Para muitas empresas que usam dados pessoais para suas funções diárias, há algo de assustador no Regulamento Geral de Proteção de Dados da União Europeia (referido como GDPR – General Data Protection Regulation – Regulamento Geral de Proteção de Dados, em português – ou simplesmente ‘O Regulamento’)
Gared Conner (*)
O regime de proteção de dados pessoais da UE – uma legislação maciça e meticulosamente detalhada adotada pelo Parlamento Europeu em 2016 com representação de cada Estado-membro, em substituição à Diretiva Européia de Proteção de Dados de 1995, deixou bem claro que o tratamento e o uso de dados pessoais serão levados muito a sério daqui pra frente, e que multas pesadas serão aplicadas em caso de não conformidade.
Mas por que, então, uma empresa fora da Europa se encarregaria de cumprir um protocolo regulatório tão exigente, principalmente se estiver legitimamente fora do alcance da aplicação do GDPR? A resposta curta? Seu escopo. O GDPR é um dos regulamentos mais abrangentes da história recente e não se aplica apenas às empresas localizadas na UE, mas também àquelas que oferecem bens e serviços a indivíduos (os chamados “titulares de dados” sob o GDPR) que residem na União Europeia.
Ou seja: à medida em que as companhias segmentam os titulares de dados da UE, o alcance do GDPR passa a ser ilimitado – o que, na economia global e interconectada de hoje, não pode ser subestimado. Outra razão? O GDPR é fundamental para ajudar a repensar e mudar a forma pela qual as empresas definem e tratam os dados pessoais. Quando pensamos em dados pessoais, normalmente nos vem à mente o nome de alguém, RG, CPF, endereço. Mas não é bem assim.
De acordo com o GDPR, dados pessoais são definidos como “qualquer informação relacionada a uma pessoa física identificada ou identificável” – o que inclui dados de localização como o endereço IP e característias associadas a identidades culturais ou sociais como partidos políticos, sindicatos e afiliações em geral.
Em outras palavras, o GDPR enfatiza os direitos de privacidade dos indivíduos – uma questão que é bastante sensível para o mundo corporativo, uma vez que desde o surgimento do Big Data as empresas têm mais acesso a dados pessoais e lutam para equilibrar as necessidades legítimas de seus negócios comerciais e os interesses dos indivíduos.
Nos EUA, por exemplo, sem um conjunto abrangente de leis de proteção à privacidade, como o GDPR da UE, esse equilíbrio tendeu fortemente a favor das empresas, a menos que as informações em questão fossem consideradas altamente sensíveis, como são os dados financeiros pessoais ou informações pessoais de saúde.
As empresas norte-americanas tradicionalmente marginalizam os direitos de dados pessoais, o que fere um princípio básico do GDPR que afirma que a propriedade dos dados pessoais é de propriedade da pessoa identificada por esses dados e não da organização que a adquiriu. Não importa quão legitimamente eles possam ter sido adquiridos ou a que custo.
A propriedade dos dados reside sempre em seu titular, que tem direito de governar tais informações. Isso inclui:
• Ter acesso a como suas informações pessoais são armazenadas e usadas e para quais finalidades - ou seja, direito à informação
• Fazer objeção à forma como os dados são utilizados
• Exigir que seus dados pessoais sejam corrigidos
• Ser literamente ‘esquecido’ (se necessário, e dentro do razoável)
• Ter acesso e receber quaisquer dados pessoais do titular mantidos por empresas.
Com isso em mente, o GDPR pode afetar os negócios? Para começar, as organizações da União Europeia levam o Regulamento muito a sério, o que pode tornar mais difícil que empresas de fora do bloco europeu façam negócios com a UE, principalmente se não levarem a compliance a sério. O caminho para a conformidade, porém, pode ser oneroso e caro, especialmente para as empresas que coletam e processam dados pessoais.
Para grandes companhias como Google e Facebook, em que dados são a base de seus negócios, e empresas que fornecem serviços que envolvam dados confidenciais como assistência médica (onde os dados são um subproduto de alto valor), o impacto do GDPR pode ser forte.
A verdade é que as disposições são tão exigentes que nos EUA, por exemplo, algumas empresas optaram por deixar de incluir os consumidores europeus como público-alvo de seus produtos e serviços, ao invés de enfrentar os custos de implementação e instalação de medidas de compliance e os risco de multas pesadas desde que o GDPR entrou em vigor, em maio de 2018.
Outras empresas (muitas!) resolveram encarar o GDPR de frente e não se afastaram dos consumidores europeus, em um esforço de boa fé para cumprir todos os 99 artigos do regulamento. Para isso, elas implementaram algumas medidas, como:
• Aumentar os orçamentos de segurança
• Designar responsáveis pela proteção de dados
• Reforçar os departamentos de compliance, de acordo com os recursos adequados
• Integrar iniciativas educacionais rotineiras, em escala descendente de hierarquia, para conscientizar os funcionários sobre as novas regras
• Implementar e oferecer documentação robusta de privacidade de dados (incluindo contratos de processamento dos mesmos).
Além dos Estados Unidos, o GDPR vem ganhando força também no Leste Europeu, Ásia, Oriente Médio e América do Sul – embora isso deva ser atribuído, em parte, à curva ascendente de suporte de altíssimo nível aos direitos individuais de privacidade e à crescente preocupação mundo afora de que, verdade seja dita, perdeu-se o controle sobre o volume de dados pessoais coletados, mantidos, trocados, combinados, vendidos e utilizados pelas organizações para influenciar o comportamento.
Não à toa o número de violações cresceu nos últimos anos e milhões de dados escaparam literalmente das mãos das organizações. Mas a trend do GDPR continua. Países em todo o mundo estão promulgando ou planejam promulgar leis visando melhorias na privacidade pessoal. No Brasil, a Nova Lei de Proteção de Dados Pessoais, inspirada no GDPR, entrará em vigor em fevereiro de 2020 e poderá afetar enormemente os mercados bancário e de prestação de serviços de saúde, além dos governos.
Em se tratando da iniciativa privada, tudo dependerá da forma como a lei será aplicada – o que, por sua vez, poderá impulsionar empresas a organizar melhores frentes de relacionamento com clientes e usuários e até mesmo provocar a criação de departamentos de proteção de dados com base em fortes e refinados preceitos de compliance para cumprimento da nova lei.
Bahrain, Sérvia e Hong Kong já promulgaram leis recentemente. E outros países, incluindo Suíça, Israel e Uruguai, estão alterando suas próprias leis para se alinhar mais estreitamente com o Regulamento Geral de Proteção de Dados da União Europeia.
O fato é que estar em conformidade com o GDPR e fazer negócios com empresas que também estejam na observância de tais preceitos pode trazer benefícios incrivelmente significativos para o mundo corporativo. Existem várias boas razões para que empresas fora da Europa se comprometam a cumprir com um protocolo regulatório tão exigente, principalmente se estiverem legitimamente fora do alcance do Regulamento e de outras leis de privacidade.
Tal comprometimento mostra aos clientes que a empresa tem um sério compromisso com os direitos de privacidde individuais e com a infraestrutura técnica e as políticas de segurança organizacional. Em Marketing, especialistas argumentam que o GDPR produz níveis mais altos de envolvimento (com e) do cliente, uma vez que ter uma base legal para coletar e processar dados pessoais incentiva a empresa a se concentrar realmente nos clientes que precisam ser contatados (interesse legítimo) ou desejam ser contatados (consentimento fornecido).
Outra boa razão é que atender ao GPDR obriga as empresas a levarem a segurança cibernética muito mais a sério, exigindo um real aprofundamento em todas as medidas de segurança técnica e organizacional para garantir a proteção de dados. A adequação às novas medidas incentiva também uma análise metódica de infraestrutura, políticas, diretrizes e práticas de segurança, o que resulta em uma organização muito mais segura e transparente.
Estar em conformidade com o Regulamento Geral de Proteção de Dados da União Europeia e fazer negócios com empresas que também estejam na observância de tais preceitos pode trazer benefícios incrivelmente significativos para ambos os lados de qualquer transação, reduzindo desperdícios de Marketing e de riscos comerciais, aumentando a tão importante e muito bem-vinda confiança do consumidor. E isso, convenhamos, não é algo a se temer de forma alguma.
(*) – Graduado pela Faculdade de Direito da Universidade Wake Forest, e com ampla experiência em Advocacia nos setores de Tecnologia, Saúde e Serviços, Gared Conner é Consultor Geral Adjunto e Diretor Jurídico da TeamViewer Américas, fornecedor líder global de soluções de conectividade remota.