GDPR – General Data Protection Regulation: o que pode mudar para as empresas brasileiras?

Recentemente tivemos a decisão pelo fim da neutralidade da rede nos EUA, questão muito relevante para todos os que atuam no universo online. Contudo, outro ponto importante e que pode trazer prejuízos financeiros consideráveis vêm da União Europeia.

O que é o GDRPR - General Data Protection Regulation?

A partir de maio de 2018 começa a se aplicar todas as exigências, direitos e sanções previstas no GDPR, o Regulamento Geral de Proteção de Dados criado para União Europeia e que será válido para toda empresa que atuar no mercado europeu.

(se tiver interesse, mais informações sobre as mudanças podem ser lidas aqui.)

A questão ainda vai passar por um processo de amadurecimento de jurisprudência e com certeza teremos diversos casos para considerar até o fim de 2018.

Como exemplo para a falta de preparo do mercado para se adequar ao que determina o GDPR, o SAS - Statistical Analysis System – demonstrou que menos de 50% das organizações globais ouvidas em sua pesquisa possuíam um plano estruturado para entrar em conformidade com o Regulamento.

Quais os principais cuidados para as empresas?

Sintetizando de forma bastante objetiva os grandes pontos de aplicação do documento, nota-se que as empresas que atuam com dados online deverão estar atentas principalmente: 1- às questões de controle e proteção dos dados de clientes coletados; 2 - a clareza na forma de demonstrar ao usuário quais informações são coletadas e o que a empresa faz com elas.

Nesse sentido, buscando auxiliar os empreendedores brasileiros que ainda têm acompanhado as mudanças trazidas pelo GDPR, separamos 05 práticas que podem ser consideradas para empresas brasileiras que possuam clientes residentes em países da União Europeia:

1. Termos de Uso e Política de Privacidade

O Regulamento é claro ao reforçar que as empresas devem ter cuidado ao utilizar os dados de usuários cadastrados em seus sites/plataformas, evidenciando em diversos tópicos que o consentimento do indivíduo deve ser claro e comprovável.

Nesse sentido, além de possuir Termos de Uso e Política de Privacidade bem redigidos, sugerimos que as empresas se utilizem de práticas como a chamada “opt-in”, caixas de confirmação que o usuário deva clicar e que garantam que ele foi devidamente informado a respeito do que é coletado e o porquê.

(Caso tenha interesse em saber mais sobre Termos de Uso e Política de Privacidade, acesse nosso material aqui.)

2. Direito ao Esquecimento

O GDPR determina que o usuário deve poder exigir que todos os seus dados coletados pela empresa sejam deletados em caráter absoluto.

A sugestão é que as empresas tenham esse controle e consigam demonstrar ao usuário, a partir de sua solicitação, o tamanho dos arquivos ou quantas informações dele foram excluídas do sistema, a fim de demonstrar a transparência da operação.

3. Tecnologias de Proteção de Dados

As empresas deverão estar atentas a todas as tecnologias de proteção de dados que estiverem disponíveis no mercado, a fim de demonstrar que tomaram as medidas possíveis para garantir a segurança dos dados de seus clientes.

A terminologia usada em alguns momentos pelo Regulamento é privacy by desing.

Isso é relevante se analisarmos a interpretação tradicional do Código de Defesa do Consumidor brasileiro que, assim como outros, interpreta que a atividade empresarial envolve risco inerente à busca por lucro e, consequentemente, existe uma responsabilidade objetiva sob a empresa que deve estar sempre atenta aos riscos que traz ao consumidor hipossuficiente.

4. Obrigação de Informar Sobre Vazamentos

 Este talvez seja um dos tópicos mais relevantes trazidos pelo Regulamento se avaliarmos as situações de vazamento de dados recentes que temos acompanhado não só no Brasil, mas em todo o mundo. Dois casos bem recentes e complexos podem ser lidos aqui e aqui.

O documento orienta que as empresas têm a obrigação de informar os usuários o mais rápido possível sobre qualquer vazamento de dados, a fim de protege-los e garantir o direito de retirarem/alterarem toda e qualquer informação que tenham em comum em outros sites/plataformas.

A partir do exposto, a melhor prática a ser tomada por empresas tende a ser não esconder questões de roubo de informações por hackers como o famoso ransomware, que sequestra dados e exige pagamentos para menores prejuízos.

 5. A figura do DPO – Data Protection Officer

O GDPR também criou a figura do gestor responsável pela proteção de dados, em especial para aquelas empresas que operem com um volume significativo de dados em seus sistemas.

Esse gestor deverá atuar dentro da empresa, a fim de garantir que o Regulamento está sendo aplicado da forma correta e sugerindo adaptações sempre que observar algo prejudicial. Essa figura pode, em partes, se assemelhar com o Officer que já existe em diversas companhias.

Aqui vale um alerta quanto a compreensão de “volume significativo de dados”, vez que essa definição pode acabar por sofrer alterações em sua magnitude a depender do perfil do país, mercado de atuação ou até mesmo impacto online.

Quais as sanções?

A respeito de sanções definidas pelo Regulamento europeu, essas são consideravelmente mais altas do que as que habitualmente vinham sendo praticadas no continente, tendo como regra multa de até 2% do volume total de negócios mundiais da empresa, em valor não inferior a €10 milhões de euros, podendo chegar a até 4% do volume total de negócios mundiais da empresa, em valor mínimo de €20 milhões de euros, para casos realmente graves.

Conclusão

O que deve estar claro ao empreendedor é que o GDPR é apenas o início de um movimento pela proteção do uso de dados indiscriminado no mundo e, provavelmente, será tido como exemplo para todos os países que levam a política de segurança no ambiente online como questão séria e de alto risco para a sociedade.

Dessa forma, demonstradas as mudanças trazidas pelo Regulamento Europeu sobre Proteção de Dados que passará a vigorar a partir de maio/2018, fica claro que as empresas que buscam atuar nesse mercado deverão estar preparadas e conscientes dos riscos e cuidados necessários para uma atuação responsável.

Por isso, se o seu negócio ainda não está atento aos pontos trazidos pelo GDPR, procure um profissional de sua confiança, capacitado e atualizado com o tema para evitar qualquer prejuízo inesperado no futuro próximo.

Por Luiz Eduardo Duarte