Verbete Draft: o que é GDPR

Isabela Mena - 18 jul 2018
Em vigor desde maio deste ano, a GDPR é uma lei que proíbe o uso de dados pessoais dos usuários da internet da União Europeia sem autorização. Mas ela também impacta países de fora do bloco.
Isabela Mena - 18 jul 2018
COMPARTILHE

Continuamos a série que explica as principais palavras do vocabulário dos empreendedores da nova economia. São termos e expressões que você precisa saber: seja para conhecer as novas ferramentas que vão impulsionar seus negócios ou para te ajudar a falar a mesma língua de mentores e investidores. O verbete de hoje é…

GDPR

O que acham que é: A sigla de um novo time de futebol europeu.

O que realmente é: GDPR, sigla de General Data Protection Regulation (Regulação Geral de Proteção de Dados), é a nova legislação sobre proteção de dados pessoais dos países da União Europeia, em vigor desde 25 de maio deste ano. Em linhas gerais, a GDPR exige que as empresas tenham consentimento explícito dos usuários antes de coletar seus dados. A informação sobre o uso que fazem deles deve ser exposta em linguagem clara e simples. E o usuário pode, sem restrições, cancelar esse consentimento assim como ter acesso a suas informações, copiá-las e exclui-las, se quiser. De acordo com Chiara de Teffé, pesquisadora do Instituto de Tecnologia do Rio de Janeiro (ITS Rio), a GDPR traz uma série de direitos e garantias para as pessoas. “Os dados pessoais devem ser objeto de um tratamento lícito, leal e transparente em relação ao titular. Além disso, o consentimento passa a figurar como elemento principal para autorizar a coleta, devendo ser uma manifestação de vontade, livre, específica, informada e explícita.” Outra regra é que só podem trocar dados com a União Europeia países com nível de proteção compatível com a GDPR.

No Brasil, o projeto de lei sobre dados pessoais foi aprovado pelo Senado na semana passada (em 10 de julho) e segue para sanção de Michel Temer. Para Teffé, o tema tem sido tratado, até agora, de forma pontual em algumas leis nacionais. “O projeto de lei, que felizmente foi aprovado, tem forte diálogo com a GDPR”, diz. No artigo Começa uma nova era para o tratamento de dados no Brasil, publicado na Folha de S.Paulo, o advogado Ronaldo Lemos diz que o PL tem a mesma importância e impacto de leis como o Código de Defesa do Consumidor, a Lei de Crimes Ambientais ou o Marco Civil da Internet. “Tal como elas, provocará uma mudança de comportamento, ao fortalecer direitos e coibir práticas abusivas”, fala. O projeto de lei brasileiro estipula multa de até 2% do faturamento da empresa que descumprir as regras, limitada a 50 milhões de reais por infração. Já a multa da GDPR é de 20 milhões de dólares ou 4% do faturamento global da empresa (o que for maior).

Quem inventou: A GDPR foi proposta pela European Comission, instituição da União Europeia responsável por propor leis e implementar decisões, entre outras atribuições. O texto substituiu a Diretiva 95/46/CE, que até então tratava do tema sem padronização nem força de lei.

Quando foi inventado: A Diretiva 95/46/CE foi criada em outubro de 1995. Em 2011, o European Data Protection Supervisor fez uma recomendação para que se criasse uma lei abrangente e específica sobre o tema. Em maio de 2018, a GDPR entrou em vigor. O The History of the General Data Protection Regulation é uma linha do tempo bem simples e objetiva sobre estes acontecimentos.

Para que serve: Para proteção abrangente e com força de lei dos dados dos usuários. Segundo Humberto Delgado de Sousa, coordenador do curso de defesa cibernética da FIAP, a principal importância da GDPR é impedir que o usuário da internet tenha suas informações coletadas e utilizadas sem seu consentimento para quaisquer finalidades. “Além disso, a lei dá autonomia ao usuários sobre seus dados em relação às empresas.” Para Teffé, o regulamento incentiva uma mudança de mentalidade das empresas no que concerne à transparência e à segurança no tratamento dos dados pessoais de seus usuários: “Há um aumento significativo do nível de responsabilidade em relação à privacidade e à proteção de dados pessoais”.

Quem usa: Os países membros da União Europeia e quaisquer organizações, não importa em que países estejam situadas, cujos bens ou serviços coletem dados pessoais de residentes da União Europeia. Nos Estados Unidos não há um equivalente à GDPR. O que existe são regras estaduais e federais, algumas diferenciando-se bastante entre si, mas sem autoridade central. Cingapura tem o Personal Data Protection Act 2012 (PDPA), lei que protege todos os dados pessoais de uma pessoa até dez anos depois de sua morte. Já a Coréia do Norte, o Personal Information Protection Act (PIPA), de 2011, uma das leis de privacidade de dados mais fortes da Ásia, que incide até sobre a imagem ou a voz de uma pessoa. Neste link é possível conhecer as leis de cada país, quando há, assim como a gradação de sua força (heavy, robust, moderated e limited).

Efeitos colaterais: Com a lei, cria-se o risco de haver sequestro de dados de usuários com ameaças às empresas que os detêm por meio do chamado Ransomhack. “Com o vazamento de dados, as empresas teriam que pagar a multa alta imposta pela GDPR e os hackers usam essa estratégia para ameaçá-las pedindo, em troca, um valor menor”, diz Souza.

Quem é contra: Empresas que gostariam de continuar coletando e tratando dados de forma irrestrita, já que é mais lucrativo.

Para saber mais:
1) Leia, na Folha de S.Paulo, Começa uma nova era para o tratamento de dados no Brasil, texto de Ronaldo Lemos sobre o projeto de lei de proteção de dados brasileiro.
2) Leia, no The Washington Post, The Cybersecurity 202: Why a privacy law like GDPR would be a tough sell in the U.S. O texto dá algumas razões pelas quais, acredita o autor, não é possível haver uma GDPR nos Estados Unidos.
3) Leia, no Guardian, What is GDPR and how will it affect you? O texto traz um apanhado de informações interessantes (e em tópicos).

COMPARTILHE

Confira Também: