Conteúdos de mídia programática

RESUMO

Este texto destina-se a apresentar de maneira resumida a nova legislação europeia sobre proteção de dados, O GDPR (General Data Protection Regulation), e a lei brasileira de mesmo propósito, LGPD (Lei Geral de Proteção de Dados Pessoais). Em seguida, é feita uma comparação entre os dois, identificando similaridades e diferenças entre eles e possibilitando uma maior e melhor compreensão de ambas legislações.

PARA QUE REGULAMENTAR OS DADOS?

Com a ascensão da Era Digital, surgiram questões que anteriormente não preocupavam pessoas, empresas e outras instituições. Os dados pessoais são um dos maiores exemplos dessa mudança. A necessidade de proteger os usuários e suas informações tornaram-se uma grande preocupação, principalmente para os governos, pois privacidade dos dados pessoais é, antes de tudo, um direito de cada indivíduo.

Assim, surgem leis e regulamentos em diversos países, com o intuito de controlar os dados que são coletados, armazenados e utilizados na internet, garantindo que o anonimato dos cidadãos não seja violado a partir do vazamento de suas informações, como aconteceu no escândalo do Facebook com a Cambridge Analytica ou com o Banco Inter, aqui no Brasil.

Países como Estados Unidos, México, Argentina e Uruguai já possuem suas próprias legislações com o intuito de proteger os dados de seus cidadãos. Aqui o foco será voltado para o entendimento da lei brasileira e do GDPR, por ter sido utilizado como base para a formulação da primeira.

O GDPR – REGULAMENTO GERAL SOBRE PROTEÇÃO DE DADOS

O Regulamento Geral Sobre a Proteção de Dados, ou GDPR na sigla em inglês, foi aprovado em 2016 e implementado em maio de 2018 em todos os países pertencentes à União Europeia e/ou ao Espaço Econômico Europeu. Ele substitui a Diretiva de Proteção de Dados, de 1995. A lei protege a privacidade dos dados pessoais coletados e distribuídos por empresas que operam na UE, independente do seu país de origem. As empresas que descumprirem a lei podem ser penalizadas em até 20 milhões de euros ou de até 4% da sua receita anual global.

Apesar de ser um regulamento vigente apenas nos países que fazem parte da União Europeia, os impactos do GDPR já podem ser percebidos em todo o mundo. Isso porque qualquer empresa que tenha acesso a qualquer dado de algum cidadão europeu, como é o caso do Facebook, por exemplo, precisa se enquadrar às novas leis. Por isso, o GDPR funcionará também como um grande estimulante para que os países comecem a aprovar suas próprias regras, garantindo aos cidadãos de todo o mundo mais tranquilidade em relação à segurança de suas informações.

O GDPR pode ser pode ser resumido em 5 características básicas, como é possível ver a seguir:

1 – PODER DE ESCOLHA AOS USUÁRIOS

Os sistemas e plataformas devem disponibilizar ferramentas aos usuários para que possam escolher o que querem compartilhar, quando querem compartilhar e o que será feito com as informações concedidas.

É necessário também deixar claro para as pessoas quais dos seus dados já foram compartilhados, permitir que elas obtenham uma cópia dessas informações sempre que quiserem, consigam exportar para outras plataformas e interrompam ou até mesmo excluam todos os seus dados armazenados a qualquer momento.

2 – LINGUAGEM CLARA E OBJETIVA

Os termos de utilização das plataformas deverão ser redigidos de forma simples, direta e sem provocar ambiguidade, para que não existam dúvidas sobre quais dados estão sendo capturados e para o que eles podem ser utilizados.

Este princípio é importante para que os usuários saibam o que estão permitindo que as empresas façam com suas informações, mas também para que as próprias empresas entendam quais são as suas permissões e limitações para trabalhar em cima daqueles dados.

3 – SEGURANÇA DE DADOS COMO  ETAPA INICIAL DO PROJETO

A proteção dos dados não deve mais ser entendida como uma etapa final do processo de desenvolvimento de um novo projeto, mas sim como parte fundamental desde o início. Isso faz com que a questão da segurança seja mais natural e fácil de compreender e seguir, pois ela não é mais pensada como um item separado e complementar, mas sim como mais um item do todo.

4 – AVISOS SOBRE VIOLAÇÃO DE SEGURANÇA

Em caso de uma falha de segurança e vazamento de dados, a empresa responsável possui um prazo de até 72h após o acontecido para comunicar as autoridades envolvidas na questão, bem como os usuários lesados pela situação. Caso esse prazo não seja respeitado, as organizações poderão sofrer penalizações e multas.

Por conta dos casos de vazamento de dados que podem vir a ocorrer, o GDPR recomenda sejam utilizadas as ferramentas de pseudonimização ou anonimização dos dados coletados pelas empresas. Desta maneira, caso agentes externos tenham acessos aos dados armazenados por uma determinada empresa, não seria possível relacioná-los a uma pessoa específica sem as informações contidas em outro arquivo separado, por exemplo.

5 – DATA PROTECTION OFFICERS (DPOs)

É obrigatório para as empresas que tenham atividades centradas na coleta e tratamento de dados a contratação de um Data Protection Officer (DPO), um profissional que ficará responsável por supervisionar essas atividades e, caso haja necessidade, se comunique com as autoridades.

A Associação Internacional de Profissionais de Privacidades (em inglês, IAPP) realizou uma pesquisa onde afirma que podem ser gerados até 75.000 novos cargos de DPO em todo o mundo.

A LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD) é a nova legislação brasileira, sancionada em agosto de 2018, que entrará em vigor a partir de 2020. Seguindo a tendência ditada por outros países do mundo e, principalmente, pela União Europeia, a LGPD pretende regulamentar a coleta e uso de dados dos cidadãos por parte das organizações. Além disso, a lei geral destina-se também a substituir os mais de 40 códigos, decretos e outras leis sobre o mesmo assunto e que estão em vigor atualmente no país.

A LGPD traz 4 atores envolvidos no processo de proteção de dados, sendo eles:

1 – TITULAR

São os usuários dos serviços, pessoas físicas proprietárias dos dados.

2 – CONTROLADORES

Responsáveis por coletar e decidir para que os dados serão utilizados, tempo de armazenamento e objetivos do tratamento dos dados. Podem ser pessoas físicas ou jurídicas.

3 – OPERADORES

A partir das ordens recebidas pelos controladores, os operadores têm como responsabilidade processar de maneira correta e segura os dados previamente coletados.

4 – ENCARREGADOS

Chamados de DPOs pelo GDPR, os encarregados são pessoas físicas que tem como objetivo orientar tanto controladores quanto operadores sobre a forma mais segura e alinhada ao LGPD que as informações devem ser manipuladas.

Assim como o regulamento europeu, o LGPD também está embasado em alguns pressupostos básicos, como pode ser visto no infográfico abaixo:

Fonte: Portal da Privacidade

A LGPD deve ser aplicada a todos os setores da economia, em empresas brasileiras ou não, que operem no país. A lei é extensiva também aos parceiros e fornecedores da organização, uma vez que eles tenham acesso por ela armazenados. O governo aprovou também a criação da Autoridade Nacional de Proteção de Dados (ANPD), que será responsável por acompanhar o cumprimento das leis e aplicar as devidas penalizações.

É essencial que as empresas realizem uma análise geral de seu negócio para entender quais erros precisam ser revertidos para que estejam em conformidade com a lei, e o ideal é que isto aconteça antes dela entrar em vigor. A LGPD prevê também que as empresas tenham uma figura que deve se responsabilizar pelo tratamento dos dados feito internamente, assim como o DPO na União Europeia.

GDPR x LGDP

Por ter sido baseado no GDPR, o LGPD conserva diversas características similares a ele, principalmente acerca de premissas básicas como necessidade de autorização dos proprietários dos dados para que sejam usados, clareza e objetividade na comunicação e possibilidade de portabilidade e exportação dos dados.

Apesar disso, ao comparar os dois regulamentos é possível identificar algumas diferenças. De modo geral, o GDPR é mais detalhado e específico do que o seu equivalente brasileiro, fato que pode estar atrelado a idade de cada um:  o GDPR é considerado uma atualização da legislação de 1995 que estava vigente na União Europeia, portanto já possui maior “experiência”; enquanto o LGPD é a primeira do tipo no Brasil. É possível identificar esta característica do regulamento europeu em diversas ocasiões, como no detalhamento sobre a transferência internacional de dados, na explicação sobre “pessoa identificável” e na especificação dos dados sensíveis.

O quadro abaixo detalha outras situações onde existem divergências entre as duas leis:

CONCLUSÕES

Ao comparar o GDPR e o LGPD, serão encontradas muitas similaridades, mas também algumas diferenças. Para empresas como a Zygon, por exemplo, que operam tanto em solo brasileiro como em países da União Europeia, é preciso estar sempre muito atento à ambas legislações. E além de se preocupar com os procedimentos internos, a empresa precisa também acompanhar o que acontece e cobrar aos seus parceiros e fornecedores que também estejam alinhados às normas.

Nos próximos anos as mudanças enfrentadas em torno dessas novas legislações serão grandes e é preciso estar sempre alerta, porque poderão surgir dificuldades. Mas os benefícios em torno da segurança, proteção de direitos e uso indevido de dados serão consideráveis tanto para organizações quanto para todos os cidadãos.

Add comment