Você sabe o que é GDPR? Veja o que e como pode impactar no E-commerce brasileiro.

O que é GDPR?

Não é coincidência a enxurrada de emails que você anda recebendo sobre mudanças nos termos de uso de diversos apps e sites onde você tem conta. Passa a vigorar nesta sexta-feira (25) o Regulamento Geral de Proteção de Dados (GDPR, da sigla em inglês). Mas o que raios significa essa sopa de letrinhas?

O GDPR é uma lei aprovada em 2016, que regulamenta a proteção dos dados de pessoas físicas que estão nos 28 países da União Europeia, Noruega, Islândia e Liechtenstein (três membros do Espaço Econômico Europeu). E essa nova legislação está forçando mudanças na maneira como empresas lidam com os dados de seus usuários – é sobre isso que você está sendo comunicado nos emails das últimas semanas.

Você pode pensar, “ah, é uma lei europeia, isso não nos afeta em nada”. Errado. A lei deve ter impactos globais já que muitas das mudanças aplicadas na Europa serão levadas também para usuários de outros países – o regulamento deve ser uma inspiração global para leis de proteção de dados. E a conversa vai muito além de Google e Facebook. Diversos setores serão afetados, entre eles estão hotéis, bancos, lojas virtuais, agências de marketing digital, hospitais e instituições de ensino.

Além disso, qualquer empresa do mundo, incluindo as brasileiras, com atuação na Europa deverá se adequar ao regulamento. Ou seja, a nova lei protege qualquer pessoa na União Europeia, mesmo os que não são cidadãos, e se aplica a qualquer empresa que lida, monte perfis e direciona serviços e ofertas a pessoas que estejam no velho continente.

Com o GDPR, você poderá:

Saber para que seus dados serão usados


O grande lance do GDPR é que ele dá direitos às pessoas no que diz respeito à proteção e controle de seus dados pessoais. Com ele, as pessoas têm direito de saber se seus dados serão usados para gerar propagandas, se as informações serão geradas para construir perfis ou se as empresas que coletam dados venderam esses dados a terceiros.

Acessar, alterar e excluir dados 
E não é só isso.

“O usuário terá o direito de acessar, alterar ou excluir os seus dados que foram fornecidos às empresas”, explica Gisele Truzzi, advogada especialista em Direito Digital, fundadora de Truzzi Advogados. É por conta disso que o Facebook e o Twitter fizeram mudanças em suas configurações de conta, permitindo que o usuário desabilite funções, requisite seu histórico de dados, peça retificações nos registros de dados pessoais ou mesmo exija a exclusão das informações armazenadas.

Receber termos de uso mais simples


A lei coloca maiores responsabilidades aos encarregados pela coleta de dados, que não podem simplesmente assumir que os usuários estão de acordo com suas políticas de privacidade e termos de uso. Ou seja, as empresas não podem mais despejar páginas de textão incompreensível. As informações deverão ser apresentadas de forma clara e o usuário terá de concordar com os propostos – em alguns serviços você terá que apertar o botão “Eu concordo” mais de uma vez. Agora, a decisão final sobre como os dados serão utilizados passa para as mãos dos usuários.

Só dar dados essenciais para apps e sites


Além disso, as empresas deverão pedir apenas os dados essenciais para o funcionamento do seu serviço. Pense naquele app maroto de Facebook que pedia email, fotos e acesso aos contatos. Se o funcionamento dele depende apenas de email, ele não pode mais exigir as outras informações.

Você pode ser “esquecido” ou “pedir mudança” para empresas

Levar os dados para a concorrência

Entre os diversos direitos introduzidos pelo GDPR, dois se destacam, em especial. Um é o direito à portabilidade – que, na prática, funciona com a mesma lógica de migrar de uma operadora de telefonia a outra. Ou seja, você pode retirar seus dados e levá-los a um concorrente. Porém, segundo Caio César Carvalho Lima, sócio do escritório Opice Blum Advogados, ainda não há consenso como isso funcionará. Poderá o usuário levar tudo do Instagram para o Twitter ou só uma parcela do que a empresa tem armazenado?

Pedir para apagar tudo 


O segundo direito refere-se ao direito ao esquecimento. Só cuidado com nome enganoso. Ele não serve para que o Google omita resultados de sua ferramenta de buscas. Na verdade, ele obriga a empresa a apagar tudo o que tiver sobre a pessoa caso isso seja solicitado pelo próprio usuário.

Quais os dados estão protegidos (ou não) pela lei?

Até no papel

Mesmo que um dado pessoal tenha sido coletado fora do mundo digital, como nome e endereço anotados num caderno (ou até num guardanapo), ele está protegido por lei caso passe a integrar o banco de dados de uma empresa.

Privacidade na criação

O GDPR passa a exigir que os desenvolvedores de tecnologia tenham a privacidade como um parâmetro inicial na criação de seus produtos – são os conceitos privacidade por padrão (“privacy by default”) e privacidade por design (“privacy by design”).

A desculpa dada por Mark Zuckerberg ao congresso americano de que ele estava apenas criando um pequeno site no seu dormitório universitário não vai mais colar.

Com esse princípio, espera-se que os dados, em especial os chamados pessoais sensíveis, não possam ser usados como elementos de barganha por empresas. Imagine, por exemplo, se um convênio consegue informações da pressão cardíaca de pessoas que usam um smartwatch. Eventuais irregularidades nos batimentos seriam conhecidas pelos planos de saúde, que poderiam usar isso para encarecer serviços ou mesmo retirar a oferta.

Com a privacidade concebida desde o início, os dados gerados por smartwatch estariam melhor protegidos de agentes com interesses escusos. A ideia da privacidade por design é proteger a sociedade numa era de atividades econômicas baseadas em dados

Violações de dados devem ser notificadas – e rápido

As empresas responsáveis pelo tratamento dos dados devem ser ligeiras em qualquer tipo de violações. O GDPR enxerga três tipos de situação, que devem ser abordados de formas distintas.

Se um eventual vazamento ou perda de dados ocorrer, mas não colocar em risco os direitos e liberdades dos titulares dos dados, não há necessidade de avisar a ninguém. Caso haja algum risco, o responsável pelo tratamento deve notificar a autoridade de proteção de dados em até 72 horas após o conhecimento dos fatos – se levar mais do que isso, uma justificativa será necessária.

As pessoas deverão ser informadas em caso de risco elevado, seguindo a mesma regra das 72 horas. Já a empresa deverá alertar os titulares com uma linguagem clara e simples, além de orientá-los para atenuar os efeitos da violação. Estivesse em vigência na época do caso da Cambridge Analytica, o Facebook teria tido três dias para avisar os usuários do roubo de seus dados.

Multas bilionárias

É difícil impor uma punição que incomode empresas do tamanho de Google e Facebook. Com essas corporações gigantes em mente, o GDPR estabeleceu apenas dois patamares de multas em casos de violações da lei.

Existe a “leve”, de 10 milhões de euros ou 2% do faturamento anual (o que for maior), e a mais pesada, de 20 milhões de euros ou 4% do faturamento anual (o que for maior). A distinção é feita com base na natureza, gravidade e duração da violação aos dados pessoais.

Olhando para os números de 2017, isso significa que caso recebesse punição máxima, o Google teria que desembolsar US$ 4,4 bilhões.

No entanto, ainda há espaço para dúvida se existirão advertências ou punições menos ostensivas.

Quanto à eventual flexibilidade no cumprimento da nova lei, só após sua entrada em vigor é que saberemos dizer como a União Europeia tratará desse assunto: se será complacente com pequenas violações, impondo somente alguma advertência em caso de infrações menores, ou se tratará toda e qualquer violação com multa pecuniária.

Como as empresas estão se adaptando


WhatsApp


Ao contrário de outras empresas, o WhatsApp adotará atalhos para se adequar ao GDPR, restringindo alterações a usuários europeus. Questionado pelo UOL Tecnologia, o app encaminhou uma postagem do blog oficial com informações sobre atualização de seus termos de serviço e política de privacidade, aplicável somente para a União Europeia. Entre as mudanças exclusivas à região o aumento da idade mínima para o uso do app de 13 a 16 anos. Uma novidade global é a possibilidade de baixar todos os dados que a empresa tem sobre você.

Facebook

O Facebook atualizou termos e se articulou para evitar problemas com dados de não-europeus, movendo os dados de 1,5 bilhão de seus mais de 2 bilhões de usuários para fora da Irlanda, onde a rede social tem uma subsidiária. Apesar da manobra, a empresa estendeu as atualizações aos usuários do resto do mundo. Zuckerberg disse na terça-feira (22) que quer ir além das exigências do GDPR para cuidar da privacidade de seus usuários. O caso da Cambridge Analytica poderia custar US$ 1,6 bilhão à empresa, 4% do faturamento de 2017. Aos curiosos, é possível saber quais dados o Facebook tem sobre você.

Instagram


Outra propriedade do Facebook, o app de compartilhamento de fotos trouxe atualizações globais a seus termos de uso, que trouxeram um pedido de renovação de consentimento de forma expressa por parte do usuário, já que a empresa trata de dados sensíveis. Para atender ao GDPR, a rede social também introduziu uma ferramenta para o download de todos os dados do usuário, para que ele possa levar todas essas informações a outra plataforma, se preferir.


Apple

A Apple adaptou seus produtos e serviços ao GDPR nas atualizações 11.3 do iOS, 10.13.4 do macOS e 11.3 da tv OS, que deixaram os sistemas operacionais mais transparentes e deram maior controle de restrição aos usuários quanto aos dados cedidos. Também foram introduzidas opções de obter uma cópia de todos os dados pessoais e até de deleção de contas.

Google


Segundo o executivo-chefe Sundar Pichai, o Google está em processo de adequação ao GDPR há 18 meses. Em conversa com investidores, Pichai explicou que a empresa está “engajada” para chegar nesta dia 25 de acordo com a lei. A empresa alterou os termos do serviço AdWords, atualizou política de privacidade e criou ferramentas que permitem a portabilidade dos dados dos usuários a outros serviços. Antes mesmo disso, já era possível descobrir e apagar as informações que o Google tem sobre você.


Outros

A Microsoft, que em 2017 teve mais do que o dobro do faturamento do Facebook, informou que irá estender a todo o mundo as atualizações de privacidade feitas para o GDPR – mais de 1,6 mil de seus engenheiros trabalharam em projetos relacionados à lei. O Spotify adotará postura semelhante e diz que lançará um centro de privacidade para os usuários, enquanto o Uber minimizará os dados de histórico de viagens apresentados a motoristas, para aumentar a privacidade dos passageiros.

Em vez de se adequar, fugir

Fim de atividades


O Klout, rede social que agregava dados de outras redes sociais para dar uma nota à presença online do usuário, fechará as portas precisamente no dia 25 de maio. Via um porta-voz, a Lithium, proprietária da plataforma, explicou ao site “TechCrunch” que “a data da implementação do GDPR apenas acelerou nossos planos de fechar o Klout”. Está também foi a alternativa encontrada pelo jogo “Super Monday Night Combat”, que preferiu fechar a pagar os custos jurídicos e tecnológicos para se adaptar à lei.

Bloqueio ao europeu


A desenvolvedora americana Gravity Interactive, responsável pelo jogo “Ragnarok”, informou que sua plataforma online WarpPortal passará a bloquear usuários europeus. Embora o texto não cite expressamente o GDPR, ele explica que no dia 25 de maio os usuários de todos os países europeus, exceto a Rússia e nações da Comunidade dos Estados Independentes, terão o acesso proibido. Desta forma, a empresa não terá que se adaptar ao regulamento, nem responder pelas exigências legais dele.

Uma pausa nos serviços


O Instapaper anunciou uma interrupção temporária de seus serviços a usuários na Europa. De propriedade da rede social Pinterest, o app oferece aos usuários a opção de armazenar links para que estes sejam lidos posteriormente. Brian Donohue, gerente de engenharia do Instapaper, tem respondido a seguidores do Twitter que a empresa busca restaurar o serviço o quanto antes e que ela tem comprometimento com a privacidade de seus usuários.

Brasil terá que se adequar

Pela característica transnacional do GDPR, qualquer empresa brasileira que tenha clientes, fornecedores ou parceiros alocados Europa deverá respeitar o regulamento, caso contrário estará sujeita às punições previstas em lei.

Não importa se for um hotel, banco, e-commerce, agência de marketing digital, hospital: se serviços forem oferecidos – mesmo via uma plataforma terceira como Booking ou Trivago – tendo como público-alvo pessoas na Europa, ou dados destas sejam usados para fins comerciais, o GDPR já é válido.

As empresas enquadradas neste contexto deverão, entre outras coisas, requisitar o consentimento dos usuários, contratar ou nomear um funcionário responsável pelo tratamento de dados e adotar medidas para proteger a privacidade das informações dos clientes.

Além das empresas brasileiras, a legislação nacional deve se adequar o quanto antes ao GDPR, pois a falta de uma regulamentação com um rigor equivalente ao europeu atrapalhara o trânsito de dados entre nosso país e a União Europeia.

Casos brasileiros

Um brasileiro com dupla nacionalidade europeia, no Brasil

Aquele brasileiro que tiver o passaporte vermelhinho da União Europeia não está sob proteção do GDPR deste lado do oceano Atlântico se os seu dados não estão sob o domínio de companhias vigiadas pelo GDPR. A lei diz expressamente que a aplicação é a quem está na Europa, seja residente, estrangeiro ou até mesmo turista. Por aqui, valem as leis brasileiras. Ou seja, um plano de saúde nacional não precisa se adaptar aos clientes com dupla cidadania.

A empresa que, por acaso, oferecer serviço a um europeu

Uma pequena pousada do interior de MG recebe de surpresa um alemão. Com isso, armazena alguns dados do cliente. A princípio, o simples ato da coleta não deve enquadrar a empresa dentro do GDPR. Só que se a pousada oferece hospedagem ao mercado europeu por meio de sites e agências de turismo, deverá se adequar. Já um grande hotel do Rio de Janeiro, que certamente faz anúncios e recebe europeus com frequência, dificilmente não terá que se adaptar.

O inverso: dados de pessoas no Brasil tratados por europeus

Nesse caso, o GDPR não importa. O que vale é o Marco Civil da Internet, que tiver mecanismos semelhantes para cobrar o cuidado de empresas estrangeiras com o uso de dados de brasileiros. “O Marco Civil da Internet prevê que, a partir do momento que qualquer empresa coleta dados no Brasil, seja ela onde estiver, ela tem que cumprir a legislação brasileira. O GDPR não tem jurisdição. Não é coincidência a enxurrada de emails que você anda recebendo sobre mudanças nos termos de uso de diversos apps e sites onde você tem conta.

Deixar um Comentário