Muitas empresas ainda estão tendo dificuldades em se adequar ao GDPR – diretiva europeia que mudou a forma como os dados pessoais são colhidos e processados por qualquer entidade que necessite de dados pessoais em razão de suas operações. E, inesperadamente, uma delas é o Google.
Em maio do ano passado, quando o GDPR entrou em vigor, o gigante das buscas emitiu um comunicado para os seus usuários sobre as mudanças em suas políticas de dados. De acordo com a empresa, essas alterações garantiriam que o processamento de informações estivesse em compliance com as novas regras da União Europeia. Mas parece que na prática não foi bem assim.
No final do ano passado, sete países europeus acusaram o Google de trapacear na coleta de dados de seus usuários. De acordo com a Organização Europeia de Consumo (BEUC), o Google não deixa claro que a localização dos smartphones dos usuários está ativa e nem como informações sobre os locais que costumam frequentar são usados.
A acusação se tornou ainda mais grave porque a BEUC entende que a localização pode ser caracterizada como dado sensível. E isso faz bastante sentido, uma vez que os locais que uma pessoa frequenta com seu celular realmente podem dizer muito sobre ela.
Por exemplo, frequentar assiduamente um hospital pode ser um indício de que o usuário está doente, assim como ir todas as semanas à uma igreja pode revelar suas crenças religiosas. Além da saúde e da religião, outros locais poderiam indicar suas escolhas com relação à política e até sexualidade. E esses realmente são dados considerados sensíveis, uma vez que podem gerar constrangimento e discriminação.
O press release da BEUC afirma ainda que: “a companhia usa vários truques e práticas para assegurar que os usuários tenham a localização ativada e não explica corretamente o que isso implica”. E complementa: “essas práticas injustas deixam o consumidor no escuro sobre o uso de seus dados pessoais. Adicionalmente, eles não dão aos usuários outra chance se não fornecer seus dados de localização, que são usados pela companhia para uma grande gama de propósitos, inclusive publicidade direcionada”.
A publicidade direcionada a que o texto da BEUC se refere acontece quando o Google utiliza informações pessoais dos usuários para oferecer publicidade. Por exemplo, alguém que está frequentando um hospital constantemente poderia ser alvo de propagandas sobre planos de saúde.
Esse tipo de prática já é uma realidade, mas quando toma como base dados que o usuário não está compartilhando de forma consciente pode ser considerada sim uma infração do GDPR.
No texto divulgado, Monique Goyens, Diretora Geral da BEUC comentou a situação: “Graças ao GDPR os usuários devem estar no controle de seus dados pessoais. As práticas enganosas do Google estão em desacordo com a regularização. Não podemos ter companhias fingindo compliance, mas, de fato, descumprindo a lei”.
Até o fechamento desta nota não houveram novas notícias sobre o andamento da investigação e nenhuma resposta do Google. Mas, se for comprovado que a empresa de tecnologia descumpriu as determinações do GDPR a multa pode alcançar os 4 bilhões de dólares, de acordo com sua receita em 2017.
Os aplicativos que você tem no seu celular, as redes sociais que costuma usar, os sites que acessa, e até mesmo o sistema operacional do seu computador estão colhendo dados sobre você e seus hábitos.
E com tantas empresas de olho em tudo o que o consumidor faz, compra, escreve e pesquisa, a preocupação com a privacidade na internet tem se intensificado cada vez mais. E nesse cenário que surge uma das medidas que já está mudando o recolhimento de dados e privacidade na internet: o GDPR.
O QUE É GDPR?
Como ação em defesa às informações pessoais do público, a União Europeia divulgou, recentemente, o Regulamento Geral de Proteção de Dados da União Europeia (GDPR), que entrou em vigor em 25 de maio de 2018. A diretiva tem como objetivo manter a transparência no processo de captação de dados e permitir que o consumidor decida o que fazer com suas próprias informações.
As regras não valem apenas para os países integrantes da União Europeia, mas para todos aqueles que, de alguma forma, têm contato com clientes europeus, processam ou armazenam seus dados nesses países.
E quando falamos sobre dados, vale qualquer informação: fotos, nomes, postagens em redes sociais e até endereços de IP precisam ser regularizados pelas empresas que os detêm.
As empresas que não se adaptarem ao Regulamento Geral podem receber multas de até 4% de seu faturamento anual, ou até 20 milhões de euros.
O QUE DIZ O GDPR?
Veja, a seguir, quais os principais termos do GDPR e prepare-se para atualizar o seu sistema de coleta e gerenciamento de dados, se você presta serviços nos países da União Europeia.
Notificação de quebra de sigilo
Vez ou outra surge uma notícia sobre um grande vazamento com um número gigante de dados perdidos, mas dificilmente os consumidores que tiveram suas informações roubadas ficam sabendo que isso aconteceu com eles.
Com o GDPR isso muda, e as empresas passam a ter a obrigação de notificar seus clientes sobre o vazamento em até 72 horas depois de notarem a quebra de sigilo.
Direito ao acesso
Com a atualização, os usuários também recebem, formalmente, o direito de saber e de exigir que as empresas informem onde, quando e com qual finalidade seus dados estão sendo armazenados.
Direito ao esquecimento
O consumidor também poderá exigir que as empresas apaguem seus dados, desde que eles tenham sido recolhidos sem o consentimento claro do usuário ou quando já não sejam considerados úteis para o propósito inicial.
Nesses casos, as empresas deverão apagar as informações em sua totalidade, garantindo que não vão reter cópias nem guardar os dados de qualquer maneira.
Portabilidade dos dados
O Regulamento Geral de Proteção de Dados da União Europeia também introduz o conceito de portabilidade dos dados pessoais, que dá ao consumidor a possibilidade de levar suas informações para outras empresas, se assim o desejar.
E a companhia que mantém atualmente os dados do usuário deve facilitar e apoiar esse processo.
Controladores de acesso
O GDPR também exige que haja profissionais encarregados de criar medidas e procedimentos que garantam que os dados serão colhidos e processados de acordo com as novas normas para manter os dados dos consumidores protegidos.
Embora as penalizações pelo descumprimento das obrigações do regulamento sejam duras, de acordo com um estudo realizado pela Veritas Technologies, até julho do ano passado, 31% das empresas haviam afirmado que já tinham se adaptado à diretiva, porém, apenas 2% das empresas estavam, de fato, em compliance com todas as resoluções do GDPR.
Com as com as mudanças que vêm com o GDPR, muitas empresas estão tendo que mudar a sua forma de operação. As empresas de e‑commerce e as de TI são algumas das que mais recolhem e processam dados de usuário, e, por isso, também devem ser algumas das que mais tenham que se adequar à regulamentação.
GDPR E A PROTEÇÃO DE DADOS NO BRASIL
Seguindo a tendência mundial de proteção de dados impulsionada pelo GDPR europeu, o atual presidente Michel Temer aprovou em agosto deste ano a Lei nº13.709, que deve ser conhecida como Lei Geral de Proteção de Dados ou LGPD.
A lei deve incluir o Brasil na lista de países que possuem uma legislação ou orientações específicas sobre o recolhimento, processamento e uso de dados pessoais.
As regras valem para qualquer pessoa ou empresa que faça o tratamento de informações em território nacional, cujo recolhimento esteja relacionado com a oferta de bens ou serviços. Ou seja, empresas de qualquer porte que coletem dados no Brasil ou de brasileiros e os usem para fins comerciais deverão atender à nova regra.
Reavaliar a necessidade de recolhimento de dados: um dos primeiros passos que as lojas virtuais devem fazer é reavaliar os seus processos para entender exatamente em que momento os dados dos consumidores são utilizados e quais são as informações de que realmente precisam.
Atualizar os Termos de Uso e Políticas de Privacidade: o GDPR também determina que o usuário saiba exatamente quais informações estão sendo recolhidas, onde elas estão sendo armazenadas e com qual finalidade, e uma das formas mais eficientes de garantir isso é atualizando os seus Termos de Uso e Políticas de Privacidade.
Utilizar sistemas mais transparentes: assim como as informações devem estar mais claras, os próprios sistemas devem ser mais transparentes com o consumidor. E é necessário não só mantê-lo informado sobre a coleta, mas deixar que ele decida se quer mover seus dados para outra empresa ou mesmo deletar seu nome e suas informações da internet. Nesse último caso, cabe o Direito ao Esquecimento, em que a empresa deve se comprometer a deletar definitivamente as informações e não reter nenhum tipo de arquivo relacionado ao usuário.
Reformular campos de opt-in e formulários: como no e‑commerce os formulários e outras ferramentas de marketing que utilizam opt-in (cadastro de informações para envio de mensagens e outros materiais), é imprescindível que as lojas virtuais revejam a forma como solicitam o preenchimento e criem etapas que garantam que o consumidor entendeu por que estava preenchendo o formulário e como as suas informações serão utilizadas. Isso garante que a empresa obtenha o consentimento real do visitante e é fundamental para evitar problemas judiciais no futuro.
Reforçar a proteção: utilizar plataformas de comércio eletrônico confiáveis e ter certificado SSL são algumas das ações iniciais para aumentar a segurança, mas é muito importante que a loja virtual busque estar sempre alinhada com as mais avançadas tecnologias do setor para garantir a sua privacidade e a de seus usuários.
Mudanças de acesso: as regras do GDPR indicam que deve haver transparência na coleta e gestão das informações, então os softwares precisam permitir que os usuários saibam exatamente quais dados estão sendo captados, como e por quê. O público também ganha o direito de mover suas informações ou deletá-las definitivamente, e as empresas precisam criar processos para atender essas solicitações.
Rever procedimentos de segurança: nenhuma empresa quer que os seus dados sejam violados, mas com a chegada do GDPR a tendência é de que as empresas refinem, ainda mais, os seus procedimentos de segurança para evitar o vazamento de dados.
Definir processos no caso de vazamento de informações: o GDPR estipula, ainda, um prazo de, no máximo, 72 horas para que uma companhia notifique seus clientes de que houve quebra de sigilo. O ideal é que as empresas já criem procedimentos e orientem suas equipes sobre o que deve ser feito no caso de um vazamento. Com isso será bem mais fácil atender o prazo determinado pelo GDPR.
Considerar a contratação de DPO: o GDPR também recomenda a contratação de um DPO (Data Protection Officer, ou Encarregado da Proteção de Dados, em português), caso a empresa trabalhe com um volume muito grande de informações, seja uma autoridade pública ou ainda faça um monitoramento em larga escala. Esse profissional terá tarefas importantes, como repassar as boas práticas à equipe e garantir o cumprimento das normas do GDPR.
NA PRÁTICA, COMO PREPARAR SUA EMPRESA PARA O GDPR?
Mas e quanto a sua empresa? Já está pronta para a regulamentação que deve ser implementada nos próximos dias? Se a resposta é não, saiba o que é preciso fazer para começar a se adaptar às novas regras que chegam com o GDPR.
Ter uma boa assessoria jurídica
Essa não é questão obrigatória do GDPR, mas é um ponto chave para se resguardar juridicamente de todas as questões legais que envolvem a privacidade e a segurança na internet.
Uma boa assessoria jurídica especializada em Direito Digital e Empresarial, como a Assis e Mendes, é fundamental para que a empresa possa identificar riscos e vulnerabilidades que podem gerar problemas judiciais, criar ferramentas de proteção e gestão de crise, como os Termos de Uso e Políticas de Privacidade, e proteger o seu negócio de qualquer questão jurídica que possa surgir como fruto do recolhimento e processamento de dados dos seus clientes.
Criar um plano de ação para vazamento de dados
Infelizmente, nem as grandes corporações estão livres de vazamento de dados. Prova disso é que até empresas como Netflix, LinkedIn, Netshoes, Uber e, mais recentemente, o Facebook, já apresentaram falhas em seus sistemas de segurança que culminaram no vazamento de milhões de informações de seus clientes.
Além da necessidade de estar sempre reavaliando e reforçando as barreiras tecnológicas que protegem a privacidade dos usuários, o GDPR exige que as empresas notifiquem rapidamente os consumidores que seus dados foram expostos.
Para isso, é fundamental implementar um procedimento que identifique o vazamento o quanto antes, identifique os usuários que foram prejudicados e gere uma notificação do que aconteceu. O ideal é criar esses sistemas antes da quebra de sigilo, já que o GDPR determina que os usuários sejam avisados em, no máximo, 72 horas.
Ter sistemas mais transparentes
Outro ponto bastante importante do GDPR é trazer mais transparência ao processamento de dados, e isso exige que as empresas criem sistemas e guias que permitam que o usuário saiba quanto, como e quais dados serão recolhidos e o que está sendo feito com eles.
Os controladores devem, inclusive, deixar que o usuário escolha que a empresa apague os seus dados, um conceito bastante semelhante ao Direito do Esquecimento, ou mesmo que suas informações sejam movidas para outras empresas, algo que está sendo chamado de portabilidade dos dados.
Para garantir todas essas ações, os sistemas de processamento de dados e as rotinas dos profissionais devem ser atualizadas o quanto antes. Já existem, também, opções de programas que fazem a administração dos dados seguindo os parâmetros do GDPR, o que pode fazer a migração de sistema uma opção interessante.
COMO A ASSIS E MENDES PODE AJUDAR SUA EMPRESA COM O GDPR
Ainda tem dúvidas sobre como implementar ações que assegurem o compliance com o GDPR e a nova legislação brasileira de proteção de dados? A Assis e Mendes pode te ajudar!
O escritório conta com profissionais especializados em Direito Digital, Empresarial e Tecnologia que estão alinhados com as normas mundiais de proteção de dados e tem larga experiência em ajudar empresas a adotarem operações mais eficientes, seguras e que geram resultados!
As novas diretrizes do GDPR, lei que determina boas práticas de captação e processamento de dados baseados na União Europeia, já está mudando a forma como as empresas lidam com a privacidade de seus usuários e a proteção de seus dados, e isso inclui as companhias brasileiras.
Boa parte das empresas que vão precisar se adequar às novas normas é ligada ao ramo de tecnologia e segurança da informação, como lojas virtuais, fornecedores de software e hospedagens, e elas precisarão fazer mudanças drásticas. Caso isso não aconteça, as consequências são bastante graves.
Quem não estiver em compliance com as determinações do GDPR pode ter de pagar uma multa de até 20 milhões de euros ou o equivalente a 4% do faturamento bruto anual do negócio, um valor bastante expressivo para muitas empresas.
Para as empresas TI e tecnologia as principais mudanças devem ser:
Mudanças de acesso e transparência: as regras do GDPR indicam que deve haver transparência na coleta e gestão das informações, então os softwares precisam permitir que os usuários saibam exatamente quais dados estão sendo captados, como e por quê. O público também ganha o direito de mover suas informações ou deletá-las definitivamente, e as empresas precisam criar processos para atender essas solicitações.
Rever procedimentos de segurança: nenhuma empresa quer que os seus dados sejam violados, mas com a chegada do GDPR a tendência é de que as empresas refinem, ainda mais, os seus procedimentos de segurança para evitar o vazamento de dados.
Definir processos no caso de vazamento de informações: O GDPR estipula, ainda, um prazo de, no máximo, 72 horas para que uma companhia notifique seus clientes de que houve quebra de sigilo. O ideal é que as empresas já criem procedimentos e orientem suas equipes sobre o que deve ser feito no caso de um vazamento. Com isso será bem mais fácil atender o prazo determinado pelo GDPR.
Considerar a contratação de DPO: o GDPR também recomenda a contratação de um DPO (Data Protection Officer, ou Encarregado da Proteção de Dados, em português), caso a empresa trabalhe com um volume muito grande de informações, seja uma autoridade pública ou ainda faça um monitoramento em larga escala. Esse profissional terá tarefas importantes, como repassar as boas práticas à equipe e garantir o cumprimento das normas do GDPR.
Ter apoio legal: em uma questão tão delicada quanto à privacidade na internet, é imprescindível contar com uma boa assessoria jurídica para garantir que sua empresa esteja operando de acordo com os preceitos da lei e se protegendo juridicamente.
Se você ainda não está seguro de que sua empresa está alinhada com as novas definições do GDPR, consulte os advogados especialistas em Direito Digital da Assis e Mendes!
As novas diretrizes do GDPR reacenderam o debate sobre privacidade na internet e proteção contra o vazamento de dados dos usuários, e forçaram empresas no mundo todo a rever seus parâmetros de captação de informações.
Quem ainda não acatou as mudanças e faz qualquer tipo de negócio ou realiza processamento de dados na União Europeia está sujeito a uma multa de 4% de seu faturamento bruto ou 20 milhões de euros, mas as consequências do não seguir as orientações do GDPR podem ser ainda mais graves.
A nova lei de proteção de dados da União Europeia foi criada para garantir que as informações coletadas sejam usadas de uma forma mais transparente e segura, e essa ideia é algo que todas as empresas, mesmo as que não estão obrigadas a cumprir as normas do GDPR, poderiam considerar.
Isso porque não cuidar bem das informações dos seus clientes pode levar a um vazamento de dados e gerar consequências catastróficas para o seu negócio. Veremos, a seguir, quais são as principais
Perda de credibilidade
Se você tem dados, como nome, senha e número de cartão de crédito, cadastrados com uma empresa e ela perde suas informações, você voltaria a confiar plenamente nela outra vez?
Uma das grandes consequências do vazamento de dados é que a credibilidade da empresa pode ser bastante prejudicada. E, considerando que a credibilidade é um quesito fundamental tanto para o público consumidor quanto para o próprio mercado, esse é um efeito bastante negativo.
Prejuízo financeiro
O segundo grande reflexo do vazamento de dados é o prejuízo financeiro, seja ele direto ou indireto.
Atualmente, não existe nenhuma lei específica para punir empresas que tiveram seus bancos de dados invadidos, mas caso o consumidor que se sentir lesado ou prejudicado de qualquer forma pode exigir uma indenização para a companhia que perdeu seus dados. Podendo, inclusive, recorrer à lei de Danos Morais.
O Yahoo!, por exemplo, atualmente gerenciado por duas empresas, sendo uma delas a Altaba Inc., foi multado em 35 milhões de dólares pela SEC (Securities Exchange Comission, uma comissão de segurança americana).
A SEC entendeu que o Yahoo! soube de uma falha na segurança em 2014, mas só tornou o caso público dois anos depois. Estima-se que, no decorrer de vários ataques no período, 3 bilhões de contas tenham sido afetadas.
Além disso, ter dados vazados pode fazer com que seja mais difícil conseguir fechar novos contratos com fornecedores ou mesmo captar outros clientes, já que a sua credibilidade será afetada, e isso pode impactar duramente o seu faturamento.
Problemas legais
Além de a possibilidade de indenizar os clientes gerar custos para o caixa do negócio, ter uma porção de processos por conta do vazamento de dados não é interessante para nenhuma empresa, e é importantíssimo ter uma boa equipe de advogados ao seu lado para estudar o caso e resolver o problema da melhor maneira possível.
Como evitar o vazamento de dados
Infelizmente, não existe nenhum método 100% eficaz para evitar o vazamento de dados. Prova disso é que muitos dos grandes players no mercado já passaram por essa situação, como a Sony, Facebook, Uber e LinkedIn.
Mas, como o GDPR indica, investir em tecnologia que possa reforçar a segurança, ter profissionais especializados para repassar às equipes as melhores práticas de tratamento dos dados de seus clientes e avisar os consumidores rapidamente em caso de vazamento são as melhores formas de reduzir o risco de ter uma quebra de sigilo ou reduzir suas consequências.
Diariamente nossos dados e informações pessoais são captados por empresas na internet. Podem ser redes sociais, e‑commerces e até mesmo sites de notícias que captam nossos dados para usar em campanhas de marketing, pesquisas de mercado e outras finalidades.
Mas quem é que delimita o que a internet sabe sobre cada usuário e como as empresas utilizam essas informações pessoais?
A União Europeia diz que são os próprios usuários. Por meio do GDPR, a UE tem estimulado empresas do mundo inteiro a rever seus processos de captação e processamento de dados de usuário na web, e o Brasil também caminha com propostas que priorizam a privacidade na internet.
Isso porque, além da necessidade de implementar as orientações do GDPR, tornam-se cada vez mais frequentes os casos de vazamento de dados e crimes cibernéticos, como os ransomwares, o que mostra o quanto é importante fortalecer os parâmetros necessários para proteção na internet.
Além do Marco Civil, hoje a principal lei responsável por regular a internet brasileira, muitos documentos legais já garantem a privacidade e a proteção de informação dos usuários fora da internet e que, em teoria, devem valer para o universo online.
A própria Constituição Federal, no art. 5º, inciso X, defende que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurando o direito à indenização pelo dano material ou moral decorrente de sua violação”. E o art. 43 do Código de Defesa do Consumidor reforça, afirmando que “o consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes”.
Apesar disso, o mundo digital ainda é um pouco nebuloso para a legislação atual, e é por isso que existem diversos projetos de lei que visam a melhorar a forma como as informações do público são obtidas e utilizadas.
Na sequência, vamos conhecer alguns deles e quais são suas propostas para melhorar a proteção dos dados na internet.
Conceito de dados pessoais e sua ligação com a dignidade (PL 5276/16)
A definição do que são dados pessoais e seu tratamento ainda é um pouco controversa, e a PL 5276/16, apresentada pelo governo de Dilma Rousseff, propõe dois conceitos.
De acordo com o projeto de lei, os dados pessoais seriam “dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa”, enquanto o tratamento dos dados são “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Além dos conceitos, o PL 5276/16 relaciona o tratamento dos dados diretamente com a dignidade do ser humano, considerando que sua exploração pode impactar no bem-estar e na moral do cidadão.
Considerando isso, exige que as informações só possam ser administradas mediante a autorização expressa de seu dono e que o uso de dados considerados “sensíveis”, como opção sexual e visão política, sejam restringidos. A proposta idealiza, também, uma agência especial para regular o setor que capta, processa e utiliza dados pessoais.
Setor autorregulado (PL 4060/12)
Mais recentemente, o PL 5276/16 foi apensado ao PL 4060/12, de autoria do deputado Milton Monti, e ele legitima o interesse de captar e explorar dados pessoais em certos segmentos.
Apesar disso, a sugestão do PL 4060/12 é que o setor seja autorregulado, ou seja, as próprias empresas que captam e processam as informações definem suas regras e boas práticas, ao invés de ter um órgão específico para esse papel.
O projeto de lei ainda garante aos usuários o poder de requerer o bloqueio de seus dados, impedindo as empresas de os utilizar, um ponto bastante parecido com o que foi definido no GDPR.
Proibição com compartilhamento de dados pessoais (PL 6291/16)
De autoria do deputado João Derly, o PL 6291/16 é um pouco mais específico do que os outros projetos de lei citados até o momento. A proposta do deputado é modificar o Marco Civil da Internet de forma a proibir o compartilhamento de dados dos assinantes de aplicações de internet.
Agora apensado ao PL 5276/16, a ideia é que empresas como WhatsApp, Facebook e Google, por exemplo, detenham um grande volume de informações pessoais e altamente confidenciais de seus usuários, e que é importante garantir que essas companhias não vão compartilhar esses dados.
A proposta mostrou-se bastante atual depois do escândalo do compartilhamento de informações do Facebook em abril deste ano, quando uma reportagem no jornal americano New York Times acusava a rede social de dividir informações de um quizz com uma consultoria. A estimativa é de que cerca de 87 milhões de dados tenham sido compartilhados indevidamente.
A situação tornou-se ainda mais grave quando se apontou que as informações partilhadas podem ter sido utilizadas para influenciar os resultados das eleições presidenciais americanas, em 2016.
E você, o que achou desses projetos de lei em desenvolvimento no Brasil? Acredita que eles podem melhorar a forma como os seus dados pessoais são processados pelas grandes empresas? Comente!