Entrou em vigor nesta sexta-feira (25) o chamado Regulamento Geral de Proteção de Dados na União Europeia, ou GDPR, na sigla em inglês. Trata-se de uma legislação que estipula uma série de regras sobre como empresas e órgãos públicos devem lidar com os dados pessoais da população dentro do bloco europeu.
A nova lei, um calhamaço digital formado de 99 capítulos, é resultado de uma discussão antiga sobre a necessidade de um padrão comum aos países europeus em relação à privacidade e à gestão de dados de europeus. Previsto desde 1995, o GDPR foi proposto em 2012, e aprovado apenas em 2016 pela comunidade europeia, que deu então dois anos de prazo para os setores público e privado se ajustarem às novas exigências.
Em entrevista ao Nexo em abril de 2018, o especialista em proteção de dados e privacidade Danilo Doneda comentou o histórico da nova lei.
“A União Europeia em 1995 unificou as regras de proteção de dados, porque uns tinham regras fortes, outros não tinham e isso causava problemas. Mas essa lei é de muito antes de a internet se tornar o que é hoje. Há alguns anos veio a proposta de atualizar a lei de proteção de dados para adequar o bloco ao contexto atual. Assim, a GDPR acabou virando um grande padrão internacional de proteção de dados.”
O fim do prazo coincidiu, por acaso, com um dos maiores escândalos de proteção de dados pessoais recentes envolvendo a maior rede social do mundo, o Facebook, e a empresa britânica Cambridge Analytica.
Em meados de abril, Mark Zuckerberg, fundador do Facebook, foi convocado pelo Congresso americano para dar mais explicações sobre o acontecido. Lá, foi questionado sobre os efeitos do GDPR -- entendido por especialistas como um conjunto de regras mais rígidas que a de outros países do mundo, como os EUA -- sobre as atividades da empresa.
“Sim, congressista. (...) A GDPR exige que façamos algumas coisas a mais, e nós vamos estender isso para o resto do mundo.”
Embora a nova lei afete também empresas de todos os setores da economia, de bancos a companhias aéreas, passando por hotéis e farmácias, as ancoradas no ambiente digital devem sofrer um impacto profundo. Sobretudo no caso daquelas que usam as informações colhidas dos seus clientes (ou “usuários”) como modelo de negócio, caso da maioria das redes sociais ativas e de gigantes como o Google.
O que diz a lei
Com o novo pacote de regras, a União Europeia dá muito mais poder a cidadãos, consumidores ou usuários sobre seus próprios dados. Antes de coletar e armazenar qualquer tipo de dado, a empresa deve especificar de forma clara e concisa sobre o uso que se pretende fazer daquele dado.
Se a finalidade do serviço prestado não bater com todos os tipos de dados pedidos pela empresa, ela é obrigada a reduzir a lista de exigências a apenas aquilo que for essencial para sua atividade.
Quando quiser, o usuário pode agora pedir acesso a todo o banco de informações que uma empresa detém sobre si. Se quiser, ele pode solicitar alterações e até a exclusão de tudo.
Com a nova lei, as empresas que sofrerem qualquer tipo de vulnerabilidade na segurança, e que resulte na exposição de dados pessoais armazenados por ela, devem notificar os usuários e a autoridade nacional (órgão que atua como uma agência reguladora para questões de dados pessoais, comum na maioria dos países com leis sobre o tema) em menos de 72h. A notificação só é dispensável nos casos de vazamentos que não coloquem em risco os direitos e a liberdade das pessoas envolvidas.
Para quem desrespeitar essas e qualquer outra regra imposta pela lei, as autoridades europeias poderão aplicar multas que vão de 10 milhões de euros (cerca de R$ 43 milhões), ou 2% do faturamento anual (a depender do que for maior), até 20 milhões de euros (quase R$ 86 milhões), ou 4% do faturamento anual.
O Nexo conversou com dois especialistas em direito digital para saber quais são, para eles, os destaques da nova lei; e para entender melhor o impacto do novo regime legal europeu sobre os usuários brasileiros.
- Jacqueline de Souza Abreu, doutoranda em Direito na USP (Universidade de São Paulo) e coordenadora da área de Privacidade e Vigilância do Internetlab, centro de pesquisa de São Paulo voltado à intersecção de direito e tecnologia
- Carlos Affonso de Souza, diretor no ITS Rio (Instituto de Tecnologia e Sociedade) e professor da Faculdade de Direito da Uerj
Quais os destaques da lei?
Jacqueline de Souza Abreu
Um primeiro destaque é o que trata do consentimento ‘livre’ (Art. 7) e o fim do consentimento forçado. Até ontem, era comum ter de concordar com tratamento de dados para além do necessário para o normal funcionamento de um serviço só porque o provedor/empresa condicionava seu acesso ao serviço a isso. Com a GDPR, empresas não poderão mais forçar o consentimento com a coleta e uso de dados para além do necessário para oferecimento do serviço. O acesso ao serviço não pode mais depender de consentimento com usos para além do necessário. Isso dá maior controle a usuários e coíbe abusos.
Além disso, a GDPR estabelece, nos artigos que tratam de privacy by design [privacidade por design] e avaliações de impacto (Art. 25 e 35), diversos princípios e regras que revolucionam a atitude que detentores de dados (empresas e poder público) devem ter ao manejar dados pessoais. É uma mudança de paradigmas: do “vamos coletar tudo pra facilitar nosso trabalho e depois a gente vê o que dá para fazer com isso” para “temos de minimizar a coleta e o uso de dados e antecipar potenciais riscos com o que estamos fazendo”. Isso é feito por meio dos mecanismos de proteção de dados por design e de avaliações de impacto de risco, que se tornam obrigatórias para determinadas operações.
Uma das grandes novidades é o direito de portabilidade (Art. 20). Ele permite que o titular leve seus dados de um serviço para outro. Isso é importante porque viabiliza condições para que surjam concorrentes a grandes plataformas, que hoje acabam por se beneficiar do fato de que as pessoas acham que vão perder muito ao abandonar um serviço no qual já estão há muito tempo.
Carlos Affonso de Souza
O reforço do papel do consentimento para a coleta e para o tratamento de dados pessoais. Ainda que existam várias limitações aqui e ali, o GDPR procura aumentar o controle que as pessoas devem possuir sobre os seus dados, e que a sua coleta e tratamento por terceiros seja, na maior parte das vezes, uma decisão livre e informada. Um efeito decorrente disso é a demonstração de forma evidente de que vivemos em um mundo permeado de dados (que podem ser dados pessoais) e que a disputa pelo seu controle é um ponto chave para a compreensão sobre o futuro não apenas de modelos de negócio (como o Klout fechando as portas), mas também para a forma pela qual cada um de nós encara a dinâmica e a governança desse verdadeiro “corpo digital” de que dispomos;
Além disso, de forma mais específica, acho que vale lembrar do direito ao esquecimento. Esse tema aparece no GDPR como “direito a ser esquecido” em sua tradução para o português e entre aspas mesmo. O artigo 17 do GDPR trata do tema juntamente com um direito ao apagamento de dados e nessa direção ele parece ser algo diferente do que o Tribunal de Justiça da União Europeia decidiu no caso Costeja, em que buscadores foram obrigados a receber pedidos de desindexação. Será que o chamado “direito ao esquecimento” é algo distinto da dinâmica criada na Europa com os pedidos de desindexação? Quem se enquadra nesse artigo? Provedores de hospedagem poderão ser considerados como alvo de pedidos de esquecimento? São questões que vão depender do tempo para que se possa traçar uma opinião mais clara. De qualquer forma, tudo leva a crer que o GDPR terá um impacto significativo no debate global sobre proteção de dados.
E quais os efeitos para o brasileiro?
Jacqueline de Souza Abreu
Algumas empresas estão renovando suas políticas e práticas para se adequarem à GDPR, trazendo novidades aplicáveis a nível global. Isso porque faz mais sentido e reduz certos custos ter uma mesma operação. Então o brasileiro vai se beneficiar disso. Quando estiver na Europa, dentro da jurisdição da GDPR, dados de cidadãos brasileiros serão protegidos pela legislação europeia.
Carlos Affonso de Souza
A GDPR vai mudar a forma de coletar e tratar dados e seus efeitos serão sentidos para muito além do território europeu. Basta uma empresa brasileira tratar dados de europeus ou ter seus produtos ou serviços oferecidos a europeus como público-alvo. Não deixa de ser uma forma de exportar para além da Europa os seus padrões de coleta e de tratamento de dados.
O GDPR deve guiar leis no resto do mundo?
Jacqueline de Souza Abreu
Certamente. É o novo paradigma e será utilizado como baliza para construção de um modelo para o Brasil e outros países. Mas haverá ainda muita disputa: muitos atores vão ainda dizer que o GDPR espelha tradições europeias que colocam muito peso na privacidade em detrimento de outros interesses, e que países com história e níveis de desenvolvimento distintos precisam de diferentes modelos mais flexíveis.
Carlos Affonso de Souza
Até então, o reconhecimento de adequação de outros países aos standards europeus era restrito (e demorado). O GDPR pode acelerar esse processo até por uma necessidade comercial de intercâmbio entre países não-europeus e a Europa. O Brasil se encontra justamente nesse ponto: prestes a avançar no Congresso com projetos de lei que buscam criar uma Lei Geral de Proteção de Dados, será importante para o país que a solução que vai sair do Congresso possa refletir algumas das principais conquistas do texto europeu. Não se defende aqui uma transposição legislativa irrefletida, mas que seja analisada com cuidado como a nossa futura lei dialoga com a GDPR.
Incompatibilidade de leis
Para a maioria das empresas europeias ou que lidam com dados de cidadãos europeus, a nova lei exigiu adequações que não vieram sem custos.
Diante da maior possibilidade de serem consideradas responsáveis por mau uso de dados pessoais, muitas empresas se agilizaram para refazer seus termos e condições de uso (e, por consequência, buscaram nova aprovação das suas bases de usuários) e renegociar contratos entre outras que compõem a sua cadeia de atividade.
Como apontou a Reuters, empresas que oferecem serviços de armazenamento e processamento de dados (data centers), por exemplo, “serão diretamente responsáveis em caso de sanções e poderão enfrentar processos judiciais de indivíduos, e isso precisa ser refletido nos contratos”.
A entrada em vigor do GDPR, no entanto, pode gerar um impacto negativo em empresas com sede em países sem uma lei específica igualmente robusta. É o caso do Brasil, onde a questão ainda está em discussão no Congresso.
Em abril de 2018, Danilo Doneda explicou as consequências dessa incompatibilidade jurídica para o Brasil.
“Isso vai fazer com que o país perca acesso ao mercado, porque para muitas transações é necessário ter padronização em termos de proteção de dados. Nenhum país europeu vai poder passar dados para o Brasil sem uma legislação minimamente adequada. Isso inviabiliza inclusive o pleito do Brasil a fazer parte da OCDE, porque ela faz uma série de exigências, incluindo padrões normativos sobre proteção de dados. Como está hoje, o Brasil não se adequa aos padrões da OCDE. É uma questão bastante séria.”
O problema extravasa questões de mercado e afeta também autoridades de segurança e práticas de investigação que dependem do compartilhamento de informações de cidadãos entre diferentes países. Por essa razão, o professor de Direito Penal e procurador regional do MPF (Ministério Público Federal), Vladimir Aras, disse ser “imperioso” que o Brasil aprove uma lei com “alguma simetria com o GDPR”.
“Sem o que será muito difícil a coordenação das autoridades nacionais de persecução criminal com órgãos europeus na luta contra a criminalidade grave, sobretudo a transnacional organizada”, escreveu ao UOL. “Este é o patamar da segurança.”