O que é a GDPR, a lei de proteção de dados europeia, e por que ela importa
Se você passou a receber e-mails sobre a atualização dos termos de serviço de todos os aplicativos, lojas virtuais e redes sociais nos últimos meses, saiba: isso não é um ato de consciência coletiva depois do caso Facebook/Cambridge Analytica e sua a privacidade não passou a ser um valor importante por acaso.
Há dois anos, empresas cujos funcionamentos dependem de qualquer tipo de coleta de dado pessoal preparam-se para a implementação da GDPR (General Data Protection Regulation), a regulação de proteção de dados da União Europeia (UE), que entra em vigor neste dia 25 de maio (#GDPRday).
Se resumida em um tuíte para não-advogados, GDPR é a regulação que dá a cidadãos na União Europeia controle sobre seus dados pessoais. Usuários têm o direito de saber o que marcas e governo fazem com os dados e o direito de pedir a retirada ou a portabilidade dessas informações de servidores. A multa às empresas pode alcançar € 20 milhões.
• Facebook libera novos princípios de privacidade à frente de restrições mais pesadas na Europa
• Apple permitirá download de tudo que eles sabem de você
• Mark Zuckerberg fez o Parlamento Europeu de bobo e eles estão putos
• Sob pressão da UE, WhatsApp aumenta para 16 anos idade mínima para uso do app na Europa
Como é injusto resumir em 280 caracteres um conjunto de normas de 99 artigos e 88 páginas, explicaremos os principais pontos da regulamentação e como ela deve afetar o mercado local.
De cara, podemos dizer que existe uma predisposição do Brasil e de outros países, como o Japão e a Coreia do Sul, adotarem legislação parecida. Então, é importante ficar esperto no que aconteceu na Europa, pois tem grande chance de rolar por aqui também.
A Diretiva Europeia, um ato legislativo de 1995, já garante a cidadãos europeus maior controle sobre seus dados pessoais. Até agora, os 28 países do bloco seguem as diretrizes, mas adaptam-as a seus direitos nacionais, o que não cria uniformidade. A nova regulamentação surge para atualizar as regras, substituir a Diretiva e dar conta do atual contexto tecnológico e econômico.
“Senador, nós veiculamos anúncios”
A audiência de Mark Zuckerberg no Congresso americano serviu, entre muitos motivos, para esclarecer a parte da população (inclusive a senadores) como funciona a economia baseada em dados, que rege vários modelos de negócios digitais, como o das redes sociais. Zuckerberg repetiu uma frase que virou meme: “Senator, we run ads” (“senador, nós veiculamos anúncios”, na tradução livre). O que isso significa?
Você cria uma conta em um site, em uma rede social: ou em um aplicativo e, em vez de pagar com dinheiro, fornece dados pessoais para que anunciantes lhe direcionem publicidade segmentada, de acordo com hábitos de navegação e de consumo. As plataformas oferecem espaço e ganham uma porcentagem com isso.
Mark Zuckerberg, CEO do Facebook, durante audiência nos Estados Unidos. Crédito: Getty Images
A GDPR passa a guiar como essas empresas, que lidam com vastos bancos de dados, precisam se comportar diante dos usuários. A regulamentação impõe uma série de normas que estimulam termos de uso mais compreensíveis, controles de privacidade simples, ferramentas que dão poder de gerenciamento aos usuários sobre suas informações, reforço de segurança cibernética e condutas internas que possam garantir conformidade legal com a proteção de dados.
Só vale para empresas de tecnologia?
Não. Organizações que lidam com alto fluxo de dados tendem a sentir maior impacto, como redes sociais, lojas virtuais, data brokers (uma empresa que reúne e vende informações de consumidores na internet), instituições bancárias, de pesquisa, de saúde e serviços públicos, pois precisarão realizar adaptações sob risco de multas pesadas. A GDPR, no entanto, incide sobre qualquer serviço, empresa e entidade que coleta dados na União Europeia, seja uma farmácia, um cinema ou o varejo.
É importante ressaltar que não se trata de uma legislação de proteção ao cidadão europeu, mas a pessoas localizadas na União Europeia.
Que proteção é essa?
A Electronic Frontier Foundation, entidade que versa sobre direito de usuários na internet, diz que a GDPR personifica direitos enunciados na Carta de Direitos Humanos Fundamentais da União Europeia. Ela determina:
“Toda pessoa tem direito à proteção de dados pessoais que lhe digam respeito. Esses dados devem ser processados de forma justa para fins específicos e com base no consentimento da pessoa envolvida ou em alguma outra base legítima estabelecida por lei. Todos têm o direito de acessar os dados coletados sobre ele e o direito de retificá-los”
Um dos principais propósitos da GDPR é garantir transparência. A partir de hoje, é obrigatório que empresas e organizações na UE estejam aptas a comunicar sua responsabilidade sobre o ciclo de vida dos dados: coleta, tratamento, compartilhamento, armazenamento e descarte.
De que dados estamos falando?
Há diferentes interpretações jurídicas acerca do conceito de dado pessoal, mas a GDPR entende que são os que identificam uma pessoa diretamente (CPF, RG e nome completo, por exemplo) e, também, os que possam vir a identificar uma pessoa.
Essa segunda categoria se refere a dados que, quando cruzados ou agregados com outros, podem levar a identificação de um indivíduo. São exemplos a geolocalização, a faixa etária, a escolaridade, além de dados sensíveis como sexualidade, raça e religião.
Nesse rol também entram metadados, como o tipo de aparelho que o usuário conecta à internet (um iPhone X, um smartphone de R$ 500 ou um laptop), a velocidade da banda larga, o IP e o tempo de permanência on-line.
Dados de profiling (perfilamento) serão protegidos?
Sim, mas com maior flexibilidade.
Nos modelos de negócios baseados em anúncios e profiling, os dados pessoais passam por um processo de pseudoanonimização, em que são cruzados e agregados a outros dados. Assim, plataformas podem criar grupos de consumo específicos e otimizar o direcionamento de publicidade, sem que saibam quem são seus alvos.
Por exemplo: se uma marca de esportes quiser anunciar a pessoas como “Júlia Silva, de 29 anos, que ganha R$ 20 mil, mora na rua X e corre no parque Y” na internet; alcança o grupo a qual pertence Júlia Silva: “mulheres na faixa de 30 anos, moradoras de determinada região de São Paulo, com alto poder aquisitivo e adeptas a um estilo de vida saudável”.
Pode parecer difícil desassociar esse monte de cruzamentos, mas a GDPR garante proteção em casos de profiling por que há processos tecnológicos capazes de reverter a anonimização e, portanto, identificar “Júlia Silva” e um banco de dados.
Nesses casos, a lei instaura um princípio de razoabilidade. É um tipo de cálculo que considera custo, tempo e tecnologia disponível para desanonimizar um dado diante do potencial malefício que ele pode causar à pessoa envolvida.
Um exemplo prático: se você está na União Europeia, envia currículo para uma empresa e não passa na primeira fase da seleção, que é feita por um robô, mas atende aos requisitos objetivos solicitados para a primeira fase, poderá solicitar informações sobre os critérios usados pelo robô.
Consentimento e legítimo interesse, os queridões da lei
Imagem: Pixabay
Na teoria, todo dado coletado provém de um consentimento. Na prática, serviços que coletam dados têm redações complicadas, podem, eventualmente, compartilhar dados com terceiros sem risco de punição severa ou usar o dado para uma finalidade diferente para qual o cidadão topou fornecê-lo.
Para a GDPR, consentimento é uma “indicação livre, específica, informada e inequívoca do desejo do titular dos dados”, mediante uma ação afirmativa clara que aceite o processamento de seus dados.
A mudança prática para os cidadãos é: os novos modelos de contratos agora deverão vir com opt-in, um botão que expressa a vontade ou não de o usuário em aceitar fornecer seu dado. Opções pré-marcadas em termos de uso ou em questionários eletrônicos não servirão mais como consentimento.
O consentimento também será necessário para o compartilhamento de informações pessoais com terceiros (como outras organizações e empresas), não servirá mais como pré-condição de um serviço (o famoso aceite tudo ou caia fora) e poderá ser revogado quando o cidadão desejar.
Além do consentimento, outro pilar legal da GDPR é o legítimo interesse. Uma empresa pode julgar que será positivo para seu cliente se compartilhar seu dado pessoal com um terceiro, por exemplo. O farol ético, nesse caso, deve ser: isso quebra a expectativa do usuário? Se ferir qualquer outro direito fundamental dele, é provável que a decisão esteja errada. A dica às empresas é: ficou na dúvida na hora informar e pedir novo consentimento? Informe e peça.
Portabilidade e revogação
Usuários têm o direito de solicitar a portabilidade de dados para outro serviço. É como mudar de operadora e autorizar que todo o pacote de informações vá de uma marca a outra, com segurança. A diferença é que agora cidadãos podem pedir a transferência de dados do Facebook para o Orkut, se ele estivesse vivo.
Outra prerrogativa dos usuários é solicitar a revogação dos dados de um servidor. Empresas terão um mês para entregar os dados de forma estruturada. Se um indivíduo decidir que não quer mais usar o aplicativo de corridas, pode requerer a devolução. Provavelmente receberá uma tabela com as localizações de GPS pelos lugares em que se exercitou.
Empresas brasileiras serão impactadas?
Sim. Estão sujeitas à lei empresas brasileiras com filiais na União Europeia ou que estejam fora do bloco mas ofereçam serviços ao mercado europeu. Também as que estão fora da UE mas coletam, monitoram ou processam dados de pessoas localizadas no bloco.
Se um site brasileiro é acessado na UE, ele não está necessariamente sujeito a GDPR. É preciso comprovar a evidência que um e-commerce é direcionado a usuários da Europa, como um SAC escrito em francês, por exemplo.
Lojas pequenas que comercializam para consumidores da UE poderão fazer adaptações em relação ao ciclo de vida dos dados, mas dificilmente estarão sujeitas a multas, muito menos ao temido valor de € 20 milhões. Essa preocupação é para Facebook, Google e demais.
Agora, se a empresa brasileira é um data broker ou uma agência de publicidade que terceiriza a uma empresa da UE a coleta e o processamento de dados, deve seguir todas as normas.
Empresas brasileiras que coletem dados de europeus no Brasil ou em outras partes do mundo fora da Europa não entram no escopo GDPR.
Controller, processor, DPO e DPIA: você não escapará desses nomes
A partir de agora, esses termos tendem a pipocar nas empresas e no noticiário. Fazem parte do grupo de responsabilidade e de prestação de contas sobre dados pessoais. O data controller (controlador de dados) determina os propósitos para os quais os dados pessoais são processados. É uma empresa ou organização que decide por que e como os dados serão tratados.
- O processor data (processador de dados) é a empresa ou organização que, claro, trata os dados. Ela responde ao controlador. Mas há responsabilidade solidária. Exemplo: uma cervejaria terceiriza o salário dos funcionários a uma empresa de pagamentos, que oferece o sistema de tecnologia e de armazenamento de dados dos trabalhadores. A cervejaria é o controlador e a terceirizada é o processador. Há situações em que uma entidade exerce as duas funções.
- DPO é a sigla de Data Protection Officer, um cargo dedicado a proteção de dados em casos de organizações, empresas ou entidades que tenham um grande fluxo de dados (mais de 5 mil registros de dados pessoais). É responsável por garantir a conformidade da empresa com a regulamentação. Pode ser uma pessoa, um escritório, alguém de dentro da organização e não precisa estar na UE. No entanto, deve trabalhar de forma independente.
- DPIA é a sigla de Data Protection Impact Assessments, uma avaliação de impacto no uso de dados pessoais que deve ser feita uma vez por ano. É uma função do DPO. Quando um tratamento utilizar novas tecnologias ou tiver uma natureza que possa resultar num risco elevado para direitos e liberdades de pessoas (como monitoramento de áreas públicas por drones ou de dados criminais), o responsável pelo tratamento precisa garantir um plano com medidas previstas para mitigar riscos, para assegurar a segurança, demonstrar a conformidade com a lei e levar em conta direitos e interesses legítimos das pessoas afetadas. Trata-se d elaboração e do preenchimento de questionários que envolvem diferentes setores da organização.
Vazamento de dados e multa
Em caso de vazamento de dados, a Autoridade Europeia para a Proteção de Dados, que já existe na Europa, precisa ser notificada em até 72 horas após o incidente, bem como todos os usuários lesados.
Vazamentos de dados pessoais estão sujeitos à multa, bem como o uso indevido. As penas são de até € 20 milhões ou de 4% do faturamento global, o que for maior. No entanto, a Autoridade Europeia para a Proteção de Dados seguirá critérios de proporcionalidade, que envolvem diferentes categorias de danos e o histórico de cada organização. Se uma empresa fizer o tema de casa, é bem mais provável que seja notificada.
Fontes: Data Privacy Brasil (com os especialistas em privacidade e proteção de dados Bruno Bioni e Renato Leite Monteiro), European Comission, Electronic Frontier Foundation e GDPR.
Imagem do topo: Sede da União Europeia. Crédito: robynmack96/Flickr/CC