Com evolução tecnológica e a frenética utilização dos meios digitais, há uma troca absurda de dados. Seja em operações de compra e venda, realizando consultas, estudando, relacionando-se através de redes sociais…, enfim, onde tudo acontece de forma virtual e constante, diariamente, 24 horas por dia, 365 dias por ano, bastando apenas um cadastro, que pode ser simples como o fornecimento de um nome, ou num grau mais complexo, onde é informada a quantidade de filhos ou endereço de correspondência.
Por consequência, há uma exposição constante da privacidade e, aliado a isto, um expressivo descontrole do uso e da finalidade dos dados concedidos, como foi o caso recente de utilização indevida de dados do Facebook. Num pretérito não tão distante, tivemos a ocorrência na Cambridge Analytica, cujos dados de 50 milhões de perfis do Facebook foram coletados, indevidamente (num contexto de permissão), visando influenciar a eleição de 2016 nos EUA.
Baseados em intercorrências semelhantes às da Cambridge Analytica (através do Facebook), surgiu a preocupação com os dados dos residentes e dos cidadãos da UE. Visando mitigar tais abusos, numa busca por clareza e transparência na manipulação destes dados, foi criada uma regulamentação internacional que prevê direitos e regras para a manipulação dos dados de tais cidadãos, o GDPR – General Data Protection Regulation.
A respectiva regulamentação foi adotada no ano de 2016, com uma vacância de dois anos, ou seja, passa a vigorar em 25 de maio deste mês. A partir da data, todos os dados dos cidadãos europeus e/ou residentes na UE que trafegarem neste universo digital (concernentes ou não a operações comerciais, gratuitas ou não), dentro ou fora da UE, terão que ser adequados às regras estabelecidas neste regulamento no GDPR.
Mas o que esse regulamento cobre, a quem se destina e quais suas implicações?
Mas como assim?
Todos os que coletam, processam ou manipulam dados de cidadãos europeus devem adequar-se e submeter-se ao disposto no GDPR, independente do objetivo dessas ações.
O manipulador/controlador de dados é o responsável por definir os parâmetros de como e porque tais dados serão trabalhados, ao passo que o processador é o responsável por efetivar a ação factual desses dados. Podemos dizer então que o controlador pode ser qualquer empresa ou instituição, a exemplo as operações de e-commerce, redes sociais, transações bancárias, compra de passagem aérea, programas de pontos de viagens, até a simples operação de biometria para acesso a um prédio. Já o processador pode ser qualquer empresa de TI que atua no processamento desses dados.
Diante da possibilidade de se processar e/ou controlar esses dados, há a obrigatoriedade de submeter-se a uma regra de compliance trazida pela GDPR, cuja não observância poderá acarretar em multas ‘salgadas’, que podem chegar ao valor de 20 milhões de euros, ou 4% do volume de negócios global da empresa – o que for maior. Não menos importante, poderá levar a suspensão da operação do site [empresa] no que concernem as ofertas e vendas ao mercado europeu.
A proteção dos dados se dá desde a identificação inicial de dados até a notificação imediata de uma violação a uma autoridade competente.
As imposições feitas pela GDPR trazem consigo novas responsabilidades e obrigações voltadas a segurança digital, tais como:
– Fornecer informações transparentes aos titulares dos dados, ou seja, fornecer informações de quais dados estão sendo ou foram manipulados, por qual período serão utilizados e por quanto tempo serão arquivados;
– A utilização de dos dados fornecidos deve se limitar ao destino original, como por exemplo um cadastrado para um curso; este cadastro deverá ser utilizado apenas para efeitos de cadastro neste curso específico e mais nada, nem mesmo, para uma futura divulgação de um outro curso de empresa do grupo sem a permissão explícita do usuário;
– Demonstrar o consentimento explicito do titular dos dados para o processamento de dados pessoais;
– Notificar as autoridades competentes sobre as violações de dados, em no máximo 72 horas após a ciência do fato;
– Direito ao esquecimento que, em outras palavras, é o direito do cidadão de que seus dados sejam excluídos do banco de dados da empresa ou mesmo requerer a migração de seus dados para outra empresa, quando solicitados;
Por isso, se a sua empresa transaciona com a UE ou pretende fazê-lo e ainda não está preparada para atender a tais exigências, é melhor correr.
Ao time de TI das empresas, bem como departamentos jurídicos, legal e compliance, este tema deve estar em seu mapa de discussões e as adequações devem estar no topo das prioridades. Para direcionar esse assunto, destacam-se alguns passos importantes:
– Analisar o grau de conformidade que sua empresa se encontra no que concernem às regulamentações de privacidade e proteção de dados.
– Verificar todos os aspectos de cibersegurança que devem ser implementados por exigências da regulamentação.
– Analisar o grau de maturidade de sua equipe no que se refere ao tema, pois mudanças serão necessárias e seu time deve estar preparado.
Mãos à obra!
* Cristiane Santana é especialista jurídica em Segurança da Arcon
