualquer tipo de cadastro e fornecimento de dados e possua usuários do bloco.
Na prática, nem sempre as autoridade estrangeiras serão tão rígidas, como em casos de coletas de informação não-intencional, ou quando os dados obtidos não são tão sensíveis.
Porém, já é possível observar o impacto da GDPR nas empresas brasileiras com atuação internacional. Além disso, o maior impacto que pode ser observado ainda é o moral.
Isso porque, com a sanção dessa lei, o mundo passou a observar a privacidade e proteção de dados com mais cautela, forçando as empresas em vários países a pensar melhor nesse quesito.
E Como o Cidadão Digital Brasileiro é Impactado?
Para o cidadão digital brasileiros, os efeitos da GDPR já podem ser sentidos. Afinal, a lei se aplica também às grandes empresas com larga atuação no Brasil e queridas pelo usuário brasileiro como Facebook, Google, Spotify e outros.
Quais São Principais as Regras da GDPR?
Sabidas todas essas informações, resta então inteirar-se a respeito das novas regras. Afinal, quais são elas?
Possivelmente nós já citamos algumas ao longo desse artigo, de maneira rápida.
Na verdade, visto que o documento que compõe a GDPR é um tanto quanto extenso, vamos nos ater apenas a um pequeno resumo sobre cada uma das novas normas. São elas:
- Direito ao esquecimento
- Permissão para uso de dados
- Linguagem clara
- Proteção para crianças
- Portabilidade
- Invasão e vazamento de dados
- Transferência de dados
- Pseudonimização
- Controlador de dados
Direito ao Esquecimento
O direito ao esquecimento obriga que, caso seja solicitado pelo usuário, a empresa delete todo e qualquer dado vinculado a ele ou interrompa essa coleta.
Exceto se essas informações sejam necessárias para propósitos históricos, estatísticos, científicos, para saúde pública ou para exercer a liberdade de expressão.
Permissão Para Uso de Dados
Para realizar o processamento desses dados, a empresa deve receber a permissão clara e afirmativa de cada usuário, bem como permitir que o usuário escolha a forma com que seus dados serão tratados.
Além disso, o usuário também deve saber quais dados serão coletados e para qual finalidade estão sendo usados.
Linguagem Clara
Toda a comunicação realizada pela empresa detentora dos dados deve ser clara, concisa e transparente, inclusive seus termos de privacidade, visando a compreensão de todas as pessoas.
Proteção Para Crianças
A lei também abrange a segurança das crianças, a fim de evitar exposição excessiva na internet. Com isso, é preciso que os pais consintam com o cadastro de usuários menores de 16 anos em sites e redes sociais, por exemplo.
Portabilidade
Outro direito é o de portabilidade dos seus dados. Isto é, quando cabível, o usuário pode transferir seus dados pessoais de um serviço para outro, ou criar cópia, sem restrições.
Invasão e Vazamento de Dados
Mediante a casos de incidentes que resultem no vazamento ou violação dos dados do usuário, podendo ferir seus direitos e liberdade, a organização deve notificar as autoridades em até 72 horas após tomar conhecimento.
Transferência de Dados
Os dados dos usuários só podem ser transferidos para países com leis de proteção equivalentes ao GDPR.
Pseudonimização
É recomendável que a organização detentora dos dados proteja informações sensíveis dos usuários, ocultando ou substituindo-as de maneira que a identificação só seja possível com a adição de outros dados.
Encarregado de Dados
Por fim, a GDPR demanda que as empresas tenham um encarregado de dados, pessoa responsável pela supervisão do tratamento dos dados, esclarecimentos e comunicação com as autoridades responsáveis.
Esse profissional é o Data Protection Officer (DPO).
E Se Uma Empresa Descumprir as Regras?
É normal que com novas leis hajam também novas sanções legais aplicáveis em casos de descumprimento das regras em vigência. E é claro que com a GDPR não é diferente.
Se as normas não forem devidamente acatadas pelas empresas, é possível receber notificações e até multas.
Por sua vez, as multas podem incidir em até 4% sobre a receita anual global da companhia.
Outra penalização possível é a cobrança de 20 milhões de euros às empresas que não tiverem consentimento dos seus consumidores para o processamento de seus dados.
Sanções para casos em que a companhia estiver com o registro de dados em conflito com o que é previsto na lei ou não emitir a notificação sobre vazamento de dados podem chegar a 2% sobre a receita global anual da empresa.
Vale verificar que a maioria das sanções são feitas em porcentagem, o que significa que, quanto maior for o faturamento de uma empresa, maior será o valor cobrado.
É importante saber que, uma vez que a lei abrange qualquer empresa que tenha como consumidor o cidadão da UE, suas penalidades também podem ser aplicadas a elas.
Como a GDPR se Relaciona Com a LGPD?
Como já citamos anteriormente, a GDPR entrou em vigor na União Europeia em maio de 2018, sendo válida para todas as empresas sediadas e atuantes no bloco econômico.
Apesar de se restringir apenas à UE, a GDPR inspirou diversos outros países que passaram a adotar uma conduta semelhante ou reforçarem as políticas já existentes, como o Brasil.
Assim, seguindo o exemplo do bloco econômico, no mesmo ano em que a GDPR entrou em vigor, o Senado brasileiro aprovou a Lei Geral de Proteção de Dados (LGPD).
Conhecida também por Lei 13.709/2018, sancionada posteriormente pelo presidente da República em mandato no período, Michel Temer.
Com a LGPD, o Brasil se junta ao outros 120 países que dispõe de uma lei específica para a segurança de dados.
Portanto, é preciso que as empresas brasileiras estejam preparadas para adequar-se às novas normas propostas pela LGPD o quanto antes.
O que é LGPD?
Assim como a GDPR, a Lei Geral de Proteção de Dados, como o nome já sugere, também está relacionada ao processamento e gerenciamento de dados sensíveis pelas organizações, embora tenham suas diferenças.
Desse modo, a nova lei tem como objetivo preencher as lacunas deixadas pela regulamentação brasileira sobre uso de dados que vigora atualmente.
O intuito é adaptar o funcionamento e operações das organizações que realizam tratamento de dados, de modo a instituir normas sobre a coleta, armazenamento, processamento, compartilhamento e qualquer operação que utilize tais dados.
Com isso, a LGPD garante maior segurança aos titulares dos dados, bem como penalidades para o descumprimento da lei.
GDPR x LGPD
Uma vez que cada país ou bloco político/econômico possui suas próprias características, as leis que o regem também apresentam suas particularidades.
Com isso, há de se imaginar que, apesar de ser inspirada na GDPR, a Lei Geral de Proteção de Dados tem suas diferenças se comparada a lei europeia.
A seguir, trataremos das principais semelhanças e distinções sobre as duas leis. Confira:
No tratamento de dados sensíveis
- LGPD: estabelece proteção especial, cujo tratamento poderá ocorrer apenas nas hipóteses previstas em Lei. Os dados, ainda, poderão ser tratados independente do consentimento do titular quando estes forem indispensáveis nas seguintes hipóteses:
- Execução, pela administração pública prevista em lei ou regulamento; e
- Garantia da prevenção à fraude e à segurança do titular nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
- GDPR: proíbe o tratamento, exceto em alguns casos. Dois deles não foram incluídos na LGPD:
- Dados tornados públicos pelo titular; e
- Dados relativos a atuais ou ex-membros de fundações, associações u organizações sem fins lucrativos, tratados para fins legítimos e com medidas de segurança apropriadas.
No tratamento de dados de menores
- LGPD: é obrigatório o consentimento do responsáveis legais no tratamento de dados pessoas para menores de 18 anos, conforme definição do Estatuto da Criança e do Adolescente (ECA);
- GDPR: aceita consentimento dado por menores desde que tenham pelo menos 16 anos. Abaixo dessa idade o consentimento do responsável legal torna-se obrigatório.
Para representantes
- LGPD: prevê que a empresa estrangeira seja notificada e intimada de todos os atos processuais na pessoa do agente, representante ou pessoa responsável por sua filial, agência, estabelecimento ou escritório instalado no Brasil;
- GDPR: prevê que figura do controlador ou processador constitua um representante seu em uma dos seus Estados-Membros.
No marketing direto
- LGPD: não trata de forma específica, o que pode sugerir autorização implícita, desde que o tratamento aplique as regras de consentimento, transparência e direitos dos titulares de dados.
- GDPR: o titular dos dados pode se opor ao tratamento dos seus dados pessoais para fins de criação de perfil e marketing.
Nas políticas de proteção de dados
- LGPD: considera a implementação de um programa de governança e privacidade facultativa aos controladores de dados;
- GDPR: obriga os controladores de dados a adotar medidas técnicas e de organização para assegurar que o tratamento de dados é realizado em conformidade com a legislação.
Na relação entre controlador e operador
- LGPD: estabelece que o operador deverá realizar o tratamento de dados conforme orientado pelo controlador, mas não há exigência de formalização por meio de contrato;
- GDPR: prevê que o tratamento de dados realizado por operador deve ser regido por contrato ou outro ato jurídico que vincule o controlador ao operador.
No relatório de impacto
- LGPD: não fica claro em quais situações o controlador é obrigado a realizar um relatório de impacto à proteção de dados pessoais, deixando o tratamento deste assunto a uma regulamentação posterior;
- GDPR: quando o tratamento resultar em um elevado risco para o direito e a liberdade das pessoas, o controlador deve prover um relatório de impacto à proteção de dados pessoais.
Na fiscalização do cumprimento da lei
- LGPD: previa a criação da Autoridade Nacional de Proteção de Dados, mas esta foi vetada, uma vez que incorria em inconstitucionalidade do processo legislativo;
- GDPR: estabelece a criação do Comitê Europeu para a Proteção de dados, assegurando a aplicação coerente da GDPR.
Na transferência internacional de dados
- LGPD: permite a transferência de dados pessoais para países ou órgãos internacionais que proporcionem um grau de segurança de dados pessoais adequados ao previsto. No mais, a lei estabelece apenas diretrizes genéricas;
- GDPR: pode ser realizada independente da autorização específica desde que a Comissão reconheça que o país terceiro assegure um nível de proteção adequado.
Na responsabilização dos agentes
- LGPD: o controlador/operador não é responsabilizado em casos de:
- Quando a pessoa física ou jurídica não estiver envolvida com o tratamentos dos dados;
- Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação;
- E quando os agentes comprovam que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.
- GDPR: consta na lei europeia, apenas os itens 1 e 2 descritos acima;
O Que Fazer Para se Enquadrar à GDPR?
Como vimos, as empresas brasileiras com atuação internacional também devem se preocupar em adaptar-se à GDPR. Isso significa que, de uma forma ou de outra, as mudanças serão necessárias.
Afinal, enquadrar-se às novas normas não é uma opção, mas uma obrigação.
O cenário também é o mesmo para empresas que não atuam internacionalmente, mas que processam dados, uma vez que a Lei Geral de Proteção de Dados também é uma realidade.
Comece a se preparar hoje mesmo para a GDPR e para a nova era de segurança de dados com os cursos do Certifiquei, elaborados especialmente para te ajudar!