Nova regra exige que os usuários sejam avisados dentro de 72 horas após o vazamento de dados pessoais, além da aplicação de multas

Por  @fsbeling em 25/05/2018 – atualização: 29/06/2018 10:32 em INTERNET

Este é considerado o maior conjunto de proteção à privacidade online já criado desde o início da internet; o GDPR foi aprovado em 2016, porém estava com a sua aplicação suspensa, para período de adaptação.

Confira os 11 principais pontos do Regulamento Geral de Proteção de Dados (GPDR)

  1. Usuários podem, em algumas situações, ver, corrigir ou até deletar as informações que empresas guardam sobre ele;
  2. Empresas devem coletar apenas dados necessários para que seus serviços funcionem;
  3. Coleta e uso de dados pessoais só podem ser feitas com consentimento explícito;
  4. Qualquer serviço conectado tem de conceder ‘direito ao esquecimento’;
  5. Informações de crianças ganham proteção especial;
  6. Clientes que tiverem dados hackeados devem ser avisados em até 72 horas;
  7. Empresas devem informar com linguagem compreensível sua política de proteção de dados;
  8. Infratores são punidos com multa pesada, de € 20 milhões ou 4% do volume global de negócios da empresa;
  9. Dados de europeus podem ser transferidos só para países com lei de proteção de dados equivalente à europeia;
  10. Empresas que tratem dados de europeus têm de seguir a lei europeia caso estejam em países não considerados “portos seguros”;
  11. Grandes processadoras de informação têm de guardar registros sobre todas as vezes em que manipularam dados.

O Advogado português João Pereira Pinto, que auxilia empresas europeias no processo de adaptação a esse novo cenário, disse: “É uma mudança de cultura. Mesmo estando online, nós não podemos perder a segurança ou privacidade”.

Brasil

O GDPR também pode trazer consequências às companhias de tecnologia de todo o planeta, assim como impactar na conduta de muitos internautas, mesmo que seja uma lei aplicada na Europa. Além disso, também pode sofrer penalidades toda e qualquer companhia que manipule dados, em casos de recebimento de informações de europeus.

O que ocorre é que o regulamento europeu possui aplicação extraterritorial, o que significa dizer que os outros países precisam estar em conformidade, sob pena de receber penalidades no caso de vazamento ou de mau uso de dados pessoais. Os efeitos da GDPR podem ser aplicados aos brasileiros em três situações: quando subsidiárias de empresas europeias no Brasil e tratarem de dados de cidadãos europeus e de pessoas que residam na Europa; empresas brasileiras que fizerem ou tiverem alguma transação que envolva dados pessoais com a Europa; empresas brasileiras que não fizerem transação alguma com a Europa, mas que, em algum momento, tratarem dados de europeus, ainda que em solo brasileiro.

Agora, existe também uma quarta situação em que os brasileiros terão relações com empresas regidas pelos termos europeus: é o caso das subsidiárias no Brasil de empresas não-europeias, porém com presença na Europa. Neste processo, estão envolvidas as maiores empresas de tecnologia do mundo, como Facebook, Google, Microsoft, Apple e Twitter.

No caso, estão dividas em dois grupos: aquelas que irão liberar as mudanças para usuários de todos os lugares, como Facebook, Google e Microsoft, e as que farão restrições às alterações a europeus ou selecionarão quais das novas regras levarão a usuários de outros locais, como Twitter e Apple.

A juíza Viviane Maldonado, do Tribunal de Justiça de São Paulo, disse: “O que ocorre é que o regulamento europeu possui aplicação extraterritorial, o que significa dizer que os outros países precisam estar em conformidade, sob pena de receber penalidades no caso de vazamento ou de mau uso de dados pessoaisNão está muito bem esclarecido como vai ser feita a execução da lei, do ponto de vista de alcançar empresas que estão fora da comunidade europeia. Terá que haver uma transposição e também serem usados instrumentos de cooperação.”

Mudanças

Com o GDPR, o chamado “direito ao esquecimento” passa a ser lei e tem sua aplicação ampliada; é obrigatório deletar registros de informações pessoais. Contudo, existe uma ressalva: as empresas poderão manter informações necessárias para propósitos históricos, estatísticos e científicos, para saúde pública ou para exercer o direito de liberdade de expressão.

Para proteção das crianças, o “direito ao esquecimento” possui um capítulo especial para evitar que fiquem expostas à internet. Com isso, todas as redes sociais que queiram contar com crianças entre seus membros terão de pedir consentimento aos pais. Cada país do bloco decidirá a que faixa etária se aplica essa regra, que poderá variar dos 13 aos 16 anos. Sendo assim, o aplicativo de mensagens instantâneas WhatsApp estabeleceu 16 anos de idade mínima para usar o app no bloco comum europeu.

Entre as mudanças, passa a ser exigida a permissão do usuário para começar a coletar os seus dados. Para isso, as companhias deverão receber um “claro e afirmativo” consentimento dos donos dessas informações. Além disso, as empresas terão que criar meios para clientes baixarem um pacote com todo os seus dados armazenados pela mesma. O WhatsApp foi obrigado a criar o seu, Facebook e Google já contavam com esses canais.

Empresas passam a ter prazo de 72 horas para avisar clientes sobre vazamento de seus dados pessoaisEmpresas passam a ter prazo de 72 horas para avisar clientes sobre vazamento de seus dados pessoais

Da mesma forma como funciona atualmente a transferência de dados através da portabilidade de celular, de uma linha para outra, os donos de dados pessoais passam a ter o direito de transferir suas informações de um serviço conectado para outro, sem sofrer qualquer restrição por parte da empresa atual.

Além disso, as companhias também passam a ser obrigadas a alertar os seus clientes assim que tiverem os seus servidores hackeados, os avisando de que suas informações pessoais foram expostas, com prazo para esse aviso de 72 horas, a partir do momento em que tiverem certeza do ocorrido. A regra é válida inclusive para empresas terceirizadas.

Companhias donas de serviços conectados precisam explicar aos usuários através de uma linguagem clara e compreensível quais são as políticas de privacidade de suas ferramentas.

As empresas que quiserem receber, tratar ou processar dados de europeus vão necessitar criar escritórios específicos para proteção de dados, o qual ficará encarregado de analisar se a política da companhia está de acordo com as leis europeias.

Vale ressaltar que a lei é única para todos os países da União Europeia e com poder extraterritorial, envolvendo todos os países e empresas, mesmo que não estiverem dentro do bloco, bastando que mantenham relações com os países membros. Além disso, as empresas europeias deverão contratar somente fornecedores que cumpram a lei.

Multa

Para quem quebrar as novas regras, a União Europeia tornou mais rígida a punição, com € 20 milhões ou 4% do volume global de negócios anual da infratora.