Dois anos da GDPR: o que mudou?

Entenda o que é a Regulação Geral sobre a Proteção de Dados da União Europeia e o que foi observado desde sua implementação

 

Enquanto por aqui a vigência da Lei Geral de Proteção de Dados tem sido alvo de reveses nos últimos meses, sua precursora europeia completou dois anos de sua implementação. A GDPR — sigla para ‘General Data Protection Regulation’, ou Regulação Geral sobre a Proteção de Dados, em tradução livre —  foi fruto do esforço de substituir leis obsoletas, datadas de quando a União Europeia, nos anos 1990, começou a se estabelecer enquanto bloco.

A motivação era lógica: se a intensidade a partir da qual se gera informação hoje é outra, não parando em qualquer momento do dia, há de se pensar em outras formas mais inteligentes de regulá-la. O que tem se observado desde 2018, no entanto, é que a mera existência da legislação não é o suficiente para impedir antigas práticas danosas ao usuário. Até que ponto se delimita sua eficácia real, então? Acompanhe conosco:

O que é a GDPR?

A tramitação da GDPR teve início em 2012 no Parlamento Europeu e sua aprovação se deu em 2016. Como ocorreria no Brasil com a LGPD, foi dada uma janela de dois anos até que ela entrasse em vigor, permitindo que empresas europeias se adequassem à nova legislação, que impunha novas normas de gestão e armazenamento de dados de usuários a elas, garantindo maior poder ao consumidor no manuseio de suas informações pessoais por terceiros. Dentro daquilo que a lei visa proteger, estão incluídos:

  • Informações pessoais, como documentos individuais e números de telefone;
  • Endereços de e-mail;
  • Endereços de IP;
  • Registros médicos; e
  • Dados biométricos.

O conjunto de regras que compõem a nova legislação é guiado por três diretrizes: governança, transparência e gestão de dados. A governança talvez seja a mais crucial para a coexistência das três, dizendo respeito à segurança de banco de dados. Organizações deverão investir em práticas mais avançadas de cibersegurança, assim como deverão notificar aos donos originais dos dados que detêm sobre possíveis brechas, falhas e vazamentos.

Na transparência, a chave é o consentimento. Empresas deverão ter algum meio de provar que tiveram a permissão do usuário para manusear e armazenar aquelas informações pessoais. Além disso, devem comunicar sempre ao usuário a maneira pela qual seus dados estão sendo tratados e disponibilizar cópias deles, caso isso seja solicitado.

Por último, a gestão de dados é a diretriz que mais requer a participação do público. Graças a ela, é possível que o usuário solicite, a qualquer momento, a exclusão de quaisquer dados pessoais dos bancos das organizações que bem entender. Elas têm de contratar funcionários específicos para essa gestão e para a execução de uma checagem constante para verificar se sua atuações estão de acordo com a legislação, notificando-as em caso de eventuais negativas.

Vale ressaltar que os impactos da GDPR não são sentidos apenas pelos cidadãos europeus. Qualquer pessoa que esteja de passagem por um país-membro da União Europeia, independente de sua nacionalidade, domicílio ou tempo que passará nele. Além disso, empresas estrangeiras com filiais, representação, que coletem dados de pessoas naturais do bloco ou que prestem algum tipo de serviço para mercados europeus também estão sujeitas ao conjunto de normas.

Até mesmos sites estrangeiros que possam vir a ter um fluxo de visitantes estrangeiros devem prestar contas à GDPR. Assim, sites e aplicativos de redes sociais como o Facebook e o Twitter, por exemplo, mesmo que não tenham suas operações baseadas em Estados europeus, tiveram de se adequar à legislação. Segundo seu Artigo 3:

"Essa regulação se aplica ao processamento de dados pessoais de sujeitos que estão na União Europeia, mas processados fora dela, em casos de:
a) ofertas de bens e serviços, independente de haver pagamento pelo que foi adquirido ou não; ou
b) o monitoramento do comportamento dos sujeitos dentro dos limites da União Europeia."

O que os europeus sabem sobre a GDPR?

Enquanto o público europeu não é o mais assíduo online — segundo o Digital 2019, da Hootsuite, o cidadão mundial médio passa 6 horas e 42 minutos na internet, enquanto o português médio, o europeu que mais utiliza a internet, não passa mais do que 6 horas e 38 minutos. Ainda de acordo com o mesmo relatório, isso não impede o continente de mostrar preocupações em relação à privacidade de seus dados. 69% dos espanhóis que acessam a internet regularmente demonstram preocupações nesse sentido, bem como 43% dos italianos e 40% de franceses e alemães. Para estes que muito se preocupam, mas pouco usam, a GDPR é bem-vinda.

No último ano, a União Europeia conduziu uma pesquisa com representantes de 716 negócios de pequeno e médio porte do bloco para saber como vinha sendo o processo de adequação à nova lei. Foi descoberto que:

  • Ao menos 25% dos negócios não explica de forma clara para os usuários a maneira que seus dados são tratados;
  • Outros 10% desrespeitam as normas de consentimento travadas com o público consumidor;
  • O conceito de criptografia ainda é um pouco confuso para muitas das empresas. Enquanto 67% afirmou utilizar algum serviço de e-mail com criptografia de ponta a ponta, apenas 9% corretamente identificou um serviço que de fato a oferecesse;
  • Em torno de 50% das empresas destinou entre €1.000 e €50.000 para uma melhor adequação às novas regras. A maior parte dessas verbas foi para consultorias e treinamento de empregados. 67% deste grupo respondeu que o crescimento da empresa dificilmente será afetado por estes gastos.

Na mesma época, uma outra pesquisa mais informal e sem qualquer rigor científico também foi conduzida pela união com os seguidores do perfil da GDPR do Twitter para se medir o nível de conhecimento deles acerca das proposições da regulação. Dentro dessa pequena amostragem, viu-se que:

  • 66% respondeu saber que o consumidor poderia solicitar a exclusão sumária de seus dados a empresas;
  • 64% mostrou saber que a lei não dá direito ao anonimato online;
  • 64% afirmou corretamente que a coleta de opiniões políticas em sites não configura coleta de informações pessoais, uma vez que não levam à identificação do indivíduo;
  • 50% acertou ao dizer que a idade mínima para que um usuário consinta a utilização de suas informações pessoais por empresas é de 18 anos.

O que se percebe hoje?

A parcela de desconhecimento e má adequação, é claro, gerou diversos problemas, principalmente em seu controle e sua fiscalização. Alguns avanços foram bem nítidos, principalmente pela aplicação de multas foram a diversas empresas, com a lei estabelecendo que elas podem incidir em até 4% do faturamento anual de uma organização. No Reino Unido, nem a British Airways, uma das maiores companhias aéreas do país, escapou, tendo de pagar 183 milhões de libras por ter descumprido a lei. Na ocasião, 500 mil clientes tiveram seus dados roubados por hackers.

Apesar do montante significativo que foi pago, nem todas as empresas que infringiram a GDPR tiveram o mesmo fim. Segundo a Associação Internacional de Profissionais da Privacidade, a British Airways faz parte do pequeno grupo de 240 empresas que foram notificadas, enquanto o número real deveria estar acima de 64 mil organizações, de modo que apenas 0.38% dos casos resultaram em alguma penalidade.

A quase inexistente aplicação dessas multas cria um certo ambiente de permissividade, em que falhas de segurança e vazamento de dados seguem sendo uma constante. Anualmente, a Verizon publica relatórios sobre vazamentos de dados, nos quais são identificadas falhas de segurança em grandes companhias mundiais. O que foi liberado neste ano contou com 3.950 casos, contra 2.000 no que o antecedeu.

Um exemplo muito comentado sobre a dita leniência da GDPR está relacionado ao Twitter. O Comitê de Proteção de Dados da Irlanda investigou possíveis vazamentos de dados de usuários, que teriam ocorrido em novembro de 2018, e como a empresa lidou com os mesmos posteriormente. As investigações acabaram no mês de maio, mas, até agora, nenhuma decisão maior foi tomada.

 

Quando, no começo deste texto, nos referimos à GDPR como a precursora da LGPD brasileira, não foi à toa. Pessoas familiarizadas com a lei brasileira perceberam suas muitas semelhanças com a GDPR, que também influenciou novas legislações no Japão, na Coreia do Sul e até nos Estados Unidos — por lá, as novas regras de proteção de dados entrarão em vigor no dia 1 de julho deste ano. O que há em comum entre todos esses lugares, hoje, é o desconhecimento por parte das empresas de seus novos deveres e por parte dos cidadãos de seus direitos.

Para mais conteúdos como este, continue acompanhando nosso blog, onde já tratamos sobre a Lei Geral de Proteção de Dados em outras oportunidades. Para saber mais sobre as ferramentas de gestão e qualidade de dados da Twist, fale conosco!

Se inscreva na nossa newsletter