Com o objetivo de criar um novo regime de proteção de dados, a União Europeia aprovou em 2016 o Regulamento Geral de Proteção de Dados (General Data Protection Regulation, GDPR), que estabelece novas regras e obrigações para o cuidado com dados pessoais de cidadãos do bloco. Após dois anos, a norma entra em vigor em 25 maio de 2018, trazendo implicações para empresas de todo o mundo, incluindo as brasileiras.
Uma vez em vigor, empresas brasileiras que coletam, armazenam ou processam dados de cidadãos da União Europeia, ou que monitoram seu comportamento online, independentemente do volume, estarão sujeitas à aplicação da norma.
O objetivo é coibir abusos e dar aos indivíduos maior poder sobre suas informações pessoais. O cliente passa a ser “dono” de seus próprios dados pessoais, mesmo quando armazenados em sites estrangeiros, e passa a ter o direito de exigir das empresas o acesso aos mesmos.
A nova norma também amplia a responsabilidade das companhias, que se tornam obrigadas a proteger os dados de seus clientes, mesmo quando armazenados ou processados por terceiros (um serviço de contact center contratado externamente, por exemplo).
O descumprimento das normas incorre em altas penas, com multas equivalentes a até 4% do faturamento global ou até 20 milhões de euros. Se os dados são repassados a uma empresa terceirizada, as duas empresas são passíveis de punições.
Frente às novas gerações de consumidores, já nascidas em um ambiente totalmente digital, onde indivíduos estão cada vez mais cientes dos seus direitos, o nível de maturidade e profissionalismo das empresas terá que mudar. O GDPR surge como uma oportunidade para que as empresas façam um melhor uso desse importante ativo digital, fornecendo proteção, mas também um melhor serviço aos clientes.
GDPR no Brasil
Se uma empresa brasileira tem negócios na União Europeia, as novas regras devem ser observadas. Mas, além destas, o regulamento adota a regra da extraterritorialidade, afetando também organizações estabelecidas fora da União Europeia que realizem negócios na região. Isso afeta especialmente negócios baseados na internet, que oferecem bens ou serviços aos consumidores europeus.
Para empresas brasileiras com presença física na Europa, as normas podem ser aplicadas diretamente pelas autoridades do respectivo Estado-membro. No caso de empresas estrangeiras sem uma presença física neste território, o GDPR pode exigir um representante “localizado na UE”, mas isso deve depender das justiças de cada país.
Legislação brasileira
No Brasil, a legislação aplicável ao controle de dados é esparsa, encontrando fundamentos na Constituição Federal, no Código Civil, no Código de Defesa do Consumidor, na Lei de Telecomunicações e no Marco Civil da Internet.
Em discussão no Congresso Nacional figura o Projeto de Lei 5.276/2016, semelhante ao GDPR europeu. A lei propõe a criação de um conjunto de obrigações e responsabilidades para indivíduos e entes públicos e privados que coletam e utilizam dados pessoais.
Após a divulgação do escândalo envolvendo o Facebook e a Cambridge Analytics, espera-se que a tramitação ocorra de forma mais célere. Mas há questões complexas que ainda precisam ser analisadas, como em casos de pessoas que poderiam cometer algum ilícito e depois exercer o direito de solicitar a exclusão dos seus dados, sem deixar rastros digitais.
Ferramentas para se adaptar ao GDPR
Ciente das novas exigências, empresas nacionais precisam se adequar, redefinindo critérios de acesso e gerenciamento de dados. O mercado dispõe de ferramentas que ajudam as empresas a se adequarem às novas normas, permitindo que identifiquem, protejam e auditem os acessos a dados pessoais para que possam cumprir os requisitos do GDPR, em um cenário completo de governança de dados.
Uma opção é a combinação de softwares e serviços que permitam o monitoramento e proteção de dados de várias fontes, identificando dados pessoais que estejam armazenados desordenadamente em fontes estruturadas e não estruturadas, e provendo técnicas de governança como mascaramento e anonimização, por exemplo, assegurando a confidencialidade dos dados tanto em repouso quando em uso.
* Cristiano Duarte é gerente de Data Management e Inovação do SAS Brasil
