Acesso, processamento e compartilhamento de dados pessoais de usuários: o que fazer para continuar no business

No próximo dia 25, entrará em vigor a GDPR (General Data Protection Regulation), regulamento que possui o objetivo de proteger os dados pessoais dos cidadãos europeus e, ainda, acelerar o processo de expansão do Single Digital Market – estratégia de unificação do mercado digital que visa o fim das barreiras territoriais para o acesso a bens e serviços digitais pelo mundo todo (saiba mais aqui).

No Brasil, iniciativa similar é executada por meio do Anteprojeto de Lei de Proteção de Dados Pessoais, onde se discute inovações para a regulamentação do tema desde 2012 – a última atualização foi a do ano de 2015 e é possível que, até o fim deste ano, uma versão final seja definida.

Nesse sentido, este artigo possui o objetivo de informar as principais mudanças que a GDPR irá trazer, com foco nas práticas que as empresas – iniciantes ou já desenvolvidas – terão que dar atenção (e executar) para que continuem realizando as suas atividades de acesso, processamento e compartilhamento de dados sem comprometer os direitos de seus usuários e, até mesmo, a vida da própria instituição.

Dentre as principais ações que uma empresa, principalmente as de base tecnológica, que operam em nuvem, como as desenvolvedores e prestadoras de serviço de SaaS (Software as a Service), terão que realizar para evitar sanções como multas de até 4% de seu faturamento anual ou 20 milhões de Euros, destacam-se, como ensina o Professor de Direito Digital Renato Leite Monteiro:

• Acesso: as informações sobre como os dados dos usuários são processados devem estar disponibilizadas, por meio de Termos de Uso e Políticas de Privacidade, por exemplo, de forma acessível e com linguagem inteligível – sem linguajar jurídico exagerado.
• Portabilidade: os usuários deverão ter a possibilidade de escolher o serviço que julgarem o melhor e, assim, poderá optar por migrar de plataforma de serviço fazendo a portabilidade de todos os seus dados.
• Esquecimento: oportunidade de solicitar que os seus dados sejam excluídos.
• Conhecimento de ação de hackers: por meio deste direito, as empresas deverão disponibilizar aos usuários o conhecimento de informações relativas a ações de hackers na plataforma utilizada, de tal forma que as empresas deverão informar, até mesmo através de publicações públicas, se os seus usuários foram alvos de ataques maliciosos.

Com destaque aos negócios comerciais, as principais regras incluídas pelo GDPR e que também estão presentes no anteprojeto brasileiro são:

• Privacy by design (and by default): a partir desta regra, todas as empresas que exercem o controle de dados pessoais deverão seguir um guia de princípios de design, ou seja, um padrão de “fazer” – um modo de operar – que utilize o menor número de dados possível dos usuários, limitando o acesso a dados mais sensíveis.
• Data Protection Officers: por meio dessa necessidade, as empresas estarão obrigadas a criarem departamentos específicos de compliance de dados pessoais. Nesse sentido, as organizações terão que contratar profissionais especializados que irão traçar os melhores caminhos para as empresas utilizarem os dados de usuários em conformidade com as legislações sobre o tema. Mais ainda, estes profissionais exercerão papel de aproximação com as autoridades oficiais de regulação do tema.

No que tange aos avanços para o Single Digital Market, o Portal do Instituto Brasileiro de Pesquisa e Análise de Dados publicou matéria interessantíssima abordando pontos importantes na mudança de mindset do trabalho de marketing relacionado a segmentação de target e oferecimento de ofertas (veja aqui).

A partir das novas regulamentações, para continuar no business, as empresas terão que adequar-se aos reais desejos de seus usuários. Ou seja, as pessoas receberão apenas aquelas ofertas que realmente declararam ter afinidade/desejo.

Essa mudança de paradigma poderá fazer com que as instituições que realizam o acesso, processamento e compartilhamento de dados cada vez mais mergulhem no conceito de conhecimento dos reais pontos de dor de seus usuários, gerando conteúdo específico e direcionado para gerar a melhor experiência para o público que permitiu o acesso a seus dados pessoais.

Por fim, como já apresentado no presente artigo, não haverá espaço para desconhecimento e amadorismo. Cada vez mais as organizações terão que especializar-se ou contratar agentes especializados conhecedores do apanhado legal global de regulamentação de dados pessoais. Por isso, procure desde já ler sobre o tema e procurar profissionais especializados para auxiliá-lo em suas demandas.

É preciso conhecimento para continuar no jogo.

Por Gabriel Couto Teixeira