06/03/2018

O que é GDPR? Entenda a lei europeia de proteção de dados pessoais

A internet mudou drasticamente a maneira como as pessoas se comunicam, lidam com as tarefas diárias e disponibilizam suas informações. Nesse contexto, o Regulamento Geral de Proteção de Dados (GDPR), proposto pela Comissão Europeia, surgiu para fortalecer e unificar a proteção de dados dos cidadãos da União Europeia (UE) em todo o seu ciclo de vida (coleta, armazenamento, processamento, transferência, exclusão…).

Como, atualmente, o conhecimento do que é feito com os dados pessoais que são inseridos em formulários eletrônicos é muito pouco difundido, a intenção é que as empresas que coletam esse tipo de informação sejam mais transparentes e entreguem, por meio de uma comunicação mais direcionada e relevante, uma melhor experiência ao cliente.

Dessa forma, a UE quer dar, às pessoas, mais controle sobre como seus dados pessoais são usados, já que muitas empresas, como o Facebook e o Google, por exemplo, demandam acesso a diferentes tipos de informação para a utilização de seus serviços.

Quer entender melhor sobre o que é o GDPR? Continue a leitura!

O que é GDPR?

De forma mais detalhada, o GDPR é um novo conjunto de regras destinadas a dar, aos cidadãos da União Europeia, mais controle sobre seus dados. Ele visa simplificar o ambiente regulatório para os negócios, para que cidadãos e empresas possam se beneficiar plenamente da economia digital.

O GDPR será aplicado em todos os Estados-Membros da UE a partir de 25 de maio de 2018. Como o GDPR é um regulamento, e não uma diretriz, o Reino Unido não precisa elaborar uma nova legislação — em vez disso, ele se aplicará automaticamente.

Embora tenha entrado em vigor em 24 de maio de 2016, após todas as partes da UE concordarem com o texto final, empresas e organizações têm até 25 de maio de 2018 para se ajustarem.

O objetivo do GDPR é impor uma lei uniforme de segurança de dados a todos os membros da UE, de modo que cada Estado-Membro não precise mais escrever suas próprias leis de proteção de dados. Para além desses membros, é importante notar que qualquer empresa que comercializa bens ou serviços para os residentes, independentemente da sua localização, está sujeita ao regulamento.

Além disso, as potenciais penalidades por falta de GDPR serão graves. Dependendo do tipo de violação, as empresas terão multas de até € 20 milhões ou de 4% de sua receita anual global (o que for maior). Essas grandes penalidades significam que as empresas não podem se dar ao luxo de ignorar a legislação.

Como resultado, o GDPR terá um impacto nos requisitos de proteção de dados globalmente.

Quais são os benefícios do programa GDPR?

O GDPR é a maneira da UE de dar, aos indivíduos, mais poder sobre seus dados e menos poder para as organizações que coletam e usam essas informações para obter ganhos monetários.

As condições para a obtenção do consentimento são mais rigorosas nos termos do GDPR, uma vez que o indivíduo deve ter o direito de retirar o consentimento a qualquer momento e existe a presunção de que o consentimento não será válido, a menos que seja obtido por meio de diferentes atividades de processamento.

Isso significa que a empresa deve ser capaz de provar que o indivíduo concordou com uma determinada ação, para receber um boletim, por exemplo. O novo regulamento altera muitas coisas para empresas, como a forma com que as atividades de marketing e vendas são gerenciadas. Confira, a seguir, os principais benefícios do GDPR.

Minimização de dados e limitação de uso

Quando uma organização está coletando dados de um indivíduo, ela deve lembrar que, sob o GDPR, só pode coletar dados adequados, relevantes e limitados ao que é necessário para o propósito de coleta.

Os dados coletados pela organização que são considerados desnecessários ou excessivos constituirão uma violação do GDPR.

Além disso, as organizações só podem usar os dados coletados e armazenados por eles para fins específicos, explícitos e legítimos. Elas não têm permissão para usá-los de qualquer maneira que seja incompatível com o propósito para o qual foram coletados. Além disso, se planejam transferir ou compartilhar os dados com outra empresa, precisam garantir que tenham o consentimento da pessoa para fazê-lo.

Garantia de informação

Os indivíduos têm o direito de requerer acesso aos seus dados pessoais e perguntar como suas informações são utilizadas pela empresa depois de terem sido reunidas. A organização deve fornecer uma cópia dos dados pessoais, gratuitamente, se solicitado.

Se os consumidores não forem mais clientes, ou se retirarem o consentimento de uma empresa para usar seus dados pessoais, eles têm o direito de excluí-los.

Em qualquer junção de dados por parte das empresas, os indivíduos devem ser informados antes que sejam reunidos. Os consumidores devem decidir se querem que seus dados sejam agregados, e o consentimento deve ser administrado gratuitamente, e não de forma implícita.

Há garantia, ainda, de que os indivíduos possam atualizar seus dados se estiverem desatualizados, incompletos ou incorretos.

Segurança

Uma vez que os dados são coletados, a organização precisa garantir que sejam armazenados de forma segura e de acordo com as disposições de segurança do GDPR.

Isso significa que eles devem usar medidas de segurança técnicas e organizacionais adequadas para proteger dados pessoais contra o processamento não autorizado e a perda acidental, bem como a divulgação, o acesso, a destruição ou a alteração.

Se houver uma violação que comprometa os dados pessoais de um indivíduo, a empresa responsável tem o prazo de 72 horas, após a tomada de conhecimento do fato, para se justificar em relação ao vazamento.

Além disso, os indivíduos podem solicitar que seus dados não sejam usados para o processamento. Isso inclui o direito de interromperem o processamento para o marketing direto. Não há isenções nessa regra, portanto, qualquer atividade deve cessar assim que o pedido for recebido e esse direito deve ser esclarecido para os indivíduos no início de qualquer comunicação.

Qual o impacto do GDPR no Brasil?

Pode parecer distante da realidade do país, mas as diretrizes impostas ao tratamento de dados pelo GDPR serão aplicáveis não apenas a empresas físicas presentes nos países que integram a União Europeia, mas também pessoas físicas e jurídicas estabelecidas fora deste território.

Isso significa que se uma empresa brasileira presta serviços ou bens (incluindo serviços gratuitos) para outra empresa situada em território da UE, ela estará sujeita às normas da GDPR e potencialmente obrigada a designar um representante no respectivo Estado-Membro.

Embora haja esforços para adotar um quadro regulamentar vinculativo e integrado, a legislação brasileira sobre o assunto ainda está em evolução. Atualmente, no Brasil, tramitam dois projetos de lei com ênfase na proteção de dados e definição das condições de uso das informações pessoais do usuário: PL 5276/16 – Câmara dos Deputados e PLS 330/2013 – Senado Federal.

A nova legislação de privacidade está prevista para 2018, inspirada pelas diretrizes europeias sobre o assunto, e espera-se que isso cause uma mudança significativa na forma como as empresas tratam dados pessoais no Brasil.