O que é a GDPR e por que pode impactar sua empresa

A GDPR, General Data Protection Regulation, ou Regulação Geral da Proteção de Dados, é uma regulação aprovada em 14 April de 2016 pelo parlamento da União Européia e que passa a ser exequível em 25 de Maio de 2018.

Ela define diversos casos passíveis de punição e estabelece altas multas para vazamentos de dados e uso indevido de dados pessoais de usuários. Apesar de milhares de empresas ao redor do mundo basearem seus modelos de negóciona aquisição, venda, ou processamento de dados de usuários, pouco é feito para proteger a principal peça desse mecanismo.

A GDPR é o primeiro grande passo para permitir aos usuários mais controle sobre o que é feito com seus próprios dados e facilitar sua proteção contra usos indevidos e vazamentos.

Principais mudanças da GDPR

Abrangência: As punições passam a ser aplicáveis para qualquer empresa que processe ou armazene dados de residentes da União Européia, independente do país de residência da empresa.

Multas: Penalidades estão pré-estabelecidas e podem chegar a 4% do total da receita ou a 20 milhões de euros, o que for mais alto.

Consentimento: Definição e exigência do consentimento do usuário, onde os fins e meios do processamento de dados devem ser claros e o consentimento deve ser obtido de forma explícita e não ambígua. Inclui também a exigência de “opt-in” do usuário e a possibilidade de “opt-out” a qualquer momento.

Principais direitos da GDPR

Notificação de vazamentos: Empresas terão até 72 horas após um vazamento ser descoberto para notificar aos usuários e ao órgão regulador.

Acesso e deleção dos dados: Usuários poderão exigir detalhes se algum dos seus dados está sendo usado, por quem, e para quais fins. Também terão o direito de baixar uma cópia dos seus dados e de exigir exclusão destes dados da base.

Privacidade em primeiro lugar: Empresas deverão evitar o uso de dados pessoais, a menos que estritamente necessários para os fins contratados pelo usuário, e deverão implementar políticas e métodos de proteção. Em alguns casos um DPO (Data Protection Officer) deverá ser apontado para garantir conformidade com a regulação.

Por que a GDPR é importante?

Mesmo uma empresa brasileira, britânica, ou angolana que seja, pode ser processada por violação da GDPR, basta que ela capture dados de qualquer pessoa que resida em algum país na União Européia.

Se houver qualquer violação da privacidade dos dados do usuário, seja um vazamento ou não notificação dele, utilização para fins não explícitos, ou processamento indevido, esta empresa será processada. E não basta tentar se proteger atrás de um “Termos de Uso” obscuro, nada menos do que consentimento claro e explícito, com explicação curta e direta dos fins, será aceito. Não dar a opção de revogar oacesso e de deletar os dados armazenados, também é uma infração.

Os valores da punição também são consideráveis agora e dependendo do tamanho da infração pode passar das centenas de milhões de reais. Por exemplo, se o vazamento da Equifax, que afetou 143 milhões de usuários, tivesse ocorrido sob a jurisdição do GDPR, poderia ter sido aplicado uma multa de até 107 milhões de euros, equivalente a 451 milhões de reais.

Como as empresas serão afetadas?

Tem 3 principais grupos que terão que abrir bem os olhos para a GDPR:

Serviços/Aplicativos grátis com propagandas: Empresas como Facebook, Amazon, Google, e Spotify, utilizam os dados de navegação de seus usuários para prover Ads personalizados. Como estes dados são de caráter pessoal e estão sendo usados para um fim secundário, devem ser as primeiras na mira da legislação. Felizmente, muitas já aplicam boa parte dos requisitos da regulação e apenas terão que rever e re-afirmar seus termos de uso.

Data Management Platforms (DMPs): Essas empresas vendem dados ou perfis anonimizados de usuários, mas estão em risco principalmente por obterem os dados através de Cookies escondidos em websites. Não só as DMPs, mas as próprias empresas que permitem essa captura em seus websites terão que responder sobre as irregularidades. Não só players globais, como a MediaMath, mas também players brasileiros, como a Navegg, terão trabalho para se adaptar à GDPR.

Bureaus de Crédito: De todos os grupos, esse é o com o maior risco de ter seu modelo de negócios gravemente afetado (para não dizer eliminado). Empresas como Equifax, Experian e Fico, além de utilizarem dados extremamente pessoais obtidos sem autorização explícita, vendem e processam esses dados para terceiros para fins que podem até prejudicar o próprio usuário. Algumas medidas, como o de permitir o “opt-out”, vão ajudar com a regulação, mas ainda terão um longo caminho para se adequar às exigências de transparência e consentimento de uso. Por isso, já tem diversas start-ups surgindo na área para prover alternativas para análise de crédito, incluindo a brasileira Vality.