A GDPR, regulação europeia para uso de dados pessoais, vem aí. Sua empresa está preparada?
Entra em vigor na União Europeia, na próxima sexta-feira (25), a Regulação Geral de Proteção de Dados (GDPR, na sigla em inglês). A lei, de 2016, foi uma revisão das regras de proteção a dados pessoais do bloco, que data de 1995. Foi aprovada em função do aumento da importância do uso de dados pessoais na economia digital. E deve surtir efeitos em todo o mundo – ao menos nas empresas que prestam serviços de coleta, armazenamento, processamento ou análise de dados de cidadãos e residentes europeus.
Mas quem está sujeito a esta legislação? Por que empresas brasileiras devem se preocupar com as novas regras? Como se adaptar? Pode uma empresa brasileira ser punida por vazamento de dados de um europeu?
No mercado, a expectativa é que o enforcement (aplicação das normas pelas autoridades) demore um pouco para acontecer, à medida em que se crie a jurisprudência. Ou seja, é preciso que denúncias e problemas aconteçam para que a Justiça dos países europeus decida como lidar com eles. Mas para todo o resto, as respostas já existem.
Quem está sujeito à GDPR?
Toda e qualquer empresa que lide com dados pessoais de cidadãos europeus deve se adequar. Seja uma OTT que vende serviços online nos países do bloco, seja um data center que é usado como terceiro para armazenar informações no Brasil para uma multinacional europeia.
As empresas europeias, todas, deverão se adequar. Isso porque não basta garantir a segurança e privacidade da informação no continente, mas onde quer que o dado esteja guardado, inclusive nas subsidiárias no exterior.
Empresas do setor financeiro, como bancos e de meios de pagamento, de seguros, de transporte, de turismo, e até do automotivo (para carros conectados) devem se adequar.
Empresas brasileiras também?
Sim, as empresas nacionais que forneçam serviços a cidadãos europeus ou a empresas europeias que usem dados de cidadãos residentes no bloco também precisam se adaptar.
As novas regras exigem uma série de medidas de segurança. Cria dois papeis centrais: o do data controller e do data processor. Cada um tem compromissos diferentes. O controller será a empresa que faz a interface direta com o cliente. É a empresa que vende diretamente o produto, e deve informar ao consumidor tudo o que faz ou fará com os dados. Fica proibida de usar as informações coletadas para qualquer finalidade não prevista no contrato. E o uso dos dados deve ser, sempre, autorizado.
O data processor é a empresa que faz o tratamento dos dados a pedido da controller. Pode ser, por exemplo, o data center em que a empresa que coletou os dados vai armazenar tudo. E pode, ou não, ter sede na Europa.
Como se adaptar?
Segundo a ABES (Associação Brasileira das Empresas de Software), as empresas europeias que terceirizam serviços a brasileiras já começaram a atualizar contratos. Como o Brasil não está na lista de países considerados seguros, conforme os parâmetros da lei europeia, para o armazenamento de dados, as empresas de lá precisam firmar cláusulas padrão que obrigam os fornecedores locais e ter sistemas robustos, garantias mínimas de controle de acesso às informações, regras de pessoal interno com acesso aos dados, e co-responsabilização em caso de vazamentos, perdas ou erros.
Andriei Gutierrez, coordenador do comitê regulatório da ABES, conta que os contratos visam desde a criação de responsáveis pela governança dos dados ao uso de técnicas de criptografia. “O Brasil exporta mais de US$ 2 bilhões em serviços de TICs. Desse total, um quinto vai para a União Europeia”, ressalta. O velho continente não é o maior comprador – este papel cabe aos Estados Unidos, que compra 60% dos nossos serviços de TICs – mas aparece, no momento, como o mais exigente.
Patricia Peck Pinheiro, sócia-fundadora do Peck Advogados, explica que as empresas locais devem atualizar os termos de uso e políticas de privacidade de websites que possam ser acessados por europeus; atualizar cláusulas de contratos com clientes para tratar da coleta do consentimento dentro do novo fluxo de governança; atualizar também as cláusulas dos contratos com parceiros e fornecedores que façam algum tratamento de dados; mapear o fluxo dos dados para estabelecer a nova governança de TI e controles de consentimento; elaborar uma carta para enviar aos órgãos europeus atestando o nível de conformidade; e passar a exigir que novos parceiros também atendam as novas regras.
Peck reforça que especialmente o varejo exportador pode ser impactado. “Sujeitará todo o e-commerce a um novo paradigma cultural de como as empresas tratam as bases de dados pessoais de seus clientes”, explica.
As empresas que desejam ter clientela na Europa deverão, ainda, ter um representante comercial no bloco e nomear um executivo, o Data Protection Officer, que será encarregado de garantir a conformidade com a legislação.
Há uma enorme cartilha online sobre como as empresas devem se adequar, aqui (em inglês).
Impacto global
A GDPR traz em seu núcleo uma grande ameaça, que está fazendo todas as empresas se preocuparem. Determina multa de € 10 milhões até 4% da receita global da companhia que não obedecer as regras. As multas mais altas são destinadas a empresas que transferirem dados de europeus a outros países sem autorização, que coletem dados sem consentimento, ou que deliberadamente desobedeçam ordem das autoridades de proteção de dados pessoais presentes em cada país do bloco.
Facebook, Google, Amazon, Apple, Microsoft são empresas norte-americanas que já se preparam. Todas estão comunicando os usuários europeus sobre mudanças nos termos de serviço.
Entre as medidas que as empresa já se dizem preparadas a atender estão a transparência sobre uso dos dados (o que é feito com eles), a possibilidade de ver quais dados foram coletados, a portabilidade de informações (para serviços afins, como mensageria, por exemplo), e o direito de ser esquecido, em que a empresa deve, a pedido do usuário, apagar de seus bancos todas as informações que possui deste usuário.
Também a Apple criou uma página na qual o usuário pode controlar o uso de todas as informações que a companhia possui. O Facebook, além das ferramentas de controle para o usuário, atualizou os termos de uso para anunciantes e desenvolvedores que se conectam por APIs à plataforma, exigindo adequação aos termos do GDPR também.
Já o Google tomou uma série (extensa) de medidas. Por exemplo, passou a discriminar dados mais e menos sensíveis dentro do Gmail, passou a exigir autenticação em duas etapas no acesso a diferentes serviços, acrescentou uma camada adicional de criptografia a dados pessoais coletados em seus apps, criou um scanner de vazamentos que funciona em tempo integral à busca de brechas e falhas em sua plataforma de nuvem.