GDPR: como a legislação europeia vai afetar até as empresas brasileiras
Novas regras podem ser confusas e complexas, mas serão essenciais na proteção de dados sigilosos dos internautas
No dia 25 deste maio, a GDPR (General Data Protection Regulation ou Regulamento Geral de Proteção de Dados) finalmente entrará em vigor. A legislação, aprovada em 2016 pela União Europeia para garantir a privacidade de todos os cidadãos que habitam seus estados-membros, acabou virando motivo de desespero e fonte de dúvidas para muitos empreendedores brasileiros. Afinal, as novas regras valem ou não para empresas fora da Europa? E, se valerem, como elas podem afetar a sua companhia?
Antes de prosseguirmos, vale a pena dar uma rápida explicação sobre o que é a GDPR. Trata-se de uma regulamentação que tem como objetivo dar mais poder aos internautas no que diz respeito à coleta, armazenamento e processamento de seus dados pessoais em ambientes on-line. As novas leis garantem que qualquer cidadão europeu poderá, por exemplo, pedir a completa remoção de suas informações em um servidor ou até mesmo requisitar que elas sejam transferidas para outro serviço on-line.
Mas o projeto não engloba apenas direitos dos usuários — ele também estabelece deveres das empresas. Com a GDPR, as companhias são obrigadas a reportar às autoridades, dentro do prazo de 72 horas, eventuais invasões ou vazamentos de dados que possam comprometer a segurança de seus clientes; caso falhe em cumprir com esse combinado e deixe de apresentar um plano de ação para resolver a situação, a corporação poderá ser multada em até US$ 20 milhões de euros ou 4% de sua receita anual.
Obstáculos e dúvidas
A GDPR é, na teoria, aplicável a toda e qualquer empresa que processe dados pessoais de cidadãos europeus, independentemente de onde ela esteja sediada ou quem seja seu público-alvo primário. Digamos que uma startup brasileira esteja ofertando uma nova rede social ou uma loja virtual (e-commerce) focada apenas em brasileiros, por exemplo — se um único cidadão europeu decide se cadastrar na plataforma, a legislação passa a valer.
É justamente por isso que, no desespero por cortar gastos, alguns desenvolvedores estão embutindo códigos em seus sites que impedem a visita de internautas estrangeiros.
De fato, adequar-se à GDPR não é algo barato e tampouco simples. É necessário eleger um executivo dedicado a cuidar do assunto (Data Protection Officer ou DPO), nomear um representante para a União Europeia e ocasionalmente fazer uma série de ajustes em seu sistema para, por exemplo, garantir um opt-out mais simples por parte dos usuários.
Além disso, a legislação ainda é obscura em alguns pontos; ninguém sabe como se dará a fiscalização ou se determinados conceitos regionais (como o brasileiro “Informação Pessoalmente Identificável” versus o europeu “Personal Data”) poderão entrar em conflito. Também é provável que alguns estados-membros sejam mais rígidos em comparação com outros, o que cria uma série de cenários hipotéticos distintos.
Divisor de águas
O que todo gestor deve entender é: por mais complexo e assustador que a GDPR possa parecer, ela é um divisor de águas na história da computação e deve ser recebida de braços abertos. A coleta indiscriminada de dados digitais é um fenômeno que surgiu durante a evolução desenfreada da internet, sem que a lei tivesse fôlego para acompanhar. Armazenar e usar informações sigilosas alheias sem uma preocupação constante sobre sua proteção, infelizmente, virou um padrão no mundo inteiro.
A GDPR vem justamente para desmontar esse cenário, garantindo que todo mundo passe a trabalhar com uma mentalidade privacy-first. É algo bom para os usuários — que podem dormir tranquilos sabendo que seus dados estarão mais protegidos — e para as empresas — que transmitem maior confiabilidade para sua clientela estando em compliance com a legislação e evitam eventuais prejuízos com ataques cibernéticos.
Segurança cibernética é um assunto importante, mas ele não precisa ser tedioso. É com essa visão que a Flipside trabalha: educar as pessoas de uma forma eficiente para que elas estejam conscientizadas a respeito das ameaças on-line, garantindo a proteção tanto de seu ambiente pessoal quanto no corporativo.