Por que você recebeu tantos e-mails ou notificações sobre atualizações de termos de privacidade nos últimos tempos?
Clive Humb, famoso matemático londrino especializado em ciência de dados não estava errado quando proferiu a frase “Data is the new oil” (dados são o novo petróleo).
Desde então essa expressão tem sido bastante usada no mercado global por executivos, que hoje voltam seus olhos a Business Intelligence, em plena Era da Economia Analítica.
Com o avanço da internet, smartphones e mídias sociais, Big Data, Inteligência Artificial e Internet das coisas (IoT), a proteção individual a direitos humanos, tais como a privacidade, foi enfraquecida, e antes o que era um direito seu, ganhou proporção global, expondo assim o real valor dos dados.
O armazenamento de dado em si não demonstra qualquer lesão aos seus direitos, o perigo mora no processamento destes dados.
Imagine utilizarem seus dados pessoais, aqueles que você forneceu antes de fazer um teste inocente no Facebook para saber qual Power Ranger você é? Ou em um cadastro de acesso no candy crush, ou mesmo fotos que você curtiu, comentários que você fez, seu álbum de fotos, músicas que escutou, informações sobre seus amigos, eventos que frequentou e até reserva de voos e hotéis que realizou?
Com todas essas informações que circulam na rede e que normalmente pra nós seriam descartáveis, para um processador de dados valem ouro, pois uma vez traçado seu perfil virtual podem vender seus dados e lhe direcionar conteúdo para todos os fins, seja o de influenciar o seu voto político, a propaganda de um serviço ou produto a qual você estará mais propenso a comprar.
É assustador quando paramos para pensar na quantidade de dados pessoais que disponibilizamos na internet a cada minuto. O whatsapp por exemplo poderia deixar muita gente em maus lençóis caso divulgasse para quem quiser ver os dados promovidos diariamente em sua plataforma.
Pensado na fragilidade da segurança de informações e não propositalmente após o escândalo de dados envolvendo o Facebook e a Cambridge Analytica que expos 87 milhões de usuários, o Parlamento Europeu e o Conselho da União Europeia promulgaram em 2016 o regulamento geral sobre a proteção de dados 2016/679 (GDPR).
Trata-se de uma inovação sobre privacidade e proteção de dados pessoais que revogou expressamente a diretiva 95/46/CE, até então o Norte para segurança da informação relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
Isso significa dizer que todas a leis nacionais baseadas na diretiva foram substituídas pelo General Data Protection Regulation (GDPR), daí sua tamanha importância.
O mais interessante é que o presente regulamento não se aplica apenas aos indivíduos na União Europeia e Espaço Econômico Europeu, mas também a todas as pessoas que façam negócios com esses blocos econômicos, ou seja, garante proteção a você em caso de uma compra online em site de um membro da EU ou da EEE, mas também exige que uma loja online no Brasil ou em qualquer outro país tenha que se adaptar ao GDPR se quiser enviar produtos para clientes na União Europeia sem desrespeitar a lei, visto que a GDPR regulamenta também a exportação de dados pessoais para fora da UE e EEE.
Um fato interessante é que a GDPR se aplica em consulados dos Estados Membros por força do direito internacional público, ou seja, ao requerer um visto para um Estado-Membro, o consulado deve obedecer aos procedimentos contidos no regulamento.
Como o regulamento se aplica a qualquer pessoa que processe dados pessoais, seja ela, física, jurídica ou mesmo pública, o Parlamento Europeu viu a necessidade de criar uma nova diretiva, qual seja, a Diretiva 2016/680, que se apresentou com exceção a aplicação da GDPR, deste modo, nas atividades relacionadas a politica externa e de segurança comum, pelo tratamento pelas autoridades competentes para efeitos de prevenção, investigação, detecção ou repressão de infrações penais ou a execução de sanções penais se aplica a Diretiva 2016/680.
Mas se engana quem acredita que o regulamento apenas abranja os dados promovidos no meio virtual, a GDPR é aplicada desde sistemas de banco de dados totalmente automatizados até a arquivos baseados em papel, como os prontuários médicos clássicos, ficha cadastrais, contratos físicos, etc…
Você deve está se perguntando se a GDPR se aplica a você, pois seu celular por exemplo guarda muitos dados pessoais seus e de seus amigos e familiares, mas o processamento de dados pessoais em atividades domésticas, que não guardam relação profissional ou comercial não estão sob o guarda chuva do Regulamento. Assim, fique tranquilo em passar o contato da sua tia avó para sua prima. Você não será penalizado por isso.
Outro fato interessante é que o Regulamento não diz respeito á proteção de todos os dados, mas tão somente a dados pessoais específicos. O regulamento traz taxativamente em seu Art. 4º, a definição do que são dados pessoais, vejamos:
«Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa singular;
A definição é um pouco confusa, mas basicamente dados pessoais, são toda informação que seja capaz de identificar um indivíduo natural, vai do seu DNA ao tamanho da sua cueca, mas não se limita apenas a coisas que podem ser medidas, também são considerados dados pessoais o meio em que estas informações estejam inseridas ,seja através de texto, figuras, gráficos, fotografias, vídeos, acústicos ou qualquer outra forma possível de identificação.
O curioso é que até mesmo a fofoca é um dado pessoal.
Isso mesmo, a opinião sobre uma pessoa, também é considerada dado pessoal, não precisando sequer ser verdadeira ou comprovada.
A abrangência é tão extensa que considera ainda os dados pessoais que tenham sido descaracterizados, codificados ou pseudonimizados, mas que possam ser utilizados para reidentificar uma pessoa.
Daí a complexidade de determinar o que não seria um dado pessoal?
O regulamento curiosamente cuidou de responder esta questão definindo que dados pessoais que tenham sido tornados anônimos de modo a que a pessoa não seja ou deixe de ser identificável deixam de ser considerados dados pessoais. Contudo, para que os dados sejam verdadeiramente anonimizados, a anonimização tem de ser irreversível.
Quase que uma queima de identidade daquelas de filme que a pessoa some do mapa.
A GDPR veio de voadora no combate ao uso indiscriminado de dados pessoais, sendo a Europa pioneira mais uma vez em segurança da informação, aplicando sanções severas a quem não se adequar as suas diretrizes, mandando um recado de que não vai mais tolerar o uso desenfreado de dados pessoais.
Muitos países seguiram o exemplo europeu, o Brasil foi um deles, promulgando Lei nº 13.709/2018, mas conhecida como Lei Geral de Proteção de Dados (LGPD), oq ue é minha opinião é praticamente um plágio do regulamento europeu, contudo com penas mais brandas e de baixa eficácia.
Já os Estados Unidos apesar de não possuir uma lei geral de proteção de dados, promulgou várias leis em nível federal e estadual. Em geral, as leis de segurança e privacidade de dados nos EUA são específicas regulamentando o uso de determinados tipos de dados ou regulamentam alguns setores, como saúde, finanças e telecomunicações.
É por isso que você recebeu tantos e-mails ou notificações sobre atualizações de termos de privacidade nos últimos tempos.
A GDPR mudou a forma de processamento de dados pelas empresas, tornando-os mais transparente e sua disponibilização mais justa, limitando sua finalidade, minimizando a quantidade de dados obtidos e dando precisão a sua coleta, garantindo assim, a limitação de armazenamento, integridade e confidencialidade dos seus dados pessoais.
Todavia, o Regulamento não resolve todos os problemas relacionados à privacidade de dados, visto que as atenuantes são diversas e subjetivas, mas demonstra ser um grande avanço no combate da violação a segurança da informação.
Espero que o Brasil leve mais a sério a proteção de dados pessoais e que tão logo promulgue uma lei com sanções mais pesadas e de maior abrangência, dais quais realmente obriguem as empresas a se adequarem as normas da LGPD.