Entra em vigor nesta sexta-feira, 25, a regulação geral de proteção de dados (GDPR, na sigla em inglês) da União Europeia. Apesar de ser uma regra do bloco econômico europeu, afeta empresas de todo o mundo, inclusive no Brasil, onde ainda não há uma legislação de privacidade de dados.
De acordo com a GDPR, é preciso consentimento expresso do usuário para o uso de dados de algum serviço eletrônico europeu, mesmo para não cidadãos da UE. Assim, as empresas ficam responsáveis pela administração das informações, mas precisam garantir a segurança, justificar a razão e garantir que sejam armazenadas temporariamente. Outro ponto é que as companhias ficam obrigadas também a registrar legalmente e comunicar incidentes de segurança, como o vazamento de dados.
Do ponto de vista do usuário, há algum tipo de adaptação às novas regras europeias. É por esse motivo que vários serviços estão enviando e-mails aos clientes solicitando o consentimento expresso (opt-in) para os novos termos de privacidade. Gigantes over-the-top como Google e Spotify procuraram enviar comunicados à base para anunciar os novos termos.
Empresas que descumprirem as medidas da nova regulação podem ser multadas pela entidade em até 20 milhões de euros ou 4% do seu faturamento global. Mas há também a questão de contratos. A instituição de ensino Data Privacy Brasil lembra que, se a empresa não estiver localizada na União Europeia e não tiver indicado nenhum representante ou nomeado um Data Protection Officer (DPO), qualquer autoridade de proteção de dados de um dos 28 países do bloco econômico poderá se valer de instrumentos de cooperação internacional, como o MLATS. Além disso, só poderão efetuar contratos com empresas que estejam em conformidade com o GDPR, o que pode ocasionar na recisão de acordos de processamento ou terceirização de qualquer tipo de tratamento de dados pessoais, como armazenamento, enriquecimento, matching, consulta ou profiling. “Esta causa de rescisão pode, até mesmo, ser considerada justificada, sem qualquer direito a multa ou indenização, caso esse cenário não esteja previsto no contrato, por ser medida de lei a qual o Controller está obrigado”, diz a entidade.
O Instituto de Tecnologia e Sociedade do Rio (ITS Rio) lembra que o Brasil não possui ainda legislação específica de proteção de dados pessoais (apesar dos inúmeros projetos de lei ainda em tramitação) e, por isso, não poderá realizar troca de dados com a Europa. “Uma vez que a tendência é o GDPR ter um efeito viral, a não adaptação terá como consequência dificuldades para as empresas aqui instaladas, bem como um enfraquecimento da competitividade e da inovação na economia nacional, caso o país não se adeque às regras globais de proteção”, declara a entidade em texto assinado pelas pesquisadoras Ana Lara Mangeth e Beatriz Nunes, além do coordenador da área de direito da entidade, Eduardo Magrani.
No caso de empresas brasileiras que mantêm relações comerciais com as europeias, “mais cedo ou mais tarde deverão passar a exigir tais níveis de conformidade”, como reitera o diretor da fornecedora de gerenciamento de processos e comunicação OTRS, Matheus Assis Baeta. Ele explica que isso obriga as companhias a se equiparem com tecnologias e conhecimento dos processos. “Deste modo, torna-se imperativo o preparo e a busca de soluções que estejam de acordo com a norma de modo a que se evitem sérios transtornos tanto em nível operacional como econômico”, declara. Ele sugere a criação de um escritório de relatórios para incidentes de segurança, dedicando uma pessoa ou equipe para lidar com eventos.
De acordo com o global security evangelist da empresa de segurança Eset, Tony Anscombe, 27 autoridades reguladoras da União Europeia vão monitorar o cumprimento desse regulamento. “Apesar de inicialmente as empresas menores não estarem no foco, com certeza as maiores estarão”, diz. Ele acredita que haverá alguma negociação para a conformidade das companhias, mas alerta: “não pense que a GDPR não afeta você, por isso é importante compreendê-la”.