Lei da União Europeia que protege dados pessoais entra em vigor e atinge todo o mundo; entenda

Sexta-feira, 25 de maio de 2018

Nova regra exige que vazamento seja avisado em 72 horas e impõe multas duras; apesar de europeia, lei afeta do Facebook ao Google e até empresas no Brasil.

por Helton Simões Gomes, G1

Cadeado circundado pelas estrelas que representam a União Europeia. (Foto: Dado Ruvic/Reuters)Cadeado circundado pelas estrelas que representam a União Europeia. (Foto: Dado Ruvic/Reuters)

A nova lei de proteção de dados pessoais da União Europeia, que começa a valer nesta sexta-feira (25), tem poder de afetar a vida de todas as empresas e usuários que tiverem relações com o bloco europeu.

O Regulamento Geral de Proteção de Dados (GPDR, na sigla em inglês) é a mais dura reação do bloco europeu à espionagem em massa promovida pelo governo dos Estados Unidos, que compartilhava informações com outros países, como o Reino Unido. Revelado em 2013 por Edward Snowden, ex-analista da CIA, o escândalo ajudou a impulsionar a revisão da lei que havia começado no ano anterior.

Maior conjunto de proteção à privacidade online já criado desde o início da internet, o GDPR tinha seus efeitos suspensos desde 2016, quando foi aprovado, justamente para que companhias se adaptassem a ele.

Veja os 11 principais pontos do GDPR:

  1. usuários podem, em algumas situações, ver, corrigir ou até deletar as informações que empresas guardam sobre ele;
  2. empresas devem coletar apenas dados necessários para que seus serviços funcionem;
  3. coleta e uso de dados pessoais só podem ser feitas com consentimento explícito;
  4. qualquer serviço conectado tem de conceder ‘direito ao esquecimento’;
  5. informações de crianças ganham proteção especial;
  6. clientes que tiverem dados hackeados devem ser avisados em até 72 horas;
  7. empresas devem informar com linguagem compreensível sua política de proteção de dados;
  8. infratores são punidos com multa pesada, de € 20 milhões ou 4% do volume global de negócios da empresa.
  9. dados de europeus podem ser transferidos só para países com lei de proteção de dados equivalente à europeia;
  10. empresas que tratem dados de europeus têm de seguir a lei europeia caso estejam em países não considerados “portos seguros”.
  11. grandes processadoras de informação têm de guardar registros sobre todas as vezes em que manipularam dados.

Efeitos no Brasil

Ainda que seja direcionado a europeus e a pessoas de outras nacionalidades que morem na Europa, o GDPR tem potencial de impactar internautas e empresas de tecnologia de todo planeta. Mas não só. Toda e qualquer companhia que manipule dados pode ser impactada, caso guarde ou receba informações de europeus. Isso inclui desde instituições financeiras até pousadas ou restaurantes em pontos turísticos.

A pedido do G1, o advogado Renato Ópice Blum, do escritório de mesmo nome e professor de Proteção de Dados do Insper, listou três situações em que os efeitos da GDPR valerão para brasileiros:

  • subsidiárias de empresas europeias no Brasil que tratem dados de cidadãos europeus e pessoas que residam na Europa;
  • empresas brasileiras que fizerem ou tiverem alguma transação que envolva dados pessoais com a Europa;
  • empresas brasileiras que não fizeram transação alguma com a Europa, mas, em algum momento, tratarem dados de europeus, ainda que em solo brasileiro.

O caso das subsidiárias no Brasil de empresas não-europeias mas com presença na Europa é uma quarta situação em que os brasileiros verão seu relacionamento com empresas conectadas regidos pelos termos europeus, ainda que indiretamente.

Nesse caso, porém, a extensão das adaptações ao GDPR para brasileiros é opcional. Nessa categoria, estão as maiores empresas de tecnologia do mundo, como Apple, Facebook, Google, Microsoft e Twitter.

Elas se dividem em dois grupos: o das que vão liberar as mudanças para usuários de todos os lugares, como Facebook, Google e Microsoft, e o dos que restringirão as alterações a europeus ou selecionarão quais das novas regras levar a usuários de outros locais, como Twitter e Apple.

União Europeia aprova nova lei de proteção de dados pessoais. (Foto: Divulgação/União Europeia)União Europeia aprova nova lei de proteção de dados pessoais. (Foto: Divulgação/União Europeia)

União Europeia aprova nova lei de proteção de dados pessoais. (Foto: Divulgação/União Europeia)

Incerteza

As empresas brasileiras que tiverem de cumprir as regras mas não o fizerem estão sujeitas às sanções previstas na lei.

“O que ocorre é que o regulamento europeu possui aplicação extraterritorial, o que significa dizer que os outros países precisam estar em conformidade, sob pena de receber penalidades no caso de vazamento ou de mal uso de dados pessoais”, afirma a juíza Viviane Maldonado, do Tribunal de Justiça de São Paulo.

Não está definido, porém, nem para as entidades judiciais brasileiras como isso ocorrerá.

“Não está muito bem esclarecimento como vai ser feito a execução da lei, do ponto de vista de alcançar empresas que estão fora da comunidade europeia”, diz a magistrada. “Terá que haver uma transposição e também serem usados instrumentos de cooperação.”

A discussão no Brasil sobre um projeto nesse sentido começou em 2011, mas até agora não há uma regra para proteger dados pessoais, ainda que dois projetos estejam tramitando na Câmara e no Senado. Ainda que de forma limitada, o Marco Civil da Internet estabelece regras para uso de informações pessoais por parte de empresas conectadas.

Especialistas atestam que a ausência de uma lei de proteção de dados no Brasil cria complicações para empresas instaladas no país que fazem processamento intensivo de dados de europeus. Elas terão que criar procedimentos para respeitar as regras da GDPR. “Aí tem que ser feito contrato a contrato”, comenta Ópice Blum. “Ou seja, burocratiza mais, encarece um pouquinho e por tabela pode desestimular [negócios no Brasil].”

União Europeia cria regras para proteger dados na Internet

União Europeia cria regras para proteger dados na Internet

‘Porto seguro’

Pelo menos, oito dos vizinhos brasileiros já possuem lei de proteção de dados pessoais. Isso, no entanto, não dá a eles carta branca para receber dados europeus, já que a União Europeia não considera “portos seguros” todo país que dispõe de uma dessas camadas de proteção, diz o advogado português João Ferreira Pinto.

“No que diz respeito ao nível de proteção adequado da União Europeia, existem hoje 15 países que estão de acordo com a lei europeia anterior. Agora, com a entrada em vigor do GDPR, tem que haver uma nova adequação para ver se essas leis estão de acordo.”

Entre essas nações, por exemplo, estavam os Estados Unidos. O país foi um dos motores que acelerou o processo da nova lei europeia. “Foi precisamente o escândalo Snowden que levou a discussão ao Tribunal de Justiça Europeu das práticas de segurança e respeito à proteção de dados pessoais de entidades norte-americanas como a NSA, mas também as do Reino Unido.”

O ex-agente da CIA revelou que a agência de espionagem norte-americana obtinha ordens judiciais secretas para ter acesso a serviços conectados, com o objetivo de abastecer um sistema de monitoramento em massa. As plataformas que faziam parte do esquema incluíam de redes sociais a aplicativos de jogos.

Veja abaixo o que muda:

Direito ao Esquecimento

Em 2014, o Tribunal de Justiça da União Europeia decidiu que ferramentas de busca na internet, como Google e Bing (Microsoft), deveriam excluir de seus resultados os links contestados por cidadão europeus. As reclamações seriam acatadas desde que as páginas exibidas contivessem informações pessoais desatualizadas ou imprecisas.

Com o GDPR, o chamado “direito ao esquecimento” o deixa de ser uma decisão da Justiça, passa a ter peso de lei e a ter sua aplicação ampliada: são obrigados a deletar registros de informações pessoais todos os serviços que lidam com dados das pessoas, o que inclui redes sociais como o Facebook, além de meios de pagamento e serviços de turismo.

A exclusão é a norma, com a ressalva de que as empresas poderão manter informações “necessárias para propósitos históricos, estatísticos e científicos, para saúde pública ou para exercer o direito de liberdade de expressão”.

Proteção para crianças

O “direito ao esquecimento” possui um capítulo especial para proteger crianças, para evitar a exposição excessiva delas na internet. Além disso, redes sociais que queiram contar com crianças entre seus membros terão de pedir consentimento aos pais. Cada país do bloco decidirá a que faixa etária se aplica essa regra, que poderá variar dos 13 aos 16 anos. Isso fez o WhatsApp estabelecer em 16 anos a idade mínima para usar o app no bloco comum europeu.

Permissão para uso de dados

Antes de processar os dados pessoais de qualquer cidadão, as empresas deverão receber um “claro e afirmativo” consentimento dos donos dessas informações. A permissão tem de ser pedida antes de o serviço ser usado e começar a coletar dados.

Os donos de dados pessoais passam a ter o direito de transferir suas informações de um serviço conectado para outro, sem sofrer qualquer restrição por parte da empresa atual. Isso deve ocorrer de forma similar à portabilidade de número de celular, em que é possível manter a mesma linha mesmo mudando de operadora de telefonia. As empresas têm de criar meios para clientes baixarem um pacote com todas os dados armazenados por ela. Facebook e Google já tinham canais para isso, mas o WhatsApp foi obrigado a criar o seu.

Aviso a clientes hackeados

As empresas passam a ser obrigadas a avisar clientes de seus serviços todas as vezes que tiverem seus servidores comprometidos por hackers, e informações pessoais sejam expostas. Além disso, elas ganharam um prazo para isso: 72 horas desde quando tomaram ciência do vazamento. A regra vale inclusive se os sistemas hackeados forem os de empresas terceirizadas.

Linguagem compreensível

Companhias donas de serviços conectados têm de explicar em linguagem clara e compreensível quais são as políticas de privacidade de suas ferramentas.

Escritório de proteção de dados

As empresas que quiserem receber, tratar ou processar dados de europeus terão que criar escritórios de proteção de dados. Essa área será responsável por analisar se a política da companhia está de acordo com as leis europeias.

Para quem vale

A lei é única para todos os países da União Europeia e com poder extraterritorial, ou seja, vale para todos os países e empresas, mesmo que não estiverem dentro do bloco, que mantiverem relações com os países membro.

Transferência de dados

As informações de europeus só podem ser transferidos para empresas que estiverem em países com leis de proteção de dados equivalente às da União Europeia. Ainda que isso não ocorra, essas companhias podem adotar uma série de práticas para estarem de acordo com o GDPR. As empresas europeias, por sua vez, serão cobradas para apenas contratar fornecedores que cumpram a lei.

Multa pesada para infratores

A União Europeia tornou mais rígida a punição para firmas que quebrarem as novas regras. As multas são o que for maior: € 20 milhões ou 4% do volume global de negócios anual da infratora.