Por Gared Conner*
Para muitas empresas que usam dados pessoais para suas funções diárias, há algo de assustador no Regulamento Geral de Proteção de Dados da União Europeia (referido como General Data Protection Regulation [GDPR], em português: Regulamento Geral de Proteção de Dados – ou, simplesmente, “O regulamento”). O regime de proteção de dados pessoais da UE – uma legislação maciça e meticulosamente detalhada adotada pelo Parlamento Europeu em 2016 com representação de cada Estado-membro, em substituição à Diretiva Europeia de Proteção de Dados de 1995, deixou bem claro que o tratamento e o uso de dados pessoais serão levados muito a sério daqui pra frente, e que multas pesadas serão aplicadas em caso de não conformidade.
Mas por que, então, uma empresa fora da Europa se encarregaria de cumprir um protocolo regulatório tão exigente, principalmente se estiver legitimamente fora do alcance da aplicação do GDPR? A resposta curta? Seu escopo. O GDPR é um dos regulamentos mais abrangentes da história recente e não se aplica apenas às empresas localizadas na UE, mas também àquelas que oferecem bens e serviços a indivíduos (os chamados “titulares de dados” sob o GDPR) que residem na União Europeia. Ou seja: à medida em que as companhias segmentam os titulares de dados da UE, o alcance do GDPR passa a ser ilimitado – o que, na economia global e interconectada de hoje, não pode ser subestimado.
Outra razão? O GDPR é fundamental para ajudar a repensar e mudar a forma pela qual as empresas definem e tratam os dados pessoais. Quando pensamos em “dados pessoais”, normalmente nos vem à mente o nome de alguém, RG, CPF, endereço; mas não é só isso. De acordo com o GDPR, dados pessoais são definidos como “qualquer informação relacionada a uma pessoa física identificada ou identificável” – o que inclui dados de localização como o endereço IP e características associadas às identidades culturais ou sociais como partidos políticos, sindicatos e afiliações em geral. Em outras palavras, o GDPR enfatiza os direitos de privacidade dos indivíduos – uma questão que é bastante sensível para o mundo corporativo, uma vez que desde o surgimento do Big Data as empresas têm mais acesso a dados pessoais e lutam para equilibrar as necessidades legítimas de seus negócios comerciais e os interesses dos indivíduos.
Nos EUA, por exemplo, sem um conjunto abrangente de leis de proteção à privacidade, como o GDPR da UE, esse equilíbrio tendeu fortemente a favor das empresas, a menos que as informações em questão fossem consideradas altamente sensíveis, como são os dados financeiros pessoais ou informações pessoais de saúde. As empresas norte-americanas tradicionalmente marginalizam os direitos de dados pessoais, o que fere um princípio básico do GDPR que afirma que a propriedade dos dados pessoais é de propriedade da pessoa identificada por esses dados e não da organização que a adquiriu. Não importa quão legitimamente eles possam ter sido adquiridos ou a que custo. A propriedade dos dados reside sempre em seu titular, que tem direito de governar tais informações. Isso inclui:
•
ter acesso a como suas informações pessoais são armazenadas e usadas e para quais finalidades, ou seja, direito à informação;
• fazer objeção à forma como os dados são utilizados;
• exigir que seus dados pessoais sejam corrigidos;
• ser literalmente “esquecido” (se necessário, e dentro do razoável);
• ter acesso e receber quaisquer de seus dados pessoais mantidos por empresas.
Com isso em mente, o GDPR pode afetar os negócios? Para começar, as organizações da União Europeia levam o Regulamento muito a sério, o que pode tornar mais difícil que empresas de fora do bloco europeu façam negócios com a UE, principalmente se não levarem a compliance em consideração. O caminho para a conformidade, porém, pode ser oneroso e caro, especialmente para as empresas que coletam e processam dados pessoais.
Para grandes companhias como Google e Facebook, em que dados são a base de seus negócios, e empresas que fornecem serviços que envolvam dados confidenciais como assistência médica (onde os dados são um subproduto de alto valor), o impacto do GDPR pode ser forte.
A verdade é que as disposições são tão exigentes que nos EUA, por exemplo, algumas empresas optaram por deixar de incluir os consumidores europeus como público-alvo de seus produtos e serviços, em vez de enfrentar os custos de implementação e instalação de medidas de compliance e os risco de multas pesadas desde que o GDPR entrou em vigor (em maio de 2018).
Outras empresas (muitas!) resolveram encarar o GDPR de frente e não se afastaram dos consumidores europeus, em um esforço de boa-fé para cumprir todos os 99 artigos do regulamento. Para isso, elas implementaram algumas medidas, como:
• aumentar os orçamentos de segurança;
• designar responsáveis pela proteção de dados;
• reforçar os departamentos de compliance, de acordo com os recursos adequados;
• integrar iniciativas educacionais rotineiras, em escala descendente de hierarquia, para conscientizar os funcionários sobre as novas regras;
• implementar e oferecer documentaç ão robusta de privacidade de dados (incluindo contratos de processamento).
No Brasil, a nova Lei de Proteção de Dados Pessoais, inspirada no GDPR, entrará em vigor em fevereiro de 2020 e poderá afetar enormemente os mercados bancário e de prestação de serviços de saúde, além dos governos. Em se tratando da iniciativa privada, tudo dependerá da forma como a lei será aplicada – o que, por sua vez, poderá impulsionar empresas a organizar melhores frentes de relacionamento com clientes e usuários e até mesmo provocar a criação de departamentos de proteção de dados com base em fortes e refinados preceitos de compliance para cumprimento da nova lei.
O fato é que estar em conformidade com o GDPR e fazer negócios com empresas que também estejam na observância de tais preceitos pode trazer benefícios incrivelmente significativos para o mundo corporativo. Existem várias boas razões para que empresas fora da Europa se comprometam a cumprir com um protocolo regulatório tão exigente, principalmente se estiverem legitimamente fora do alcance do Regulamento e de outras leis de privacidade. Tal comprometimento mostra aos clientes que a empresa tem um sério compromisso com os direitos de privacidade individuais e com a infraestrutura técnica e as políticas de segurança organizacional.
Outra boa razão é que atender ao GPDR obriga as empresas a levarem a segurança cibernética muito mais a sério, exigindo um real aprofundamento em todas as medidas de segurança técnica e organizacional para garantir a proteção de dados. A adequação às novas medidas incentiva também uma análise metódica de infraestrutura, políticas, diretrizes e práticas de segurança, o que resulta em uma organização muito mais segura e transparente.
Estar em conformidade com o Regulamento Geral de Proteção de Dados da União Europeia e fazer negócios com empresas que também estejam na observância de tais preceitos pode trazer benefícios incrivelmente significativos para ambos os lados de qualquer transação, reduzindo desperdícios de Marketing e de riscos comerciais, aumentando a tão importante e muito bem-vinda confiança do consumidor. E isso, convenhamos, não é algo a se temer de forma alguma.
*Gared Conner é graduado pela Faculdade de Direito da Universidade Wake Forest, dos Estados Unidos, e com ampla experiência em Advocacia nos setores de Tecnologia, Saúde e Serviços é Consultor Geral Adjunto e Diretor Jurídico da TeamViewer Américas, fornecedor líder global de soluções de conectividade remota.
Clique aqui para conferir o conteúdo na versão digital.