GDPR – o que você precisa saber para trabalhar no novo milênio

Já ouvimos a expressão “Data is the new oil” (Dados são o novo petróleo) descrever a importância e o valor de dados na Era da Informação.

Se isso é verdade – e penso que a maioria de nós tende a acreditar que sim – então todos nós somos verdadeiros campos de petróleo. E estamos sendo explorados sem termos certeza quem, onde, como e para quê estes dados estão sendo “refinados”. É possível que do outro lado alguém tenha armado um posto de gasolina e está ganhando dinheiro as nossas custas. E até que ponto você deve se importar com isso?

Os escândalos recentes do uso de dados para manipulação de resultado de eleições nos Estados Unidos, suposta influência russa e a conivência do Facebook trouxeram luz e atenção ao que estão fazendo com os dados que compartilhamos livremente, diariamente e indiscriminadamente no mundo digital.

A Europa passou uma lei que entrará em vigor dia 25 de Maio deste ano estabelecendo novas regras e guias para o uso de informações pessoais. Esta lei está verdadeiramente revolucionando o mundo digital e talvez você tenha reparado a quantidade de emails que temos recebido de aplicativos, sites, ferramentas informando que os termos de uso mudaram. Eles estão se adequando e preparando para atuar sob as condições do GDPR – General Data Protection Regulation. Mal comparando, seria como um “Procon” dos dados.

Indiretamente estas mudanças afetam o seu trabalho a partir de hoje e para sempre. Há mais de um ano nas minhas aulas tenho alertado os alunos para os riscos e as oportunidades de se trabalhar numa sociedade baseada e dependente de dados. Eu destacava que quem quisesse trabalhar no mundo digital precisaria – além de entender de números, dados, programação básica – entender também da parte jurídica do uso de dados. Este dia chegou.

Já que consumidores são um conjunto de dados e nos relacionamos digitalmente com estas informações através de email marketing, retargeting, “clusterização”, segmentação, por exemplo, então, além de sabermos tratar dos Clientes, temos que saber tratar dos Dados. E tratar bem, muito bem.

Quem trabalha com clientes no exterior ou com parceiros que tem um pé na Europa já devem estar a par do assunto, mas destaco abaixo os principais pontos desta nova regulamentação. O que muda de fato?

Primeiro, vamos relembrar quais dados são considerados sensíveis para tratamento por parte de terceiros:

§ Nome, endereço, telefone

§ Endereço de IP, cookies

§ Raça, religião

§ Informação de saúde e de genética

§ Dados biométricos

§ Orientação sexual e gênero

O GDPR cita os seguintes direitos aos donos dos dados (nossos campos de petróleo):

Acesso

O cliente tem direito de saber – num intervalo de tempo razoável - quais dados foram coletados e como estão sendo processados;

Acurácia

O cliente tem o direito de restringir o processamento quando os dados estiverem incorretos

Consentimento

Este é provavelmente o mais importante item da regulação. Precisa estar explícita, clara e em linguagem direta a autorização para a captura dos dados. Além disso, este texto deve estar separado de outras informações. Ou seja, não pode colocar em um textão várias informações sobre o serviço e no meio do parágrafo citar a coleta e uso dos dados pessoais – precisa estar separado e identificado.

Portabilidade

Assim como operadoras de celular ou previdência privada, o cliente tem o direito de solicitar a transferência integral dos dados coletas de um provedor para outro.

Direito de ser esquecido

O cliente por sua vez tem o direito de mudar de ideia e não permitir mais a coleta de seus dados. Além disso, o famoso “Right to be forgotten” onde pode solicitar que a empresa (ou quem estiver de posse dos dados coletados) sejam apagados e não mais usados quando estes dados não são para uso direto do serviço prestado.

Vazamento de dados

Pelas leis, a empresa que sofreu o ataque ou vazamento de dados tem a obrigação de informar os clientes até 72 horas após do fato ter ocorrido.

Sanções & Punições

A empresa que infringir estas regras pode levar uma pena que vai de uma notificação até uma multa de $20 milhões de Euros ou até 4% da receita anual global da empresa em questão. Ou seja, as punições afetam onde mais dói – o caixa.

Pseudonymisação (Pseudonymisation)

Como alternativa aos dados anonimizados, as empresas são obrigadas a guardar os dados de forma que não seja possível a identificação individual da pessoa. Neste caso, os dados devem ter “pseudonimos” dentro do banco de dados para aumentar sua segurança.

CDO – Chief Data Officer

A organização deve possuir em úlitma instância uma autoridade que é responsável pela gestão dos dados. Ele atuará como “guardião” dos dados prezando pela conformidade das regras em vigor e também será o principal ponto de contato das autoridades reguladoras no caso de um incidente envolvendo dados dos clientes.

Talvez alguns dos itens acima pareçam estranhos ou distantes da nossa realidade aqui no Brasil, mas é possível que em breve adotemos medidas similares uma vez que este assunto está sendo discutido por advogados, interessados e autoridades do governo em Brasilia há mais de um ano.

O fato é que com todos os acontecimentos recentes no exterior e no Brasil com Uber, Netshoes tragam mais luz sobre este assunto e faça com que os clientes fiquem mais conscientes do valor e da importância de seus dados para os negócios digitais (ou não).

Uma vez em sala de aula eu fiz uma experiência e disse que havia feito um perfil de um dos alunos baseado somente nos dados que eu havia coletado nas redes sociais e internet. Ali estariam seus gostos, preferências, fotos, informações gerais, enfim. Iria apresentar o estudo sob uma condição: que fosse uma decisão unânime da turma. Como não sabiam de quem se tratava, a decisão foi de fato unânime após um momento de reflexão: “Não professor, melhor não.” Naquele momento percebi que a maioria não tem noção de tudo que compartilha online livremente e gratuitamente nem do tamanho da exposição que vivemos. Qual é o limite de nossa privacidade digital?

E você já parou para pensar nisso? Não há mais tempo para deixar para depois estas questões. O preço pode ser alto demais para nós indivíduos, e nós empresas. O petróleo está jorrando por todos os lados.