É verdade que a internet, o mundo virtual e o rápido avanço tecnológico em busca da inteligência artificial, trouxeram muita vantagem para as empresas que buscavam entender melhor os seus mercados e consumidores para cada vez mais oferecerem aquilo que as pessoas de fato procuram e querem. Todavia, sofisticados algoritmos contidos em programas de computador passaram a colocar em xeque a privacidade dos usuários e a própria segurança das corporações.

Fatos recentes como a alegada intervenção cibernética russa nas eleições norteamericanas de 2016 e a descoberta de segredos empresariais pelo mero cruzamento de dados de um usuário na navegação em determinados sites e portais, trouxe preocupação não apenas para o mundo corporativo, mas também para todos os outros ramos da sociedade.

Após quatro anos de intenso estudo e muitos debates, a União Europeia aprovou em 2014 o RGPD - Regulamento Geral de Proteção de Dados (em inglês, General Data Protection Regulation – GDPR). Essa regulamentação passa a se tornar obrigatória a partir de 25 de maio de 2018 e as empresas que não estiverem em conformidade com seus termos pode sofrer pesadas multas (até 4% do volume de negócios global anual ou € 20 milhões, o que for maior).

O Regulamento Geral de Proteção de Dados, que passo a me referir apenas como GDPR, veio substituir as Diretivas de Proteção de Dados 95/46/EC a fim de padronizar as diferentes leis de proteção de dados na Europa e orientar a forma como as organizações da região devem tratar os dados dos consumidores. Mesmo após o Brexit (expressão que designa a saída do Reino Unido da União Europeia), o Reino Unido adotará os regulamentos do GDPR.

As novas regras aplicam-se ao e-commerce, e-marketing, utilização de cookies e têm

impacto em todas as organizações, de todos os setores, desde as start-ups até grandes corporações, do público em geral ao terceiro setor. As empresas agora terão que rever como elas se comunicam e a forma como elas coletam, armazenam e processam as informações pessoais obtidas durante a navegação dos usuários. Em outras palavras, as empresas deverão explicar claramente quais informações estão sendo coletadas e como estão sendo utilizadas.

Pelas novas diretivas do GDPR, os formulários que os usuários preenchem ao visitar um site no momento da compra, assinatura de serviço ou mero registro deverão ser redesenhados, pois opções pré-selecionadas (do tipo daquelas caixinhas que já vêm ticadas) não mais serão aceitas e as regras de consentimento ficaram muito mais rígidas.

Mais que isso, o GDPR determina que as empresas mantenham registros das atividades de processamento de dados dos usuários em seus sites e apresentar os procedimentos e políticas de conformidade adotados.

É interessante perceber que o GDPR é uma diretiva transnacional, que pode não ter aplicabilidade para as empresas brasileiras, mas é exigível para aquelas nacionais que vendem produtos para consumidores na União Europeia.

A extraterritorialidade do GDPR talvez seja a maior mudança no cenário regulatório da privacidade de dados em razão de sua jurisdição alargada, eis que se aplica a todas as empresas que processam os dados pessoais das pessoas que residem na União Europeia, independentemente da localização da empresa. Anteriormente, a aplicabilidade territorial da Diretiva 95/46/EC era ambígua e se referia ao processo de dados "no contexto de um estabelecimento", o que alavancou grandes batalhas judiciais de conglomerados multinacionais. Porém, com a promulgação do GPDR, fica claro que a sua aplicação se dá no processamento de dados pessoais por controladores e processadores na União Europeia, independentemente de o processamento ocorrer na UE ou não.

Há outros pontos de relevo e que merecem reflexão. Quero destacar aqui dois direitos que o GDPR acrescenta: (i) o do usuário ter acesso à informação e (ii) ao de ser esquecido. O primeiro – (i) – , respeita à prerrogativa do usuário obter confirmação do controlador de dados se as informações pessoais a ele relativas estão ou não estão sendo processadas, onde e para que finalidade. Além disso, o usuário pode exigir que o controlador fornecer uma cópia dos dados pessoais, gratuitamente, em formato eletrônico. O segundo – (ii) –, se refere ao direito que o usuário tem de ser esquecido (Data Erasure), i.e., que o controlador de dados apague os dados pessoais, interrompa a disseminação das informações e, eventualmente, exija que terceiros suspendam o processamento de dados.

A tendência é que as normas do GDPR passem a ser copiadas em outras legislações, inclusive no Brasil e, pois, podem ser incluídas nos procedimentos de conformidade (compliance) das empresas antes mesmo que sejam mandatórias no país. A adequação das empresas às boas práticas internacionais e aos regulamentos transnacionais, só traz vantagens concorrenciais e de adaptação aos usuários.

Questões importantes quanto à necessidade ou não da empresa manter um diretor de proteção de informações e dados (DPO – Data Protection Officer), principalmente quando há processamento de informações sigilosas ou em ambientes de possível acesso de menores de 16 anos, por exemplo, devem ser examinadas com cuidados.

É possível elaborar um plano de conformidade digital-cibernético simples, mas moderno e eficaz de forma a manter a empresa compatível com as legislações de outros grandes mercados como o europeu e o americano, e se adiantar àquilo que certamente chegará no Brasil em breve.

Se quiser saber mais, inscreva-se no DD Blog (www.daurodorea.com/blog) e siga-nos nas redes sociais LinkedIn (Dauro Löhnhoff Dorea) e Facebook (daurodorea). No DDA Blog há informações sobre questões territoriais, princípios, legalidade, formas de consentimento, direito de guarda de dados, transparência e muito mais.