A popularização da internet trouxe alguns desafios em relação à segurança das informações. A divulgação recente do vazamento de dados pessoais de usuários armazenados por uma rede social de abrangência mundial, colaborou, e muito, com a publicidade sob o General Data Protection Regulation (GDPR).  

Foram quatro anos de debates até a aprovação pelo Parlamento da União Europeia em 14 de abril de 2016. Contudo, o regulamento somente entrou em vigor em 25 de maio de 2018, sendo esta a data inicial para aplicação das penalidades previstas no GDPR. 

A finalidade do regulamento é estabelecer um conjunto de regras claras no intuito de proteger os cidadãos europeus contra a violação da privacidade de seus dados. Entretanto, a jurisdição territorial estendida do GDPR abrange todas as empresas que processam os dados pessoais dos usuários residentes na União Europeia, independentemente da localização da empresa. 

Conforme as orientações do GDPR, são direitos do usuário em relação a privacidade dos dados:

• Notificação de violação: Prazo estabelecido de até 72 horas para que o detentor dos dados comunique ao proprietário quaisquer incidentes que porventura impliquem em vazamento ou violação;

• Direito de acesso: Permitir que o usuário tenha a opção de autorizar o uso de seus dados pessoais, bem como a maneira como eles devem ser tratados, informando sempre o que está sendo coletado e para quais fins. E, se houver necessidade, deve ser disponibilizada uma “cópia digital” de seus dados;

 • Direito de ser esquecido (data erasure): A qualquer tempo, o proprietário da informação deve ter a possibilidade de solicitar a exclusão de seus dados pessoais ou impedir a coleta; 

• Portabilidade: Operações de migração dos dados entre serviços são permitidas, e as solicitações devem ser atendidas respeitando as necessidades dos usuários; 

• Privacidade por design: As orientações do GDPR em relação à privacidade dos dados devem ser previstas desde o início no projeto dos sistemas; 

• Oficiais de proteção de dados: Por vezes, será necessário estabelecer um ponto focal em relação à proteção dos dados. Essa pessoa, um executivo aqui denominado DPO (Data Protection Officer), será o responsável por supervisionar a forma como os dados privativos serão manipulados. Todavia, sua responsabilidade também inclui responder as autoridades, prestando esclarecimentos, quando necessário, sobre o assunto. 

Outra recomendação é que os dados sensíveis sejam protegidos, ocultados ou substituídos, aumentando a dificuldade da identificação do usuário (conceito de pseudonimização). 

Também é importante ressaltar que o regulamento prevê que a linguagem utilizada seja clara e compreensível nas comunicações direcionadas a todo e qualquer usuário, indiferente do seu nível de conhecimento. Termos de serviços longos são desencorajados, bem como as informações de consentimento, que devem ser destacadas dos demais assuntos, facilitando seu acesso e as operações de permitir ou negar. 

Penalidades Previstas na GDPR

De forma escalonada, uma empresa pode ser notificada por violações do GDPR. As organizações que de alguma maneira descumpram as determinações propostas, incorrem em multas máximas de 4% em relação ao faturamento anual ou 20 milhões de euros (o que for maior). 

Outras porcentagens podem ser aplicadas conforme a gravidade da violação. Todavia, cabe ressaltar que essas penalidades são compartilhadas por “controladores” e “processadores”, logo, não isentando “clouds” (nuvens) da responsabilidade quanto a privacidade dos dados dos cidadãos da União Europeia. 

Enquanto isso em terras tupiniquins…. 

A divulgação do GDPR fez-se de maneira muito diferente das iniciativas brasileiras em relação à proteção e privacidade dos dados pessoais. Recentemente, os artigos publicados mostram quais são os efeitos do regulamento europeu para resto do mundo, incluindo o Brasil. Contudo, muito pouco é abordado em relação à legislação em vigor no país. 

O Brasil não foi o pioneiro na regulamentação do tratamento da privacidade dos dados dos usuários. Contudo, desde 23 de abril de 2014, está em vigor a Lei nº 12.965, também conhecida como “Marco Civil da Internet”, que conforme texto de lei: “Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil”. Embora não seja uma iniciativa que regulamenta exclusivamente as possíveis violações de privacidade dos dados do usuário, esta legislação engloba também, mesmo que superficialmente, tais quesitos. 

Recentemente, foi aprovado na Câmara do Deputados o Projeto de Lei (PL) nº 4060/2012, que tramita no Congresso Nacional desde 13 de junho de 2012. Esse PL “dispõe sobre o tratamento dos dados pessoais” dos cidadãos brasileiros e, embora não possua correlação com o GDPR, tem muitas semelhanças. 

Entretanto, o assunto deste post é GDPR .... 

Então qual é a ideia? 

A ideia é que, seja você um cidadão europeu ou não, se seus afazeres incluírem gestão de dados de cidadãos da União Europeia, é importante estar atento às regras que foram estabelecidas pelo GDPR, pois ignorar este regulamento pode ser muito prejudicial ao “bolso”. 

Referências:

https://www.eugdpr.org/
https://www.helpnetsecurity.com/2018/05/25/gdpr-day/
http://www.securityreport.com.br/overview/gdpr-transformar-e-inovar-comeca-por-cada-um-de-nos/#.Ww2Gbu4vzIU
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm
http://www.camara.gov.br/proposicoesWeb/prop_mostrarintegra?codteor=1663305&filename=SBT+1+PL406012+%3D%3E+PL+4060/2012