Regulamento Geral de Proteção de Dados vai gerar mudanças

Em artigo, gerente de Data Management e Inovação do SAS Brasil analisa impactos da nova legislação que afeta consumidores europeus que vivem no Brasil

Proteção de dadosProteção de dados - Foto: Pxhere

Com o objetivo de criar um novo regime de proteção de dados, a União Europeia aprovou em 2016 o Regulamento Geral de Proteção de Dados (General Data Protection Regulation, GDPR), que estabelece novas regras e obrigações para o cuidado com dados pessoais de cidadãos do bloco. Após dois anos, a norma entra em vigor em 25 maio de 2018, trazendo implicações para empresas de todo o mundo, incluindo as brasileiras.

Uma vez em vigor, empresas brasileiras que coletam, armazenam ou processam dados de cidadãos da União Europeia, ou que monitoram seu comportamento online, independentemente do volume, estarão sujeitas à aplicação da norma.

O objetivo é coibir abusos e dar aos indivíduos maior poder sobre suas informações pessoais. O cliente passa a ser “dono” de seus próprios dados pessoais, mesmo quando armazenados em sites estrangeiros, e passa a ter o direito de exigir das empresas o acesso aos mesmos.

A nova norma também amplia a responsabilidade das companhias, que se tornam obrigadas a proteger os dados de seus clientes, mesmo quando armazenados ou processados por terceiros (um serviço de contact center contratado externamente, por exemplo).

Penas e multas

O descumprimento das normas incorre em altas penas, com multas equivalentes a até 4% do faturamento global ou até 20 milhões de euros. Se os dados são repassados a uma empresa terceirizada, as duas empresas são passíveis de punições.

Frente às novas gerações de consumidores, já nascidas em um ambiente totalmente digital, onde indivíduos estão cada vez mais cientes dos seus direitos, o nível de maturidade e profissionalismo das empresas terá que mudar. O GDPR surge como uma oportunidade para que as empresas façam um melhor uso desse importante ativo digital, fornecendo proteção, mas também um melhor serviço aos clientes.

Leia também:
Envolvida no escândalo Facebook, Cambridge Analytica cessa operações
Brasil pede explicação ao Facebook sobre vazamento de dados
Facebook divulga novos parâmetros de privacidade na UE


Se uma empresa brasileira tem negócios na União Europeia, as novas regras devem ser observadas. Mas, além destas, o regulamento adota a regra da extraterritorialidade, afetando também organizações estabelecidas fora da União Europeia que realizem negócios na região. Isso afeta especialmente negócios baseados na internet, que oferecem bens ou serviços aos consumidores europeus.

Para empresas brasileiras com presença física na Europa, as normas podem ser aplicadas diretamente pelas autoridades do respectivo Estado-membro. No caso de empresas estrangeiras sem uma presença física neste território, o GDPR pode exigir um representante “localizado na UE”, mas isso deve depender das justiças de cada país.

Legislação

No Brasil, a legislação aplicável ao controle de dados é esparsa, encontrando fundamentos na Constituição Federal, no Código Civil, no Código de Defesa do Consumidor, na Lei de Telecomunicações e no Marco Civil da Internet.

Em discussão no Congresso Nacional figura o Projeto de Lei 5.276/2016, semelhante ao GDPR europeu. A lei propõe a criação de um conjunto de obrigações e responsabilidades para indivíduos e entes públicos e privados que coletam e utilizam dados pessoais.

Após a divulgação do escândalo envolvendo o Facebook e a Cambridge Analytics, espera-se que a tramitação ocorra de forma mais célere. Mas há questões complexas que ainda precisam ser analisadas, como em casos de pessoas que poderiam cometer algum ilícito e depois exercer o direito de solicitar a exclusão dos seus dados, sem deixar rastros digitais.

Empresas nacionais precisam se adequar, redefinindo critérios de acesso e gerenciamento de dados. O mercado dispõe de ferramentas que ajudam as empresas a se adequarem às novas normas, permitindo que identifiquem, protejam e auditem os acessos a dados pessoais para que possam cumprir os requisitos do GDPR, em um cenário completo de governança de dados.

Uma opção é a combinação de softwares e serviços que permitam o monitoramento e proteção de dados de várias fontes, identificando dados pessoais que estejam armazenados desordenadamente em fontes estruturadas e não estruturadas, e provendo técnicas de governança como mascaramento e anonimização, por exemplo, assegurando a confidencialidade dos dados tanto em repouso quando em uso.

*Gerente de Data Management e Inovação do SAS Brasil

** A Folha de Pernambuco não se responsabiliza pela opinião de colunistas e articulistas.

Veja também

OPAS pede 'estratégia integral' para conter a Covid-19 nas Américas
Pandemia

OPAS pede 'estratégia integral' para conter a Covid-19 nas Américas

Aberta à população, primeira reunião do ano do Comam ocorre nesta quinta-feira
Meia Ambiente

Aberta à população, primeira reunião do ano do Comam ocorre nesta quinta-feira