A nova lei de proteção de dados pessoais da União Europeia, que começa a valer nesta sexta-feira (25), tem poder de afetar a vida de todas as empresas e usuários que tiverem relações com o bloco europeu.
O Regulamento Geral de Proteção de Dados (GPDR, na sigla em inglês) é a mais dura reação do bloco europeu à espionagem em massa promovida pelo governo dos Estados Unidos, que compartilhava informações com outros países, como o Reino Unido. Revelado em 2013 por Edward Snowden, ex-analista da CIA, o escândalo ajudou a impulsionar a revisão da lei que havia começado no ano anterior.
Maior conjunto de proteção à privacidade online já criado desde o início da internet, o GDPR tinha seus efeitos suspensos desde 2016, quando foi aprovado, justamente para que companhias se adaptassem a ele.
Veja os 11 principais pontos do GDPR:
usuários podem, em algumas situações, ver, corrigir ou até deletar as informações que empresas guardam sobre ele;
empresas devem coletar apenas dados necessários para que seus serviços funcionem;
coleta e uso de dados pessoais só podem ser feitas com consentimento explícito;
qualquer serviço conectado tem de conceder ‘direito ao esquecimento’;
informações de crianças ganham proteção especial;
clientes que tiverem dados hackeados devem ser avisados em até 72 horas;
empresas devem informar com linguagem compreensível sua política de proteção de dados;
infratores são punidos com multa pesada, de € 20 milhões ou 4% do volume global de negócios da empresa.
dados de europeus podem ser transferidos só para países com lei de proteção de dados equivalente à europeia;
empresas que tratem dados de europeus têm de seguir a lei europeia caso estejam em países não considerados “portos seguros”.
grandes processadoras de informação têm de guardar registros sobre todas as vezes em que manipularam dados.
“É uma mudança de cultura”, comenta o advogado português João Pereira Pinto, que trabalha auxiliando empresas europeias a se adaptarem ao novo cenário.
“Os dados são nossos, das pessoas, não das empresas ou dos estados”, diz.
Ele acrescenta que o novo regulamento passa a mensagem de que “mesmo estando online, nós não podemos perder a segurança ou privacidade”.
Efeitos no Brasil
Ainda que seja direcionado a europeus e a pessoas de outras nacionalidades que morem na Europa, o GDPR tem potencial de impactar internautas e empresas de tecnologia de todo planeta. Mas não só. Toda e qualquer companhia que manipule dados pode ser impactada, caso guarde ou receba informações de europeus. Isso inclui desde instituições financeiras até pousadas ou restaurantes em pontos turísticos.
A pedido do G1, o advogado Renato Ópice Blum, do escritório de mesmo nome e professor de Proteção de Dados do Insper, listou três situações em que os efeitos da GDPR valerão para brasileiros:
subsidiárias de empresas europeias no Brasil que tratem dados de cidadãos europeus e pessoas que residam na Europa;
empresas brasileiras que fizerem ou tiverem alguma transação que envolva dados pessoais com a Europa;
empresas brasileiras que não fizeram transação alguma com a Europa, mas, em algum momento, tratarem dados de europeus, ainda que em solo brasileiro.
O caso das subsidiárias no Brasil de empresas não-europeias mas com presença na Europa é uma quarta situação em que os brasileiros verão seu relacionamento com empresas conectadas regidos pelos termos europeus, ainda que indiretamente.
Nesse caso, porém, a extensão das adaptações ao GDPR para brasileiros é opcional. Nessa categoria, estão as maiores empresas de tecnologia do mundo, como Apple, Facebook, Google, Microsoft e Twitter.
Elas se dividem em dois grupos: o das que vão liberar as mudanças para usuários de todos os lugares, como Facebook, Google e Microsoft, e o dos que restringirão as alterações a europeus ou selecionarão quais das novas regras levar a usuários de outros locais, como Twitter e Apple.
Incerteza
As empresas brasileiras que tiverem de cumprir as regras mas não o fizerem estão sujeitas às sanções previstas na lei.
“O que ocorre é que o regulamento europeu possui aplicação extraterritorial, o que significa dizer que os outros países precisam estar em conformidade, sob pena de receber penalidades no caso de vazamento ou de mal uso de dados pessoais”, afirma a juíza Viviane Maldonado, do Tribunal de Justiça de São Paulo.
Não está definido, porém, nem para as entidades judiciais brasileiras como isso ocorrerá.
“Não está muito bem esclarecimento como vai ser feito a execução da lei, do ponto de vista de alcançar empresas que estão fora da comunidade europeia”, diz a magistrada. “Terá que haver uma transposição e também serem usados instrumentos de cooperação.”
A discussão no Brasil sobre um projeto nesse sentido começou em 2011, mas até agora não há uma regra para proteger dados pessoais, ainda que dois projetos estejam tramitando na Câmara e no Senado. Ainda que de forma limitada, o Marco Civil da Internet estabelece regras para uso de informações pessoais por parte de empresas conectadas.
Especialistas atestam que a ausência de uma lei de proteção de dados no Brasil cria complicações para empresas instaladas no país que fazem processamento intensivo de dados de europeus. Elas terão que criar procedimentos para respeitar as regras da GDPR. “Aí tem que ser feito contrato a contrato”, comenta Ópice Blum. “Ou seja, burocratiza mais, encarece um pouquinho e por tabela pode desestimular [negócios no Brasil].”
‘Porto seguro’
Pelo menos, oito dos vizinhos brasileiros já possuem lei de proteção de dados pessoais. Isso, no entanto, não dá a eles carta branca para receber dados europeus, já que a União Europeia não considera “portos seguros” todo país que dispõe de uma dessas camadas de proteção, diz o advogado português João Ferreira Pinto.
“No que diz respeito ao nível de proteção adequado da União Europeia, existem hoje 15 países que estão de acordo com a lei europeia anterior. Agora, com a entrada em vigor do GDPR, tem que haver uma nova adequação para ver se essas leis estão de acordo.”
Entre essas nações, por exemplo, estavam os Estados Unidos. O país foi um dos motores que acelerou o processo da nova lei europeia. “Foi precisamente o escândalo Snowden que levou a discussão ao Tribunal de Justiça Europeu das práticas de segurança e respeito à proteção de dados pessoais de entidades norte-americanas como a NSA, mas também as do Reino Unido.”
O ex-agente da CIA revelou que a agência de espionagem norte-americana obtinha ordens judiciais secretas para ter acesso a serviços conectados, com o objetivo de abastecer um sistema de monitoramento em massa. As plataformas que faziam parte do esquema incluíam de redes sociais a aplicativos de jogos.
O tribunal europeu não só considerou as práticas ilegais, como mandou a UE estabelecer um novo acordo de transferência de dados para os EUA. O chamado “Safety Shield” saiu em 2016, mas, segundo apontam observadores europeus, não está em conformidade com o GDPR.
Veja abaixo o que muda:
(mais…)
Nenhum comentário:
Postar um comentário