O GDPR (General Data Protection Regulation, em inglês) ou RGPD (Regulamento Geral de Proteção de Dados, em português) entrou em vigor em maio de 2018 para todas as empresas que utilizam os dados dos cidadãos da União Europeia. Esta legislação tem como objetivo proteger os dados dos internautas e restringir o uso deles sem consentimento prévio.
O regulamento permite, assim sendo, que o usuário controle seus dados pessoais, impedindo o uso indiscriminado deles pelas empresas que os coletam.
Esta regulamentação afeta as empresas dos países da União Europeia e do também chamado EEE (Espaço Econômico Europeu), que compreende nações que não são necessariamente membros da UE.
O General Data Protection Regulation - GDPR é o conjunto dos regulamentos da UE visando a proteção de dados pessoais e de privacidade na web.
O GDPR completa o texto da Diretiva para a Proteção de Dados 95/46/CE de 1995 e regulamenta o uso da informação pessoal dos usuários da UE. Desde o início da vigência da diretiva de 1995, o ambiente tecnológico evoluiu e cresceu em complexidade. Tanto é assim que, os dados utilizados pelos smartphones e redes sociais, não estavam protegidos neste documento. O GDPR vem preencher a lacuna existente nas leis sobre o uso dos dados pessoais na web.
O GDPR define a responsabilidade das empresas, determinando o que elas podem ou não fazer com os dados pessoais. O regulamento exige que as violações de dados sejam relatadas em até 72 horas depois do ocorrido, define os padrões de criptografia, exige a autorização dos usuários, estipula por quanto tempo os dados podem ser mantidos nas páginas e sites web e exige a proteção dos dados, por padrão. A proteção deixa de ser facultativa para tornar-se uma obrigação sujeita a punições, se não respeitada.
No âmbito do GDPR, algumas organizações e empresas, de grande porte, devem eleger um responsável pela proteção de dados. A pessoa eleita vai responder pelo gerenciamento de dados e servirá, também, como o principal ponto de contato entre o usuário e a autoridade reguladora. Os novos requisitos têm um grande impacto sobre como as empresas se comunicam com os usuários e também como gerenciam os dados pessoais coletados.
O GDPR fornece aos usuários da UE o controle sobre dois tipos de dados, os dados pessoais e os dados sensíveis. Os dados pessoais incluem nomes, endereços IP (local), fotos, endereços de e-mail, endereços residenciais, atividade de mídia social, informações bancárias. Os dados sensíveis incluem as informações sobre a individualidade como informações genéticas, de saúde, de visão política, de orientação religiosa ou sexual.
O regulamento concede aos usuários o direito de solicitar uma cópia de seus dados, o direito de recusar a coleta de dados, a qualquer momento e o direito de solicitar que os dados pessoais sejam eliminados, embora este último não seja um direito universal (exceção feita para os dados pessoais que são necessários para exercer o direito à liberdade de expressão; quando uma obrigação jurídica exige a conservação dos dados; por motivos de interesse público, por exemplo, saúde pública, investigação científica ou histórica).
A conformidade com o GDPR é aplicada pela União Europeia com a Diretiva de Proteção de Dados. Esta diretiva fornece a infraestrutura legal para apoiar a reforma, garantindo os direitos dos usuários sobre seus dados e que as infrações sejam punidas.
A União Europeia supervisiona o cumprimento do GDPR com a ajuda dos organismos de proteção de dados de cada país da UE. O GDPR também fornece um quadro legal e indica as medidas a serem tomadas em caso de infrações.
O regulamento é aplicável a qualquer organização que gerencie os dados pessoais de residentes da UE. Isso abrange empresas na América Latina, incluindo o Brasil e outros países fora do Espaço Econômico Europeu, com acesso aos dados dos internautas europeus.
O GDPR de 2018 é um regulamento bastante abrangente que harmoniza as regras em toda a União Europeia e Espaço Econômico Europeu. Esta regulamentação simplifica o cenário regulatório das empresas, diminuindo os custos totais de conformidade.
Para alguns analistas, o GDPR pode implementar a competitividade do mercado da UE, embora haja contestação por parte de outros, considerando que as restrições previstas na lei, poderiam deixar a UE para trás na economia global.
O texto oficial desta regulamentação pode ser encontrado aqui.
O regulamento entrou em vigor no dia 25 de maio de 2018, no entanto, muitas empresas não conseguiram cumprir este prazo, devido à importância das mudanças necessárias. O impacto do novo regulamento tem sido substancial nos modelos operacionais de algumas empresas. Gigantes da tecnologia como Google, Facebook e Amazon enfrentam desafios consideráveis na adaptação de seus serviços às novas regras.
Embora o Reino Unido tenha decidido deixar a União Europeia a partir do referendo Brexit, o Parlamento promulgou uma legislação equivalente ao GDPR, chamada Lei de Proteção de Dados 2018. Conheça mais sobre isso, no site oficial do governo britânico.
O Projeto de Lei da Câmara 53/2018 do Brasil foi sancionado no dia 14 de agosto de 2018 alterando a lei nº 12.965, de 2014 - Marco Civil da Internet. Ele regulamenta a proteção e tratamento de dados pessoais. Inspirada claramente do GDPR, esta lei começa a valer em 18 meses a contar da data de aprovação. Prazo previsto para que as empresas possam adaptar-se às novas regras no Brasil. A regulamentação deverá ser aplicada aos serviços online (público ou privado), bancos de dados, empresas brasileiras ou estrangeiras que coletam dados em território nacional, sem esquecer as instituições que oferecem produtos no Brasil.
A regulamentação vai garantir o controle dos dados pessoais dos internautas, em território brasileiro, exigindo o prévio consentimento deles para a coleta e o uso dos dados, outorgando ao usuário o direito de visualizar, corrigir e excluir seus dados. Somente os dados necessários para que os sistemas das empresas funcionem poderão ser coletados e armazenados. Informações sensíveis como orientação sexual ou religiosa e saúde não poderão ser usadas.
Multas estão prevista pelo não cumprimento do regulamento: 2% do faturamento da empresa até o limite de RS 50 milhões.
Um regime de multas foi previsto, pelo GDPR, em caso de não cumprimento das regras por parte das empresas. Esse regime funciona da seguinte maneira, na primeira infração a empresa será somente notificada e não penalizada, é a partir da segunda infração que a multa será aplicada. Dependendo da natureza da infração, a penalidade imposta é de até 10 milhões de dólares ou 4% da receita global da empresa, dependendo da empresa.
O Facebook é a primeira empresa visada em relação à conformidade com o GDPR e pode enfrentar multas substanciais. O Facebook e outras plataformas de mídia social, como o Instagram, usam o consentimento pré-selecionado. O GDPR exige que o usuário esteja ciente das opções antes de compartilhar os dados pessoais.
Facebook afirma que, de acordo com a nova lei, os usuários são informados sobre o uso dos dados, dando-lhes o controle total sobre eles. A rede social também declara que seus representantes se encontram frequentemente com reguladores, formuladores de políticas, especialistas em privacidade e acadêmicos para garantir a conformidade do uso da rede social com o GDPR.
O Google tem uma ação judicial com a União Europeia. A empresa está sendo investigada por infrações contra o GDPR. Como o Facebook, o Google usa uma caixa de seleção de autorização pré-selecionada. Se a empresa for considerada culpada, a multa potencial poderá atingir 4 bilhões de euros (5,2 bilhões de dólares). Google afirma, no entanto, que cumpre com a nova regulamentação e que informa previamente os usuários sobre o uso dos dados pessoais.
Foto: © Joseph - Unsplash