A partir desta sexta-feira (25) começa a valer a nova lei de proteção de dados pessoais da União Europeia. O Regulamento Geral de Proteção de Dados (GPDR) é uma ação preventiva do bloco europeu em relação à espionagem em massa realizada pelo governo dos Estados Unidos, que realizava o compartilhamento de informações com outros países, como o Reino Unido. O escândalo foi revelado em 2013 pelo ex-analista da CIA, Edward Snowden, o que fez com que fosse retomada a revisão da lei. A partir de agora, a nova lei de proteção afeta diretamente todas as companhias, assim como usuários que mantém relações com o bloco europeu.

Este é considerado o maior conjunto de proteção à privacidade online já criado desde o início da internet, o GDPR, aprovado em 2016, porém estava com a sua aplicação suspensa, para período de adaptação.

Confira os 11 principais pontos do Regulamento Geral de Proteção de Dados (GPDR)

  1. Usuários podem, em algumas situações, ver, corrigir ou até deletar as informações que empresas guardam sobre ele;
  2. Empresas devem coletar apenas dados necessários para que seus serviços funcionem;
  3. Coleta e uso de dados pessoais só podem ser feitas com consentimento explícito;
  4. Qualquer serviço conectado tem de conceder ‘direito ao esquecimento’;
  5. Informações de crianças ganham proteção especial;
  6. Clientes que tiverem dados hackeados devem ser avisados em até 72 horas;
  7. Empresas devem informar com linguagem compreensível sua política de proteção de dados;
  8. Infratores são punidos com multa pesada, de € 20 milhões ou 4% do volume global de negócios da empresa.
  9. Dados de europeus podem ser transferidos só para países com lei de proteção de dados equivalente à europeia;
  10. Empresas que tratem dados de europeus têm de seguir a lei europeia caso estejam em países não considerados "portos seguros".
  11. Grandes processadoras de informação têm de guardar registros sobre todas as vezes em que manipularam dados.

O Advogado português João Pereira Pinto, que auxilia empresas europeias no processo de adaptação a esse novo cenário, disse "É uma mudança de cultura. Mesmo estando online, nós não podemos perder a segurança ou privacidade".

Brasil

O GDPR também pode trazer consequências as companhias de tecnologia de todo o planeta, assim como impactar na conduta de muitos internautas, mesmo que seja uma lei aplicada na Europa. Além disso, também podem sofrer penalidades toda e qualquer companhia que manipule dados, em casos de recebimento de informações de europeus.

O que ocorre é que o regulamento europeu possui aplicação extraterritorial, o que significa dizer que os outros países precisam estar em conformidade, sob pena de receber penalidades no caso de vazamento ou de mal uso de dados pessoais. Os efeitos da GDPR podem ser aplicados aos brasileiros em três situações: quando subsidiárias de empresas europeias no Brasil tratarem de dados de cidadãos europeus e de pessoas que residam na Europa; empresas brasileiras que fizerem ou tiverem alguma transação que envolva dados pessoais com a Europa; empresas brasileiras que não fizeram transação alguma com a Europa, mas, em algum momento, tratarem dados de europeus, ainda que em solo brasileiro.

Agora, existe também uma quarta situação em que os brasileiros terão relações com empresas regidas pelos termos europeus, é o caso as subsidiárias no Brasil de empresas não-europeias, porém com presença na Europa. Neste processo, estão envolvidas as maiores empresas de tecnologia do mundo, como Facebook, Google, Microsoft, Apple e Twitter.

No caso, estão dividas em dois grupos, aquelas que irão liberar as mudanças para usuários de todos os lugares, como Facebook, Google e Microsoft, e as que farão restrições as alterações a europeus ou selecionarão quais das novas regras levar a usuários de outros locais, como Twitter e Apple.

A juíza Viviane Maldonado, do Tribunal de Justiça de São Paulo, disse "O que ocorre é que o regulamento europeu possui aplicação extraterritorial, o que significa dizer que os outros países precisam estar em conformidade, sob pena de receber penalidades no caso de vazamento ou de mal uso de dados pessoais. Não está muito bem esclarecimento como vai ser feito a execução da lei, do ponto de vista de alcançar empresas que estão fora da comunidade europeia. Terá que haver uma transposição e também serem usados instrumentos de cooperação."

Mudanças

Com o GDPR, o chamado "direito ao esquecimento" passa a ser lei e tem sua aplicação ampliada, é obrigatório deletar registros de informações pessoais. Contudo, existe uma ressalva, as empresas poderão manter informações necessárias para propósitos históricos, estatísticos e científicos, para saúde pública ou para exercer o direito de liberdade de expressão.

Para proteção das crianças, o "direito ao esquecimento" possui um capítulo especial para evitar que fiquem expostas a internet. Com isso, todas as redes sociais que queiram contar com crianças entre seus membros terão de pedir consentimento aos pais. Cada país do bloco decidirá a que faixa etária se aplica essa regra, que poderá variar dos 13 aos 16 anos. Sendo assim, o aplicativo de mensagens instantâneas WhatsApp estabeleceu 16 anos de idade mínima para usar o app no bloco comum europeu.

Entre as mudanças, passa a ser exigida a permissão do usuário para começar a coletar os seus dados, para isso, as companhias deverão receber um "claro e afirmativo" consentimento dos donos dessas informações. Além disso, as empresas terão que criar meios para clientes baixarem um pacote com todo os seus dados armazenados pela mesma. O WhatsApp foi obrigado a criar o seu, Facebook e Google já contavam com estes canais.

Empresas passam a ter prazo de 72 horas para avisar clientes sobre vazamento de seus dados pessoais
Empresas passam a ter prazo de 72 horas para avisar clientes sobre vazamento de seus dados pessoais

Da mesma forma que funciona atualmente a transferência de dados através da portabilidade de celular, de uma linha para outra, os donos de dados pessoais passam a ter o direito de transferir suas informações de um serviço conectado para outro, sem sofrer qualquer restrição por parte da empresa atual.

Além disso, as companhias também passam a ser obrigadas a alertar os seus clientes assim que tiverem os seus servidores hackeados, os avisando que suas informações pessoais foram expostas, com prazo para esse aviso de 72 horas, a partir do momento em que tiverem certeza do ocorrido. A regra é válida inclusive para empresas terceirizadas.

Companhias donas de serviços conectados precisam explicar aos usuários através de uma linguagem clara e compreensível quais são as políticas de privacidade de suas ferramentas.

As empresas que quiserem receber, tratar ou processar dados de europeus vão necessitar criar escritórios específicos para proteção de dados, o qual dificultará encarregado em analisar se a política da companhia está de acordo com as leis europeias.

Vale ressaltar que a lei é única para todos os países da União Europeia e com poder extraterritorial, envolvendo todos os países e empresas, mesmo que não estiverem dentro do bloco, basta manter relações com os países membro. Além disso, as empresas europeias deverão contratar somente fornecedores que cumpram a lei.

Multa

Para quem quebrar as novas regras, a União Europeia tornou mais rígida a punição, com € 20 milhões ou 4% do volume global de negócios anual da infratora.