GDPR: o que é e como ela pode influenciar as empresas no Brasil?

A GDPR já é uma realidade e, mesmo sendo uma regulamentação feita principalmente para proteger os dados e a privacidade dos cidadãos europeus, ela impacta também pessoas e empresas brasileiras — não só aquelas com operações internacionais.

O conjunto de regras determinado pela GDPR é rigoroso e muda a forma com que sistemas devem passar a tratar os dados dos usuários de todo tipo de serviço informatizado, o que significa também uma transformação no trabalho dos desenvolvedores.

Neste artigo explicaremos melhor o que é a GDPR, o que muda para as empresas e os desenvolvedores brasileiros e quais devem ser suas consequências no longo prazo. Boa leitura!

O que é a GDPR?

A sigla GDPR é uma abreviação de General Data Protection Regulation, termo que pode ser traduzido para Regulamento Geral de Proteção de Dados. Trata-se de um conjunto de leis aprovado na União Europeia que determina regras e normas que precisam ser seguidas por empresas que lidam com dados de cidadãos europeus em plataformas e páginas da web.

Inicialmente proposta em 2012, na esteira de ataques de hackers devastadores — como aquele em que dados sensíveis de mais de 100 milhões de usuários do Playstation, da Sony, vazaram em 2011 —, a GDPR foi finalmente aprovada em 2016 e passou a valer em maio de 2018.

Nesse meio tempo, a proteção de dados se tornou algo cada vez mais estratégico, à medida que muitas empresas informatizaram suas operações e seus serviços.

Quais são as principais regras da GDPR?

A essência da GDPR é que o usuário passa a ter mais direitos e transparência em relação aos dados que fornece para empresas. Cada pessoa passa a poder definir quais dados o serviço que ela está utilizando tem acesso, incluindo a possibilidade de requisitar que eles sejam apagados do banco de dados da empresa sem nenhum tipo de dor de cabeça.

Outro direito importante é que o usuário agora pode fazer a portabilidade dos seus dados, ou seja, movê-los integralmente de uma empresa para outra, sem a perda de nenhuma informação.

Também vale destacar que com a GDPR o consentimento de fornecimento de dados deve ser algo feito por uma ação afirmativa e sem nenhum tipo de indução. Ou seja, o usuário deve ser informado do que será coletado e para isso terá que consentir, o que não pode nem mesmo ser feito com uma caixa de marcação pré-selecionada.

Se qualquer tipo de violação por terceiros afetar o sistema da empresa, ela é obrigada a notificar os usuários em no máximo 72 horas após a descoberta do problema.

As multas para quem descumpre as normas da GDPR são pesadas e podem chegar a 4% da receita global anual da empresa ou 20 milhões de euros, o que for maior.

Por enquanto, as normas da GDPR são obrigatórias apenas quando cidadãos dos países da União Europeia estão envolvidos, mas a regulamentação já inspira iniciativas similares ao redor do mundo.

O que muda com a GDPR para empresas brasileiras?

Para as empresas brasileiras que atuam em países da União Europeia, a adequação às normas da GDPR é inevitável, mas mesmo quem não opera no velho continente já deve começar a sentir os impactos dessa mudança.

Como é mais simples para as empresas globais que as novas regras valham para todos os seus usuários, estejam eles na Europa ou não, boa parte dos serviços mais populares como a Amazon, o Facebook, o Google e outras ferramentas já aderiram à GDPR, o que significa que as empresas que utilizam serviços como a AWS e o Facebook Ads já são indiretamente afetadas.

Além disso, a expectativa é que a GDPR incentive o surgimento de regulamentações similares em outros países no mundo. No Brasil, o Marco Civil da Internet, ou Lei N° 12.965/14, já determina algumas normas de proteção de dados em seu artigo 3°, mas ainda de forma bem branda se comparada à GDPR.

Na prática, a mudança da GDPR afeta relativamente pouco os brasileiros, mas mesmo assim é recomendável que as empresas e os desenvolvedores comecem a adaptar suas práticas para uma nova realidade sobre a proteção de dados.

Quem deve se adaptar às novas regras da GDPR?

O prazo para se adequar à GDPR foi bem extenso: desde a aprovação da lei, em 2016, até sua efetivação, em 2018, passaram-se dois anos. Nesse período, boa parte das empresas com operações expressivas na União Europeia trabalhou duro para entrar na linha. Em alguns casos, o investimento em euros chegou a ser milionário.

O mesmo não pode ser dito de organizações com operações menores e que não têm como público o cidadão europeu, mas que operam globalmente e podem ocasionalmente interagir com esse tipo de usuário.

Se um europeu acessa o site de uma empresa brasileira que vende apenas para o Brasil e seus dados são armazenados de alguma forma na interação com a página, em teoria seria obrigatório que as regras da GDPR fossem observadas, mas na prática é improvável que esse tipo de ocorrência seja fiscalizada.

Por outro lado, as empresa que pretendem iniciar negócios na UE ou que já contam com operações por lá devem aderir ao regulamento com urgência, para evitar as pesadas multas e outras consequências graves.

Para quem está começando um empreendimento digital, a dica é já observar esses princípios de privacidade do usuário desde o começo, como forma de evitar gastos extras no futuro e ao mesmo tempo operar de maneira mais ética.

Em linhas gerais, a GDPR pode parecer restritiva e muito dura, mas a verdade é que a disponibilidade de dados pessoais se tornou um ativo estratégico que não pode ser mais encarado com desleixo pelos poderes públicos.

Com muitas informações sobre os consumidores e nenhum tipo de restrição sobre o que fazer com elas, a sociedade fica vulnerável não apenas às manipulações mercadológicas como as feitas por empresas inescrupulosas, mas também a ações políticas que podem desestabilizar a democracia de um país.

Gostou de aprender mais sobre a GDPR? Fique por dentro de mais conteúdos como este curtindo nossa página no Facebook e acompanhando as novidades por lá!