A GDPR é uma nova lei europeia que entrará em vigor em maio deste ano. Ao reforçar as proteções de dados dos cidadãos da Europa, todas as empresas de pequeno, médio e grande porte terão que investir em cibersegurança. E não são apenas empresas locais: companhias de todo o mundo que têm negócios com a Europa precisarão se adequar. Ou seja, a mudança é global.
De acordo com a União Europeia, o Regulamento Geral de Proteção de Dados da União Europeia (RGPD ou GDPR) substitui a Diretiva de Proteção de Dados e serve “para harmonizar as leis de dados privados por toda a Europa, para proteger e empoderar a privacidade de todos os cidadãos, além de reorganizar a maneira em que companhias lidam com dados privados”.
Entrando em vigor no dia 25 de maio de 2018, as empresas locais ou internacionais com negócios na Europa que não cumprirem com as novas diretrizes poderão receber multas pesadas. Ou seja, empresas privadas ou públicas brasileiras, que possuem relacionamento com clientes ou parceiros europeus, terão que respeitar o novo regulamento. Desde grandes instituições à pequenas plataformas de e-commerce, se há coleta ou tratamento de dados pessoais de um indivíduo que está no território da União Europeia, de forma relacionada à oferta de bens ou serviços, ainda que fornecidos gratuitamente, haverá sujeição às normas do GDPR.
Por exemplo, uma das questões abordadas pela GDPR é o vazamento de dados de clientes. Só no Brasil, durante os últimos meses, vimos problemas do tipo em negócios como a Netshoes, Buscapé, FMU, Movida etc. Agora, todas as empresas que se enquadrarem na GDPR serão obrigadas a informar, tanto ao governo quanto à população, sobre o vazamento de dados e o que será feito — o que é ótimo: ter uma posição clara sobre o que aconteceu é benéfico para a empresa, diferente de esconder uma possível falha que pode ser corrigida.
Uma pesquisa realizada pela Commvault mostrou, em fevereiro de 2018, que apenas 12% das empresas pesquisadas estão prontas para serem regidas pela nova lei. Obviamente, essa porcentagem deve ter aumentado de lá para cá. Contudo, o cenário ainda é perigoso para a maioria das firmas.
O que é? Transparência e Responsabilidade
É o que a GDPR cobra. Veja só: os dados privados são extremamente importantes — e, se você não acha, talvez seja a hora de pesquisar mais sobre assunto. A importância é tal que a GDPR veio para ficar. Além disso, políticos de outros cantos do mundo já acenaram a necessidade de algo similar em seus próprios governos.
Então, vamos ver de maneira clara o que é a GDPR (vale notar que o regulamento possui mais de 300 páginas): uma legislação sobre como as empresas devem tratar os dados privados de clientes. E isso envolve ainda três pilares: transparência, gestão e governança.
“O objetivo da GDPR é proteger todos os cidadãos da UE contra a violação de privacidade e dados num mundo cada vez mais voltado aos dados, muito diferente do momento em que a diretiva de 1995 foi estabelecida”, diz a União Europeia. “Embora os princípios-chave da privacidade de dados ainda se mantenham fiéis à diretiva anterior, muitas mudanças foram propostas para as políticas reguladoras”.
Vamos falar, então, das multas: as companhias podem receber penalizações de até 4% sobre o valor do volume de negócios global anual ou 20 milhões de euros (R$ 81 milhões, em conversão direta). Esse valor será pago por empresas que não possuírem o consentimento suficiente de consumidores ao processo de dados ou pela violação dos conceitos principais da “Privacy by Design”.
Outras penalidades ficam nos 2% sobre o valor de negócios anual e serão aplicadas quando empresas não tiverem registros de dados em ordem, não notificarem sobre vazamentos ou não realizarem avaliação de impacto. E a GDPR serve tanto para companhias físicas quanto empresas de nuvem.
E no Brasil?
O Brasil tem o Marco Civil e um par de leis que ajudam usuários no que toca vazamentos de dados e abusos na internet. Vale notar que, por meio da Secretaria Nacional de Defesa do Consumidor, a Oi foi multada em R$ 3,5 milhões pela Velox por violar direitos à privacidade em 2014.
Uma Lei Geral de Proteção de Dados Pessoais deveria chegar ao Brasil em 2018. Contudo, com todo esse panorama político instável e focado em reformas, parece que a implementação será feita apenas no próximo ano.
“Uma lei geral de proteção de dados pessoais e a criação de uma autoridade garante de proteção de dados podem e devem ser capitalizados politicamente. Talvez, assim, possamos virar a “chave” do atraso regulatório do Brasil nessa agenda”, comenta Bruno Bioni, advogado do Núcleo de Informação e Coordenação do Ponto BR/NIC.br.
Quem também comentou sobre o caso foi Alain Karioty, diretor regional da Netskope, ao Computer World: “O Brasil possui mais de 30 leis que, direta ou indiretamente, tratam do tema proteção de dados. Desde o Marco Civil da Internet e seu decreto regulamentador, que trazem regras rígidas e aplicáveis a todos os serviços de Internet, com destaque para o Código de Defesa do Consumidor, Lei do Cadastro Positivo e a Lei do Sigilo Bancário. Nesse contexto, a adoção da GDPR trará um avanço significativo, embora também implique um maior investimento nos processos e tecnologias necessários para garantir a segurança desses dados, tanto aqueles que permanecem sob o perímetro de TI como aqueles que viajam através da nuvem”.
A dica final é a mesma tecla que batemos desde sempre: invista em cibersegurança. Dados pessoais são quase commodities atualmente, e você não quer perdê-los apenas porque deixou de contratar um pessoal qualificado. Além de uma multa pesada, algo muito pior pode acontecer com sua empresa: ter a imagem prejudicada.
Fontes: Tecmundo, ComputerWorld, Jota