Se fosse necessário apontar as principais características da atualidade, certamente, o uso da internet estaria entre elas. A predominância das atividades online nas mais diferentes práticas sociais vem mudando a forma como interagimos, estudamos, fazemos negócios e muitas outras ações, o que requer a implementação de meios para nos resguardar. É nesse contexto que surge a GDPR.

Como um instrumento que visa a regulamentar o uso de dados em plataformas virtuais, a GDPR está na base de uma série de ações formuladas para proteger os usuários logados à rede mundial de computadores. Assim, pela relevância dos seus objetivos protetivos e pelo seu potencial de alcance, é essencial que esse regulamento seja devidamente conhecido e, se preciso, utilizado.

Além de estar relacionado de forma direta às normas de segurança de dados de pessoas físicas que usam a internet, a GDPR tem repercussões sobre o funcionamento do mercado. Com o aumento significativo do número de procedimentos administrativos virtuais e de transações comerciais online, as empresas devem ficar atentas a essa regulamentação.

Foi pensando nisso que preparamos este post. Nele, vamos: i) explicar o que é a GDPR, apontando suas características e objetivos; ii) mostrar por que ela é importante; iii) indicar o seu impacto para os negócios; iv) mostrar as principais mudanças trazidas por esse regulamento e v) evidenciar possíveis sanções no caso do seu descumprimento. Confira tudo isso agora mesmo!

O que é a GDPR?

Para que uma sociedade se mantenha em ordem, é essencial que os seus indivíduos e as instituições criadas por eles tenham acesso a direitos e cumpram deveres previamente estabelecidos. Assim, a implementação e o consequente cumprimento de normais de caráter legal funcionam como meios socialmente legitimados de garantir que cidadãos e órgãos institucionais permaneçam em equilíbrio.

É nesse contexto que se enquadra a GDPR, sigla de General Data Protection Regulation, traduzida em português como Regulamento Geral de Proteção de Dados. Ou seja, em termos gerais, trata-se de um conjunto de regras que têm força de lei e servem para normatizar as práticas de uso de informações consideradas adequadas no ambiente eletrônico.

Esse instrumento de regulação virtual faz parte de uma série de iniciativas que visam a fortalecer a ideia de cidadania digital. Esse conceito pode ser entendido como a utilização responsável da tecnologia por pessoas físicas e corporações, estando, dessa forma, diretamente relacionado ao exercício de direitos e ao cumprimento de deveres no ambiente digital.

No entanto, tendo em vista que a propagação do uso em massa da internet é ainda relativamente recente, a legislação relativa ao uso de dados virtuais está sendo construída em muitos países. Desse modo, mesmo que sejam feitas as mais diversas atividades em meio eletrônico, como compras, vendas e cursos acadêmicos, com cada vez mais frequência, muitas delas não estão totalmente regulamentadas.

A GDPR tem a finalidade de preencher, pelo menos em parte, essa lacuna de segurança ao cidadão digital. Isso porque, como se trata de um conjunto de leis que assegura o manuseio de informações pessoais em plataformas online, essa regulamentação tem potencial para proteger o usuário ao longo da realização de serviços financeiros ou mesmo em suas interações nas redes sociais.

Embora tenha repercussões importantes no Brasil, a GDPR foi criada, em 2012, aprovada, em 2016, e está sendo implementada pelos países da União Europeia. Inicialmente, esse dispositivo legal foi proposto para impedir determinados tipos de ataques virtuais aos dados de internautas, como nos casos de vazamentos de informações de usuários de redes sociais.

Nessa perspectiva, a GDPR torna-se um grande agente regulatório de uso de dados pessoais no universo virtual. Isso porque essa regulamentação busca a harmonização das normas legais de dados privados em todo o território da União Europeia, de forma a resguardar e fortalecer a privacidade de dados de todos os cidadãos, reorganizando os meios de manipulação de informações online.

Você deve estar se perguntando qual o impacto da GDPR, uma legislação europeia, nas atividades virtuais brasileiras. Certo? A questão é que ainda que a GDPR tenha sido elaborada para parte considerável do território europeu, sendo válida, portanto, para as atividades virtuais desenvolvidas nessa abrangência, as práticas online que têm associação com a União Europeia são afetadas.

Isso significa que companhias de todo o mundo que tenham algum formato de negócio com um país da União Europeia deverão se adequar às normas da GDPR. Logo, uma loja online no Brasil, por exemplo, que pretenda vender produtos ou oferecer serviços precisará obrigatoriamente se submeter a essa legislação para que possa efetuar a transação.

Além disso, a GDPR já tem sido seguida por empresas que não necessariamente são provenientes da União Europeia ou lidam apenas com os seus cidadãos. Em razão da viabilidade de utilizar essa regulamentação como forma de padronizar as operações com os dados de usuários de todo o mundo, companhias como o Facebook, a Microsoft e a Apple já estão adotando totalmente a GDPR.

A implementação indiscriminada quanto ao país de uso desse marco regulatório consiste em uma ação estratégica por parte das corporações. Considerando que muitos dos seus serviços são disponibilizados globalmente, o ajuste de toda a plataforma a partir de um único padrão é muito mais viável do que a realização de mudanças localizadas, que poderiam levar a alguma infração legal.

Para que possa reforçar de maneira apropriada a proteção de dados dos cidadãos digitais, a GDPR exige que as companhias que queiram utilizar as informações dos usuários invistam em cibersegurança. Esse investimento requer que as empresas levem em conta os três pilares da GDPR: a governança de dados, a gestão de dados e a transparência de dados.

Fazem parte do pilar de governança de dados os procedimentos relativos à notificação de falhas, à privacidade no escopo e ao gerenciamento de fornecedores. Com base nele, todos os processos relativos a inoperações do sistema e computação inapropriada de informações devem ser comunicados e sanados. Os fornecedores também devem registrar os dados de processamento.

O pilar de gestão de dados é composto por operações de exclusão, processamento e transferência de dados. É a partir desse fundamento que os cidadãos têm o direito de solicitar a exclusão de dados de um órgão, e as empresas são obrigadas a manter registros de todas as atividades de processamento de informações e vetadas de repassar dados para terceiros sem a devida alteração.

O segundo pilar requer que as companhias que processam um número maior do que cinco mil registros de dados ao longo de um ano a destinarem um funcionário especificamente para gerir tais informações. Cabe a esse profissional monitorar se as operações executadas pela empresa estão de acordo com as normas da GRPD, avaliar a proteção de dados e treinar colaboradores.

Já o pilar de transparência de dados é constituído pelos processos de consentimento, portabilidade de dados e políticas de privacidade. De acordo com essa base, as corporações precisam comprovar que possuem autorização para processar dados, disponibilizar uma cópia deles aos seus clientes sempre que solicitadas e divulgar aos envolvidos informações sobre o processamento.

Para que a adequação do funcionamento de uma companhia — quanto ao manuseio das informações dos seus clientes — ocorra é preciso que ela crie e implemente padrões que estejam em conformidade aos três pilares do GDPR conjuntamente.

Por que a GDPR é importante?

A importância da adoção da GDPR pode ser concebida tanto do ponto de vista do consumidor digital quanto da ótica da empresa que tem algum tipo de atuação online. Embora seja possível dar ênfase a uma dessas duas perspectivas, como faremos a seguir, a atuação de uma interfere diretamente na ação da outra, sendo ambas fundamentais.

Para o consumidor, a GDPR é importante porque oferece garantias a ele de que os seus dados fornecidos em uma plataforma online estão protegidos de uma eventual utilização não autorizada. Assim, o cidadão digital não corre o risco de ter as suas informações particulares usadas para fins ilegais que possam até mesmo prejudicá-los moral ou financeiramente.

E, com o uso cada vez mais frequente da internet para a realização de atividades com as mais diversas finalidades, contar com esse tipo de proteção é fundamental para a segurança do indivíduo. Basta levar em consideração os logins e as senhas que usamos quase que diariamente para nos registramos e termos acesso ao e-mail ou a redes sociais.

Se, para o usuário de uma plataforma digital, a segurança de informações, é essencial, isso não é diferente no caso de quem está do outro lado da configuração de um serviço digital, a empresa. Tal fato é válido tanto para grandes companhias que lidam necessariamente com dados online, como o Google, quanto para pequenas empresas que efetuam algum tipo de operação digital.

No caso das corporações que trabalham especialmente com informações virtuais, a segurança dos dados dos seus usuários está associada à própria sobrevivência do negócio. Um e-commerce ou um provedor de e-mail que não protege as credenciais dos seus clientes pode perder toda a sua credibilidade no mercado e até estragar a imagem da corporação.

Mesmo as empresas que não usam as plataformas online como canal único de venda ou de prestação de serviços são beneficiadas de forma direta pela implantação da GDPR. Esse ganho de vantagens ocorre em virtude da constante automatização de processos administrativos, contábeis, financeiros e fiscais, que é exigida para que um negócio se mantenha competitivo.

Assim, atualmente, é cada vez mais comum que uma companhia utilize ferramentas computacionais em sua rotina, como softwares para fazer a sua gestão tributária e orçamentária. Além disso, já há diversos sistemas de coleta, armazenamento e integração de dados que visam a otimizar o gerenciamento de informações dos clientes de uma empresa.

A própria lucratividade de um negócio pode ser aumentada a partir da segurança de dados proporcionada pela GDPR. Com maior proteção das informações necessárias para a conclusão de uma negociação e privacidade no processamento das transações financeiras, uma corporação pode investir mais no uso de operações virtuais com os seus clientes sem correr o risco de fraudes.

Qual o impacto da GDPR nos negócios?

Como mostramos na seção anterior, a adoção da GDPR tem grande importância para o mundo corporativo, uma vez que a maioria das empresas trabalha direta ou indiretamente com a utilização de dados virtuais de seus clientes. Isso faz com que a segurança das informações dos consumidores seja vital para as transações feitas por essas companhias.

Além disso, a própria operação das companhias muitas vezes acaba se tornando dependente da adequação às normas dessa regulamentação, pois, com a padronização global baseada na GDPR, uma empresa que não se enquadrar estará inapta para manusear os dados virtuais dos clientes. Portanto, a adesão a esse marco regulatório consiste em uma obrigatoriedade e não em uma opção.

Para se ter uma ideia sobre isso, basta listarmos os pontos-chave dos 11 capítulos que constituem a GDPR. Trazemos, a seguir, uma síntese de cada um deles, enfatizando a relevância dessa regulamentação em um negócio e indicando as obrigações gerais da empresa. São elas:

  1. A disponibilização obrigatória da identidade e do contato do controller, que consiste na companhia que estabelece os meios e as finalidades de processamento de dados.
  2. O fornecimento dos contatos da corporação de data protection, que é o responsável pela supervisão da estratégia e a implantação da proteção de dados, garantindo a conformidade com as especificações normativas da GDPR.
  3. O detalhamento ao usuário sobre quais informações serão coletados, de que forma acontecerá a sua utilização, as razões do processamento de dados e os fundamentos legais para isso.
  4. A listagem dos destinatários dos dados armazenados, caso haja.
  5. A apresentação do período de tempo em que uma determinada informação ficará armazenada ou, se não houver possibilidade, o critério empregado para determinar esse espaço temporal necessário.
  6. A explicitação das principais consequências da ausência de disponibilização de dados.
  7. A especificação do tipo de base de informações – se uma fonte pública, isto é, em que a coleta não é feita diretamente do usuário, ou privada.
  8. A concessão do direito ao cliente de corrigir, sempre que necessário, as informações que foram inicialmente fornecidas.
  9. A atribuição do direito de o usuário, a qualquer momento, retirar o seu consentimento para a empresa processar os seus dados.
  10. A proteção específica quanto à coleta de dados mais sensíveis, como aqueles que indicam convicções filosóficas ou religiosas, origem étnica ou racial, dados genéticos e biométricos, orientação sexual, opiniões políticas, condições de saúde e filiação sindical.
  11. O tratamento de dados de um indivíduo menor de 16 anos somente nos casos de consentimento expresso pelo titular de sua responsabilidade parental.

Nesse contexto, cabe a cada negócio encontrar as estratégias que mais satisfaçam às exigências técnicas da GDPR bem como às suas próprias especificidades de funcionamento e de mercado. A depender do ramo de atuação, do tipo de gestão e do modo de funcionamento de uma empresa, ela deverá implementar o uso de ferramentas tecnológicas particulares.

É aqui que se torna essencial contar com o suporte de profissionais da área de tecnologia da informação, uma vez que eles serão capazes de indicar quais as melhores soluções que atendam tanto às normas da GDPR como as demandas empresariais. Mas, é preciso levar em conta que estar em conformidade com as normas da GDPR é mais que uma questão de governança de dados.

Obviamente que é fundamental ter ferramentas eficientes e dispor um agente de dados engajado o bastante para que a empresa possa se adequar às regras da GDPR. No entanto, é igualmente essencial que a companhia crie estratégias empresariais que não só atendam a essa regulamentação, mas, estejam em consonância às finalidades mercadológicas da corporação.

Desse modo, recomenda-se que o negócio implemente políticas de funcionamento capazes de garantir o cumprimento da GDPR e, ao mesmo tempo, eficientes o bastante para estabelecer relações digitais duradouras e confiáveis com os seus clientes. Isso requer a implementação de práticas transparentes e eficazes de gerenciamento de informações.

Outro impacto da GDPR para os negócios é o alto potencial de fortalecimento que essa regulamentação proporciona para a imagem da empresa e sua competitividade. Ou seja, é possível fazer dos custos inevitáveis que são gerados pela implementação de ferramentas tecnológicas e contratação de pessoal treinado importantes investimentos de curto e médio prazos.

Nessa perspectiva, ao adotar uma política de dados focada na proteção de informações dos seus clientes, uma empresa demonstra ter preocupação e cuidado com eles, o que tem tudo para ser um forte fator de fidelização. Com a propagação de uma cultura corporativa baseada na segurança e privacidade do seu consumidor, o negócio que a implementa torna a sua marca muito mais confiável.

Quais as principais mudanças trazidas pela GDPR?

De modo geral, a GDPR obriga as empresas a utilizarem somente os dados que são autorizados pelos seus usuários, bem como confere maior confidencialidade a essas informações e propicia transparência aos processamentos que são efetuados com elas. Tal paradigma gera algumas mudanças importantes, entre as quais podemos destacar:

  • A corporação não pode utilizar as informações dos seus clientes de forma indiscriminada. Assim, a companhia precisa estabelecer formas de o usuário conhecer a finalidade de utilização dos seus dados para, então, poder escolher como eles serão tratados digitalmente e, a partir disso, autorizar ou não o seu uso.
  • Como o usuário passa a ter direito de reivindicar o conhecimento integral, a alteração e a exclusão dos seus dados do sistema de uma companhia, o negócio deve disponibilizar canais para que ele possa fazer a solicitação.
  • A corporação deve empregar linguagem clara, objetiva e legível para que qualquer usuário tenha condições de compreender as comunicações sobre suas informações, especialmente os termos de privacidade.
  • Caso ocorram incidentes que ocasionem a violação da privacidade dos dados dos clientes que estão sob sua gestão, a empresa passa a ser obrigada a notificar as autoridades competentes em, no máximo, 72 horas.
  • O cuidado com a segurança dos dados do usuário deve estar presente desde o planejamento das atividades virtuais que a empresa desenvolverá com os dados virtuais, de modo a evitar a vulnerabilidade do sistema de informações.
  • Em certas circunstâncias, as companhias terão que operar obrigatoriamente com um Data Protection Officer, ou seja, um profissional responsável pela supervisão do tratamento de informações pessoais, prestação de esclarecimentos e comunicação com autoridades.

O que acontece com a empresa que descumprir a GDPR?

É natural que toda regulamentação seja acompanhada de sanções legais no caso de eventuais descumprimentos de suas normas em vigência. E isso não é diferente com a GDPR, que estabelece a emissão de notificações e multas para as empresas que não operarem em conformidade com as diretrizes constantes na regulamentação.

As corporações podem receber multas que incidem em até 4% sobre o valor do seu volume de negócios geral anual. Já o montante de 20 milhões de euros é cobrado como penalização às empresas que violarem os pilares fundamentais do GDPR ou não possuírem o consentimento necessário dos seus consumidores quanto às operações com os dados virtuais.

Sanções financeiras de outros tipos foram fixadas em 2% sobre o valor global anual de negócios. Entre elas, estão as que devem ser aplicadas quando as companhias estiverem com os registros de dados em desacordo com os itens previstos na GDPR ou não emitirem a notificação relativa ao vazamento de informações.

Portanto, quanto maior a empresa que comete alguma infração referente à utilização dos dados dos seus clientes, mais elevados podem ser os valores no caso de haver a emissão de multas graves. E, no caso de companhias com maior lucratividade, pode haver repercussões negativas, tendo em vista o prejuízo financeiro que pode ser gerado.

É importante lembrar que a aplicação de penalidades não se restringe a corporações que têm sedes dentro da União Europeia. Como a GDPR é válida para empresas que operam com qualquer tipo de dado que tenha alguma relação com países pertencentes a esse grupo, as autoridades estrangeiras podem recorrer a acordos internacionais para emitirem as multas.

Como mostramos ao longo do post, a implementação da GDPR traz mudanças importantes tanto para as empresas quanto para os consumidores que operam com dados sob o formato digital. Ao proteger as informações virtuais dos consumidores, essa regulamentação propicia maior segurança e contribui de forma considerável para evitar fraudes.

A implantação da GDPR também tem grande relevância para o universo corporativo, não podendo ser ignorada, nem mesmo no Brasil. Por impor as diretrizes de utilização de dados virtuais dos usuários, esse marco regulatório faz com que as empresas devam se adequar a ele, o que as deixa na legalidade e evita a emissão de penalidades financeiras.