*Por Ricardo Rodrigues, cofundador da Social Miner

Entrou em vigor nesta última sexta-feira (25) a chamada General Data Protection Regulation (GDPR). Já valendo em toda a União Europeia, a regulamentação foi criada para proteger cidadãos europeus da exposição de informações pessoais. Apesar de não possuir força legal sobre empresas no Brasil que não lidem com residentes da UE, algumas companhias nacionais já estão saindo à frente e atualizando suas políticas de privacidade.

Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga

Mas, afinal, do que trata essa nova lei?

A GDPR aparece num momento em que explodiram diversos escândalos envolvendo o vazamento de dados, sendo o caso do Facebook e Cambridge Analytica o mais recente. O objetivo da norma é oferecer mais segurança aos usuários de serviços que compartilham suas informações pessoais.

Para isso, a nova lei exige que as empresas trabalhem com mais cuidado e transparência no processamento de dados, sendo ainda mais rígida em alguns casos que envolvem informações sensíveis, como aquelas sobre orientação sexual, opinião política, dados biométricos e genéticos, de religião, vínculos com sindicatos e antecedentes criminais.

E o que são dados pessoais relevantes, pela GDPR?

Segundo a norma, no caso dos sites, um usuário só é considerado como uma pessoa que compartilha dados pessoais e está, portanto, protegido pela lei, quando se torna possível vincular suas informações ao seu endereço de IP ou quaisquer outros dados de comportamento de navegação. Ou seja, tais dados somente possuem essa proteção quando for possível determinar quem é a pessoa que navegou pela página.

Nesse sentido, dados de catálogo, database e quaisquer informações que apenas deixem um rastro de navegação e não identifiquem, de fato, uma pessoa, não são objetos dessa legislação. Para um e-commerce, por exemplo, esse registro de comportamento de navegação não seria considerado um dado pessoal caso o usuário não se identificasse por nome, e-mail ou algum plugin de vínculo com redes sociais.

E quais são os direitos dos usuários?

Para estar de acordo com a legislação, as empresas devem saber que usuários protegidos pela GDPR têm direitos que podem ser exercidos a qualquer momento. Para que isto ocorra, basta que as pessoas visitem um website e vinculem sua navegação e dados pessoais àquela página – seja através de canais opt-in, e-mail ou redes sociais.

Seguem os direitos que o usuário tem sobre seus dados coletados, segundo a GDPR:

– O usuário tem o direito ser informado sobre quais dados são processados e concordar (ou não) com a coleta dessas informações;
– O usuário tem o direito a ter acesso às informações coletadas e processadas pelas empresas;
– Se existirem divergências nos dados processados, o usuário tem o direito de solicitar o ajuste de qualquer informação equivocada que tenha sido armazenada;
– É direito do usuário pedir que os seus dados armazenados até então sejam deletados;
– Direito do usuário a que se processe o mínimo possível de informações;
– O usuário tem o direito a ter acesso a seus dados em um formato possível de ser reutilizado;
– O usuário possui o direito de proibir a coleta e o processamento de novos dados;
– O usuário pode, ainda, contestar permissões feitas por meios automatizados ou elaboração de perfis, caso essas decisões tenham algum efeito jurídico ou outro igualmente significativo.

Como esses dados serão protegidos?

Empresas que controlam e processam dados devem decidir sobre como essas informações serão coletadas e, a partir disso, criar bases legais para se proteger. Por isso, é bom ficar atento aos sete princípios que norteiam a GDPR:

1) Dados pessoais devem ser processados de maneira legal, justa e transparente;
2) Dados pessoais devem ser coletados para razões específicas, explícitas e legítimas;
3) Dados pessoais devem ser adequados ao uso para o qual se destinam e mantidos de forma mínima;
4) Dados pessoais devem ser precisos e atualizados;
5) Dados pessoais não devem ser mantidos por mais do que o necessário;
6) Dados pessoais devem ser processados de uma maneira que garanta a segurança dos usuários;
7) As empresas que trabalham com o controle desses dados devem ser responsáveis e estarem em compliance com os princípios anteriores.

E o que acontece com quem violar essas regras?

A GDPR apresenta penalidades diferentes para as empresas que violarem a lei, de acordo com a gravidade do incidente. As multas podem ir de 2% a 4% do faturamento global da empresa, ou de € 10 milhões a € 20 milhões.

E o que isso representa para o Brasil?

Como podemos ver, essas normas estão se tornando cada vez mais relevantes para o mercado. No Brasil, o tema já está quente e sendo, inclusive, debatido nas Casas Legislativas. Assim, é importante ficar atento e por dentro das alterações, para já estar preparado quando normas como as da GDPR virarem lei por aqui também.

Leia mais
7 regras para aumentar a proteção online
Termos de uso: você conhece e sabe para que eles servem?
Fez o teste de gênero oposto no Facebook? Saiba porque você não precisa se preocupar (tanto)

Aproveite para conferir todos os eletrônicos testados pelo 33Giga: