A Europa agora será muito mais exigente com empresas que coletam qualquer tipo de informação pessoal de seus cidadãos. Após os dois anos dados pela União Europeia para adaptação, a Regulação Geral de Proteção de Dados (GDPR, na sigla em inglês) começa a vigorar nesta sexta-feira (25/05) repleta de novas exigências para todas as companhias que ofereçam produtos ou serviços a pessoas residentes na região. E isso inclui as empresas brasileiras.
saiba mais
O documento foi criado como uma resposta à crescente pressão da sociedade civil por controles mais rígidos sobre informações de usuários de serviços digitais. Suas principais diretrizes são a garantia da privacidade de informações repassadas a empresas e o direitos dos cidadãos de solicitarem esses dados a qualquer momento, bem como a obrigação de as companhias eliminarem as informações se esse for o desejo do usuário.
Embora sejam de competência da União Europeia, as obrigações trazidas pela GDPR ultrapassam o território do Velho Continente. Empresas de todo o mundo poderão estar sujeitas à lei se coletarem dados de cidadãos europeus, por exemplo. Empresas brasileiras que mantenham relações comerciais ou façam prestação de serviços a companhias ou pessoas nos países do bloco europeu passam a responder à GDPR. Assim como as que lidam com dados pessoais de cidadãos residentes na Europa, mesmo que não tenham sede física no continente.
Sejam redes sociais, varejistas, companhias de marketing digital ou fornecedores de serviços, as empresas agora estarão sujeitas a várias novas obrigações, segundo o texto legislativo aprovado em 2016. E isso não depende de haver ou não pagamento por um serviço ou produto.
Entre as novas obrigações, estão:
– O usuário ou cliente deve consentir com a coleta de cada informação desejada pela empresa;
– As empresas devem usar linguagem “concisa, transparente, inteligível e facilmente acessível” para comunicar os cidadãos sobre a informação coletada, sempre que solicitado por eles;
– Também devem informar, sempre que coletarem uma informação, exatamente com que fim aqueles dados serão usados;
– Os usuários têm o direito de pedir a eliminação ou o interrompimento de processamento de suas informações a qualquer momento;
– Qualquer vazamento ou violação dos dados devem ser informados às autoridades europeias em até 72 horas.
Para ter esse controle, será necessário mais do que cuidar da própria segurança digital, segundo Daniel Rodrigues Pinto, consultor jurídico da Atos, consultoria internacional de serviços digitais. “Não se trata de apenas um processo tecnológico, como instalar um antivírus, mas de criar regras pra tratar os dados, separá-los, ter um controle do tempo que você vai armazenar cada um deles”, afirma. “É também uma questão física: o controle de acesso das pessoas e quem poderá manipulá-la. Tudo isso deve estar na política da empresa”, diz o especialista.
Categorias de responsabilidade
Para a atribuição de responsabilidades, foram determinadas duas categorias de participantes do processo: “controlador” e “processador” das informações. A primeira parte é a própria companhia que coleta as informações e se relaciona com os cidadãos que as fornecem. Incluem-se, aí, redes sociais, empresas de comércio eletrônico e de qualquer outro ramo. Já os processadores são as empresas contratadas por estas para fazer a gestão dos dados.
“Para os processadores, a GDPR traz obrigações específicas. Por exemplo, manter registros dos dados pessoais e atividades de processamento. E terá culpabilidade legal se for afetado por um vazamento de informações”, diz o Escritório do Comissariado de informações (ICO), órgão inglês que assessora o parlamento do país em questões envolvendo o direito legal à informação, em um guia elaborado para a compreensão da GDPR.
Essas empresas não se restringem, entretanto, a serviços de tecnologia da informação. “Por exemplo, empresas de RH que atuem com parceiros europeus e armazenem informações de seus funcionários, também estão sujeitas”, diz o consultor da Atos.
“Por outro lado, o controlador não está livre das obrigações apenas pelo envolvimento de um processador. A GDPR impõe diversas obrigações para que seus contratos com esses processadores atendam à legislação”, segue o ICO. O controlador é quem firma o contrato com o usuário. Por isso, ele passa a ser responsável pelo cumprimento dele.
Punições
Quem descumprir a nova legislação europeia poderá esperar durar punições. No caso de vazamento de informações, não notificar o país europeu em que a empresa está pode acarretar em multas de 10 milhões de euros ou 2% do faturamento internacional da empresa (o que for maior). Infrações mais graves podem dobrar tanto o valor quanto a porcentagem da receita.
No caso de empresas de fora da União Europeia, mas que tenham filiais instaladas no continente, a responsabilização ocorrerá pelo próprio Estado-membro. Já as companhias que apenas atendem cidadãos europeus ou conduzem negócios na Europa, sem presença física, precisam apontar um representante legal em território europeu.
Fato é que, mesmo fora da abrangência da GDPR, a atenção com a privacidade dos cidadãos e a segurança de suas informações cresce no mundo todo. E, quanto antes se ajustar aos princípios éticos mais rigorosos, melhor, defende Rodrigues Pinto. “Essa lei busca dar um poder maior para os usuários, que devem ter conhecimento de quem armazena e manipula seus dados pessoais. Mesmo que não seja uma exigência legal para todos, é um diferencial competitivo importante”, afirma.