Nova legislação europeia de dados traz impacto também para brasileiros
Internautas brasileiros receberam esta semana notificações de diversos aplicativos com atualizações de políticas de privacidade. Elas foram motivadas pela entrada em vigor na sexta-feira (25) da nova lei de proteção de dados da União Europeia (GDPR, na sigla em inglês). A norma foi aprovada em 2016, atualizando uma diretiva de 1995 sobre o assunto, e também terá impactos no Brasil.
A GDPR se aplica a qualquer tratamento de dados de residentes na União Europeia, mesmo no caso de empresas sediadas em outros países (como a americana Apple ou a sul-coreana Samsung. Isso inclui as corporações que oferecem bens e serviços para a região ou monitoram comportamento de seus cidadãos.
A nova regulação pode afetar empresas brasileiras que oferecem serviços ou tratam dados de cidadãos que residem na União Europeia, incluindo contratadas por outras que participem de alguma etapa de processos de tratamento de informações de residentes no bloco.
Direitos e obrigações
Para o tratamento de dados é necessário obter consentimento do titular, em um pedido que deve ser apresentado de forma clara e acessível, garantindo também o direito ao usuário de revogá-lo. A norma estabelece uma série de direitos aos cidadãos, entre eles acessar as informações que uma empresa tenha, corrigi-las e negar que elas sejam objeto de tratamento.
A lei acrescenta um item polêmico, denominado “direito ao esquecimento”: a possibilidade de o usuário solicitar a retirada de suas informações de uma plataforma (como o Google), devendo a empresa avaliar se o pleito não fere o interesse público. Também previu o direito de a pessoa não submeter suas informações a decisões automatizadas, como as linhas do tempo do Facebook ou a recomendação de vídeos do YouTube.
As empresas são submetidas a diversas exigências. Precisam notificar usuários em caso de um vazamento que implique risco a eles. Devem informar se há dados sendo processados, como e para qual finalidade. Caso instadas, ficam obrigadas a fornecer dados do usuário em formato que outras máquinas podem ler, instituindo uma espécie de “portabilidade de dados”. Têm ainda de adotar medidas tecnológicas para garantir a proteção dos dados dos usuários.
A regulação estabelece multas de até 20 milhões de euros ou de 4% do faturamento anual da empresa punida (o que for maior). Os valores variam de acordo com a gravidade da infração. Isso vale para quem processa e para quem controla os dados, incluindo armazenamentos feitos na “nuvem” (serviços que permitem acesso remoto a informações por meio da conexão à internet).
Efeito cascata
A regulação alcança usuários brasileiros por meio de um “efeito cascata”. Diversos serviços e aplicações atualizaram suas políticas de privacidade para entrar em conformidade com as exigências da norma.
“Depois de atualizar nossas políticas de dados e tornar os controles de privacidade mais fáceis de encontrar, agora vamos mostrar um alerta no Feed de Notícias, de modo que analisem detalhes sobre publicidade, reconhecimento facial e informações que eles escolheram compartilhar em seu perfil”, disse a vice-presidente de privacidade do Facebook, Erin Egan, em comunicado divulgado na página oficial da plataforma.
A Microsoft também anunciou que ampliará os direitos de privacidade estabelecidos a partir da GDPR para todos os usuários. “Conhecidos como Data Subject Rights, eles incluem o direito de saber quais dados coletamos sobre você, corrigi-los, excluí-los e até levá-los para outro local. Nosso painel de privacidade oferece as ferramentas necessárias para assumir o controle de seus dados. Nesta semana, também publicamos uma declaração de privacidade atualizada que rege produtos e serviços ao consumidor”, informou Julie Brill, vice-presidente corporativa da companhia.
O Google publicou comunicado em seu blog anunciando a atualização de sua política de privacidade em razão da GDPR. “Aprimoramos ainda mais nosso programa de privacidade, melhorando o processo de revisão de lançamento de produtos e documentando o processamento de dados de forma detalhada, tudo de acordo com as exigências de responsabilidade estabelecidas pela GDPR”, acrescentou o texto.
Já o Twitter informou que a adaptação às exigências da regulação só serão disponibilizadas para usuários na União Europeia.
Relações comerciais
A entrada em vigor da GDPR pode ter impactos também nas relações diplomáticas e comerciais do Brasil com a Europa. Isso porque o bloco pode levar em consideração o que chama de “nível de proteção” existente aqui para avaliar acordos. Contudo, o Brasil ainda não tem uma lei específica de proteção de dados, tema em debate no Congresso Nacional.
De acordo com o embaixador da delegação da UE no Brasil, João Gomes Cravinho, caso o país não aprove uma lei ou institua uma legislação distinta da europeia, poderá haver consequências na relação entre o país e o bloco. “Se não houver convergência no plano de privacidade de dados, há algumas matérias em que os operadores econômicos ficam condicionados e não podem realizar plenamente todo o seu potencial.”
As limitações poderão ocorrer porque o “nível de proteção” também será avaliado por empresas europeias na hora de fazer negócios com firmas brasileiras se houver algum tipo de transferência de dados entre as duas companhias.
Na avaliação do analista de Política e Indústria da Confederação Nacional da Indústria Fabiano Barreto, empresas devem ficar atentas aos impactos da GDPR no país. “Embora seja cedo para identificar efeitos colaterais do novo regulamento, certamente haverá. Bases de dados com informações sobre titulares de nomes de domínio, por exemplo, são ferramentas essenciais para combater a disseminação de conteúdo ilícito na internet. Equilibrar interesses individuais, como a privacidade, e interesses coletivos será um grande desafio”, afirmou Barreto.
Lei brasileira
Para que o Brasil seja considerado país com “nível de proteção adequado”, reconhecimento já existente para Argentina e Uruguai, a expectativa da União Europeia é que uma eventual lei brasileira de proteção de dados se aproxime dos termos da GDPR.
Para Renato Leite Monteiro, advogado especialista em proteção de dados e professor da Universidade Mackenzie, a aprovação de um texto distante da norma europeia pode ter impactos negativos. “Se tivermos regras diferentes, menos protetivas ou contraditórias, vai dificultar muito. Todas as discussões que levaram à GDPR deveriam ser levadas em consideração nos atuais projetos de lei.”
Atualmente, alguns projetos sobre o tema tramitam no Congresso. Nesta semana, o Senado aprovou requerimento de urgência para que o PL 330/2013, de autoria do senador Antônio Carlos Valadares (PSB-SE), seja analisado em plenário. A proposta deve entrar na pauta da próxima semana. Na Câmara, o deputado Orlando Silva (PCdoB-SP), relator da comissão especial que analisa a matéria, deve entregar nas próximas semanas nova versão do PL 4060/2012.
Agência Brasil
Foto: Marcello Casal jr/Agência Brasil