RONALDO LEMOS
SÃO PAULO, SP (FOLHAPRESS) – No dia 25 de maio de 2018 acontecerá uma das principais mudanças na maneira como a lei trata as companhias de tecnologia -ou qualquer outra empresa que lida com dados.
Esse será o dia em que a GDPR (Regulamentação Geral de Proteção de Dados) entrará em vigor em todos os países da União Europeia.
“Dados são o novo petróleo”, diz a frase que já se tornou clichê. Faz sentido. Eles representam uma nova classe de ativos de enorme importância para o mundo contemporâneo. São os dados que fazem com que aplicações de inteligência artificial, big data, publicidade online e vários outros serviços da internet sejam viáveis.
Em outras palavras, funcionam como a engrenagem que move a economia digital. E tal como petróleo, eles também produzem imensos riscos ambientais.
Podem vazar, provocando prejuízos para milhões de pessoas. Podem também ser abusados por governos e por empresas, desrespeitando direitos e liberdades fundamentais. Podem até mesmo comprometer a autonomia democrática.
Nesse sentido, o fenômeno das fake news (notícias falsas) e o abuso na exploração de dados pessoais são dois lados da mesma moeda.
É nesse contexto que em 2016 a Europa deu um passo importante. A região, que já tinha uma legislação robusta de proteção à privacidade desde 1995, decidiu dobrar a aposta. Criou um modelo ainda mais abrangente e protetivo, que no embate entre liberdade empresarial e direitos dos cidadãos, ficou com os últimos.
A GDPR aplica-se a toda e qualquer organização que ofereça bens ou serviços que coletem dados pessoais de residentes da União Europeia.
Não importa onde a empresa esteja situada -se for esse o caso, a lei europeia será aplicável aos seus negócios.
Além disso, a GDPR define dados pessoais de forma bem mais abrangente do que o entendimento de outros países. O conceito passa a abranger qualquer dado que pode ser ligado a uma pessoa, mesmo que combinado com outras informações ou de forma indireta.
CONSENTIMENTO
A regra fundamental da GDPR é a exigência do consentimento do usuário antes de que qualquer dado pessoal sobre ele possa ser coletado. Esse consentimento deve ser claro, específico e deve poder ser revogado facilmente a qualquer momento.
Qualquer serviço de internet que direta ou indiretamente colete dados sobre pessoas precisará informar sobre isso de forma clara, acessível e transparente.
Além disso, qualquer pessoa terá o direito de acessar, transferir, corrigir ou apagar as informações sobre si mesmo a qualquer momento, bem como solicitar a interrupção da coleta de dados.
Outro aspecto importante diz respeito à transferência internacional de dados entre países. Só poderá haver troca de dados com a Europa se o país em questão tiver um nível de proteção compatível com o da União Europeia.
As exceções a essa regra deverão ser formalmente negociadas caso a caso.
Fica também consolidado o modelo de que cada país precisa ter uma autoridade administrativa de proteção à privacidade, uma espécie de agência reguladora encarregada de tratar do tema.
As punições são pesadas. Qualquer violação aos preceitos da regulamentação gera multa de US$ 20 milhões ou 4% do faturamento global da companhia, o que for maior.
NO BRASIL
E o Brasil nesse contexto? O país não possui uma legislação abrangente sobre dados pessoais. O tema é regulado parcialmente pelo Marco Civil e outras leis setoriais. No contexto em que a GDPR entrará em vigor, essa lacuna contribuirá ainda mais para o isolamento do país.
Por exemplo, em princípio não poderá haver troca de dados entre Europa e Brasil, o que pode dificultar a vida de startups e empresas de tecnologia instaladas no país.
Para se ter uma ideia, a maior parte dos países da região já possui legislações mais ou menos similares à europeia. A Argentina, por exemplo, é reconhecida pela Europa nesse sentido, e a transferência de dados entre os países é formalmente permitida.
Em um momento em que o Brasil ambiciona ingressar no grupo de países da OCDE (Organização para a Cooperação e Desenvolvimento Econômico), a ausência de uma lei de privacidade entre nós será notada.