Era 25 de maio de 2018 e o sol estava certamente brilhando em muitos dos (então) 28 estados membros da União Europeia (EU). Nos escritórios de muitas empresas dentro (e também fora) da UE, este dia foi caótico.

Nos dias anteriores a este momento, as empresas haviam enviado inúmeros e-mails a clientes e consumidores pedindo seu consentimento para receber suas newsletters, algo que nunca haviam pedido antes deste dia. Ao mesmo tempo, muitas empresas sem pessoal especificamente treinado haviam tentado descobrir que tipo de dados eram coletados de seus clientes e como organizá-los e protegê-los no futuro.

Qual foi o fato histórico?

Nesse dia, entrou em vigor o Regulamento Geral de Proteção de Dados (GDPR). Esta regulamentação mudou drasticamente a mentalidade de muitas pessoas - principalmente na Europa - sobre o uso de dados pessoais por empresas da UE e de fora da UE que coletam, processam e armazenam dados de cidadãos da UE.

Quatro anos depois, os consumidores na Europa esperam que as empresas cumpram essa regulamentação ao clicar no botão "Aceitar" ou "Concordo" nos termos e condições de seus sites (o que, sejamos sinceros, quase ninguém lê), assim como assumir que as autoridades reguladoras monitorarão a implementação da regulamentação.

Então, quais foram as principais mudanças?

Antes da GDPR, ninguém sabia realmente que tipo de dados dos consumidores eram coletados e processados pelas empresas. O Facebook só guardava nosso nome e número de telefone ou e-mail? O Google armazenava um registro de nossas buscas? O que a Netflix sabe sobre nós a partir do conteúdo que assistimos? E como essas empresas usam esse conhecimento?

1. Para responder a estas perguntas, a GDPR se aplica a uma ampla gama de dados coletados:

  • Informações básicas de identidade: nome, endereço e número de identificação, crenças religiosas, filiação política, origem racial ou étnica, orientação sexual.
  • Dados de saúde: condições de saúde, exames de sangue, vacinas contra a Covid-19, etc.
  • Comunicações: geolocalização, endereços IP, histórico web, chamadas telefônicas e textos.
  • Outros dados, como informações bancárias, dados de compra e uso de aplicativos.

2. As empresas precisam respeitar os oito direitos dos cidadãos:

  • O direito de ser informado de que seus dados estão sendo coletados e usados, por quanto tempo e como serão compartilhados. Estas informações devem ser fornecidas em linguagem simples e acessível.
  • O direito de poder acessar todos os dados coletados por uma empresa, bem como a razão pela qual os dados são coletados ou através de qual fonte foram adquiridos.
  • O direito de retificação em caso de dados incompletos ou errôneos.
  • O direito ao esquecimento pode ser solicitado se a qualquer momento alguém retirar o consentimento dado a uma empresa para reter esses dados se as informações não forem mais necessárias ou se foram processadas ilegalmente.
  • O direito de restringir ou limitar o processamento como uma alternativa à supressão dos dados. Os usuários podem simplesmente solicitar que seus dados não sejam usados para alguns fins. Por exemplo, pode-se dar consentimento para o uso de dados para personalização de conteúdo dentro de uma plataforma de streaming, mas não em campanhas de marketing.
  • O direito de objeção ao processamento de outros dados.
  • O direito à portabilidade dos dados. Caso o usuário queira acessar seus dados coletados por uma empresa e fornecê-los a outra, o resultado final é: seus dados são seus. O usuário pode levá-los para onde quiser.
  • O direito de não ser perfilado com base em um conjunto de dados com características que possam definir comportamentos, crenças ou outras informações.

3. Tem um impacto global

Pode-se dizer que esta regulamentação foi uma mudança drástica apenas para as empresas sediadas na UE, mas seus efeitos vão muito além disso. A GDPR se aplica a todas as empresas que oferecem bens ou serviços na UE ou que processam os dados de qualquer cidadão da UE. Da mesma forma, os dados dos cidadãos da UE só podem ser exportados (e usados por) países com regras de privacidade similares.

Siendo una de las tres economías más grandes del mundo, la UE impulsa la inversión desde todos los rincones, estableciendo GDPR como un requisito estándar mínimo para operar en cualquiera de los 27 estados miembros. No sorprende que, en todo el mundo, los organismos  que regulan la protección de datos hayan adoptado legislación nacional en un esfuerzo por armonizar el conjunto de reglas que las empresas deben cumplir.

Como uma das três maiores economias do mundo, a UE impulsiona os investimentos de todos os cantos, estabelecendo a GDPR como um requisito padrão mínimo para operar em qualquer um dos 27 estados membros. Não surpreende que, em todo o mundo, os reguladores de proteção de dados tenham adotado legislações nacionais em um esforço para harmonizar o conjunto de regras que as empresas devem cumprir, como por exemplo, a LGPD no Brasil.

Este é o caso do Brasil, Canadá, Argentina, Uruguai, Japão, Nova Zelândia e, mais recentemente, da Coréia do Sul. De fato, o PIPEDA no Canadá está em vigor desde 2001, tendo emprestado muito de seu espírito à legislação da UE no que diz respeito ao estabelecimento da responsabilidade como princípio legislativo fundamental, mas com uma diferença essencial: ao contrário da legislação canadense, a GDPR se aplica não apenas aos atores comerciais, mas também aos órgãos governamentais.

Nos Estados Unidos, no entanto, o quadro é um pouco mais diversificado. Em nível federal, diferentes leis regulamentam áreas específicas, tais como a HIPAA para saúde, a FCRA para pontuação de crédito, a FERPA para educação, a GLBA para empréstimo e dados de investimento, a ECPA para monitoramento de comunicações, a COPPA limitando o processamento de dados referentes a crianças menores de 13 anos, a VPPA para registros de aluguel VHS, ou a Lei FTC que garante que as empresas cumpram com suas próprias regras de privacidade. Apenas três estados adotaram leis de privacidade abrangentes: a Califórnia tem a CCPA (e sua próxima "atualização" conhecida pela sigla CPRA); e há também as leis VCDPA da Virgínia e ColoPa do Colorado que entrarão em vigor no próximo ano.

4. No caso de um vazamento de dados, o incidente deve ser reportado no máximo 72 horas após a descoberta

Uma das maiores novidades introduzidas pela GDPR foi a obrigação das empresas de comunicar um vazamento de dados dentro de um prazo máximo de três dias após tomarem conhecimento do incidente. Em comparação, até agora, o limite de tempo mais rigoroso sob os regulamentos dos Estados Unidos para a comunicação de incidentes era de 30 dias.

Esta exigência obrigou as empresas a terem planos proativos para lidar com casos de vazamentos de dados, uma postura que vai contra a tentação a procrastinação em relação ao assunto, numa tentativa de evitar uma crise de relações públicas. Em um momento em que os vazamentos de dados são comuns, os cidadãos precisam saber que seus dados podem estar comprometidos para que possam tomar medidas preventivas.

5. Se alguma destas regras não forem cumpridas, há multas

Estas certamente não são apenas palavras vazias sem consequências significativas. A GDPR está sendo aplicado e, desde 23 de maio de 2022, os vazamentos de dados resultaram em 1093 multas que totalizam cerca de 1,63 bilhões de euros (US$ 1,74 bilhão).

Em 2021, a Amazon foi multada em 746 milhões de euros (US$ 865 milhões), a maior quantia até o momento, por publicidade direcionada sem o devido consentimento. O caso contra a Amazon foi retomado por funcionários na Lux, onde a empresa está sediada, depois que a organização francesa La Quadrature du Net apresentou a queixa em nome de 10 mil pessoas que assinaram sua petição. Também em 2021, o Google foi multado em 90 milhões de euros (US$ 102 milhões) por não fornecer aos residentes na França uma opção fácil de recusar o uso de cookies (os cookies são parcialmente regulados pela ePrivacy Directive (ePD), mas a GDPR se aplica porque rege a forma como o consentimento de dados é tratado). O Google Irlanda e o Facebook receberam multas semelhantes pelo mesmo motivo.

Outras empresas bem conhecidas, como a marca de roupas H&M, a companhia aérea British Airways e até mesmo a administração tributária e aduaneira holandesa foram multadas e tiveram que adaptar seus mecanismos de proteção de dados.

Você está no controle de seus dados

Esta é uma das mensagens que muitas empresas tendem a passar para os seus clientes hoje em dia. Estas declarações fazem com que o indivíduo se sinta capacitado e mostram que as empresas cumprem com os padrões de privacidade e de dados.

A GDPR foi sem dúvida um primeiro passo importante para garantir que nossos dados estivessem seguros. Mas a simples existência deste regulamento não deve nos impedir de questionar por que esta coleta de dados é necessária. Por que as empresas precisam saber tanto sobre o que fazemos, para onde vamos ou como nos vestimos? E que alternativas existem quando não consentimos o uso de uma parte específica de nossos dados? Podemos encontrar serviços alternativos?

Além disso, se tantos serviços e aplicativos não se importam de nos dar acesso a eles gratuitamente em troca de nossos dados, então qual é o valor real de nossos dados que pode exceder as receitas baseadas em taxas de assinatura?

Esta é certamente uma conversa que todos nós precisaremos ter o quanto antes.