GDPR [Guia Completo]: tudo que você precisa saber sobre a Lei

Se você administra uma empresa e nunca ouviu falar em GDPR, é possível que sua companhia não esteja aproveitando todas as possibilidades da era da informação.

Essa sigla se refere a um regulamento criado na Europa, que dispõe sobre a proteção de dados pessoais de cidadãos europeus.

Mas o que isso tem a ver com as empresas?

O que acontece é que os dados de clientes são um insumo cada vez mais importante para as organizações.

Com o mundo tão conectado, foram ampliadas as possibilidades de obter e processar informações.

E muitas empresas perceberam o grande valor que os dados têm para garantir vantagens competitivas.

É fácil de entender: os dados possibilitam conhecer melhor os clientes e possíveis clientes, o que permite desenvolver processos, produtos e serviços mais alinhados com suas expectativas.

Já falamos bastante sobre isso em artigos sobre o big data e business intelligence. Recomendamos a leitura caso você deseje entender melhor esse universo.

Neste texto, queremos ir um pouco adiante. Além de falar sobre as oportunidades que estão nesses dados, vamos abordar a responsabilidade no seu uso.

É disso que se trata o GDPR, como vamos procurar explicar ao longo do artigo.

São estes os tópicos que você vai conferir:

• O que é GDPR ou “General Data Protection Regulation”?
• O que significa transparência e responsabilidade pela GDPR?
• Como é o GDPR do Brasil?
• O que o GDPR muda na vida de quem é brasileiro?
• Quais são as principais obrigações do GDPR?
• O que acontece com a empresa que descumprir o GDPR?
• Qual o papel de cada envolvido no GDPR?
• Os três pilares da GDPR
• Por que a GDPR foi criada?
• Como criar normas e estratégias de dados que respeitem a GDPR?
• O GDPR vale para os cidadãos de quais países?

Boa leitura!

O que é GDPR ou “General Data Protection Regulation”?

O GDPR é um regulamento do Parlamento Europeu e Conselho da União Europeia que estabelece regras sobre a privacidade e proteção de dados de cidadãos da União Europeia e Espaço Econômico Europeu.

A sigla significa General Data Protection Regulation, o que podemos traduzir como Regulamento Geral sobre a Proteção de Dados.

A primeira proposta para o GDPR ocorreu em janeiro de 2012, e o fim das negociações se deu em dezembro de 2015, culminando na assinatura do regulamento, em janeiro de 2016.

Sua vigência, porém, teve início somente em maio de 2018. Mas não se trata da primeira lei europeia nesse sentido.

Em 1995, foi criada a Data Protection Directive, ou Diretiva de Proteção de Dados, revogada com a implementação do GDPR.

Mesmo já existindo regras sobre a proteção de dados de cidadãos europeus, muita coisa mudou entre 95 e o cenário atual.

A hiperconectividade e soluções tecnológicas levaram a obtenção e uso de dados de usuários a outro nível, gerando uma série de dilemas éticos com os quais não nos preocupávamos antes.

Mais adiante, vamos detalhar o que diz o GDPR e as motivações por trás da sua criação.

O que significa transparência e responsabilidade pela GDPR?

Esses são dois conceitos fundamentais quando o assunto é proteção de dados.

No caso da transparência, é a prática de não esconder nada. Afinal, uma coisa transparente permite que vejamos através dela, não é mesmo?

No caso dos dados, significa que as empresas que coletam dados de pessoas precisam deixar muito claro para todos qual uso que farão deles.

Sem a transparência, não é possível que haja consentimento, outro conceito importante no GDPR.

A partir de uma política de transparência e notificação de privacidade, o próprio usuário deve ter controle de quais dados serão utilizados.

Quanto à responsabilidade, trata-se de fazer com que as empresas mudem sua postura em relação ao compromisso de portar dados de outras pessoas.

Podemos usar como exemplo de responsabilidade – ou melhor, de falta de responsabilidade – o caso da Cambridge Analytica.

Trata-se de uma empresa privada de análise de dados que desenvolveu uma aplicação para o Facebook para coletar informações de usuários e usá-las indevidamente em campanhas eleitorais – como a de Donald Trump.

Nessa ocasião, foi o Facebook quem coletou os dados, mas uma falha em sua política de privacidade permitiu que eles fossem utilizados para fins políticos por outra companhia.

Como é o GDPR do Brasil?

Inspirado no GDPR, o Brasil também criou sua lei de proteção de dados pessoais.

No dia 14 de agosto foi aprovada a Lei Nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais, ou LGPDP.

A maioria de seus artigos entrarão em vigor apenas dois anos após a publicação da lei, ou seja, em 14 de agosto de 2020.

A lei determina o que pode e o que não pode ser feito em relação à coleta e tratamento de dados no país, prevendo punições para as empresas que desrespeitarem os seus dispositivos.

A criação dessa lei não significa que podemos esquecer tudo o que consta no GDPR e substituir pelas determinações que constam no texto brasileiro.

Isso porque o regulamento europeu é independente e vale para quaisquer países que coletarem dados de cidadãos do continente, como explicaremos a seguir.

A principal diferença entre as duas leis é que a europeia é mais completa e detalhada.

O que o GDPR muda na vida de quem é brasileiro?

Quando se fala no GDPR, muitos perguntam por que precisam se preocupar, já que se trata de um regulamento europeu, e não brasileiro.

A resposta é muito simples: as regras valem para qualquer organização que colete e armazene dados de cidadãos do Velho Continente, seja qual for o país em que essas instituições estejam.

O exemplo mais comum é o de hotéis, hostels, pousadas e outros estabelecimentos que hospedam estrangeiros.

É praxe, nesse tipo de empresa, que os hóspedes preencham uma ficha com suas informações ao fazer o check in.

Essas informações estão no grupo de dados pessoais protegidos pelo GDPR.

Caso coletem dados pessoais de seus clientes e recebam europeus, restaurantes, lojas e outros estabelecimentos também devem se enquadrar nas regras do regulamento.

E também, é claro, os serviços online que exigem cadastro dos usuários – além de lojas virtuais, esse é um expediente comum entre produtores de conteúdo.

O mesmo vale para aplicativos de smartphone que solicitam acesso aos dados registrados no aparelho do usuário, um cadastro ou ou conexão via conta Google ou Facebook.

Por fim, é importante ficar atento aos brasileiros com dupla cidadania, caso sejam cidadãos de um país da União Europeia ou Espaço Econômico Europeu.

Quais são as principais obrigações do GDPR?

O GDPR é um documento detalhado e extenso, composto por 11 capítulos e dezenas de páginas.

Nesta página, você pode conferir o texto completo em português (de Portugal).

A seguir, vamos resumir alguns dos principais pontos do regulamento para você ter uma melhor ideia do que ele dispõe.

Direito ao esquecimento

Com o direito ao esquecimento, as empresas são obrigadas a deletar registros de informações pessoais que não sejam necessárias para propósitos históricos, estatísticos, científicos, para saúde pública ou para exercer a liberdade de expressão.

Proteção para crianças

Há um capítulo especial com regras para evitar a exposição excessiva de crianças na internet – exigindo consentimento dos pais para cadastro de crianças em redes sociais, por exemplo.

Permissão para uso de dados

Para processar dados pessoais de cidadãos europeus, a empresa precisa receber uma permissão clara e afirmativa de cada usuário.

Portabilidade

Os cidadãos têm o direito de transferir, sem restrições, seus dados pessoais de um serviço conectado para outro, de forma similar à portabilidade do celular.

Invasão e vazamento de dados

Caso os servidores nos quais os dados são armazenados forem invadidos por hackers, as empresas precisam avisar os clientes em até 72 horas após tomarem conhecimento da invasão.

Linguagem clara

É necessário que as empresas que coletam e processam dados dos cidadãos europeus expliquem suas políticas de privacidade de maneira clara e compreensível.

Controlador de dados

Empresas precisam de um controlador de dados, profissional responsável por demonstrar que a companhia está em conformidade com os princípios do regulamento.

Extraterritorial

O GDPR é a única lei da União Europeia que vale para países e empresas que não estão dentro do bloco.

Transferência de dados

Dados pessoais de cidadãos europeus só podem ser transferidos para países com leis de proteção equivalentes ao GDPR.

O que acontece com a empresa que descumprir o GDPR?

As empresas que não cumprirem os dispositivos do GDPR estão sujeitas a multas que podem ser um tanto pesadas.

Infrações leves podem resultar apenas em notificações, mas estão previstas também penalizações que chegam a € 20 milhões ou a 4% sobre a receita anual global da companhia – o que for maior.

O percentual pode parecer pequeno, mas quando falamos em gigantes da tecnologia com atuação no mundo inteiro, como o Facebook, o montante é extremamente alto.

No caso de empresas brasileiras ou de qualquer outro país, caso elas não possuam escritório em algum local da União Europeia, não está claro como serão aplicadas as sanções.

O mais provável é que as autoridades recorram a acordos de cooperação internacional ou procedimentos diplomáticos. Nenhum desses expedientes, porém, é simples e garantido.

Qual o papel de cada envolvido no GDPR?

O GDPR envolve, basicamente, três grupos de envolvidos.

O primeiro são as autoridades que legislam, fiscalizam, recebem denúncias e autuam.

Se, no Brasil, estamos acostumados com agências reguladoras ineficientes, que não cumprem como deveriam seu papel de prezar pelos direitos do consumidor, não espere o mesmo dos órgãos europeus.

O segundo grupo é o das empresas, que precisam ajustar seus processos (mais adiante, falaremos mais sobre isso) para respeitar as determinações do regulamento.

Trata-se não apenas de evitar as sanções, mas de atuar de forma ética e transparente, respeitando a privacidade de seus clientes.

O terceiro grupo é o dos cidadãos europeus que cadastram fornecem seus dados a empresas, não importa onde elas estejam.

O cumprimento da lei vai depender, em grande parte, de sua atuação, denunciando práticas que não estão alinhadas com o GDPR.

Quanto à coleta, armazenamento e uso de dados de cidadãos brasileiros ou de outros países que não da União Europeia, aplicam-se as leis locais.

Os três pilares do GDPR

É importante encarar o GDPR não como algo que surgiu apenas para atrapalhar e burocratizar os processos nas empresas.

O processo de adequação pode ser bastante complicado e se tornar um entrave à eficiência de algumas companhias, sim.

Mas é preciso entender que há um propósito maior por trás da lei: o direito que as pessoas têm de verem seus dados pessoais sendo usados com responsabilidade.

Para que você compreenda melhor a importância disso tudo, explicamos, a seguir, quais são os três pilares que originaram as regras do GDPR.

Governança de Dados

A governança de dados implica na criação de um sistema, no qual é definido previamente quem age com qual informação e em que momento.

O sistema também descreve quais métodos são utilizados.

Tudo isso para uma maior transparência e para facilitar a tomada de decisões.

A governança de dados envolve a gestão de pessoas, tecnologias, políticas e processos, envolvendo manuais de conduta e códigos, disponíveis a todos dentro de uma empresa.

Gestão de Dados

Enquanto a governança é a organização prévia do trabalho, a gestão de dados é o trabalho em si.

Nesse pilar, se enquadram várias regras práticas do GDPR, como a obrigação que as empresas têm de manter os registros internos de todas as atividades de processamento de dados.

Segundo o regulamento, qualquer organização com mais de 5 mil registros de dados em um período de 12 meses precisa ter um profissional responsável pela gestão dos dados.

Transparência de Dados

Por fim, temos o pilar da transparência de dados, conceito sobre o qual falamos anteriormente.

Dentro da transparência, está o consentimento do usuário, sendo que a empresa precisa conseguir comprovar que possui autorização para utilizar os dados que armazena.

A transparência também envolve a divulgação de suas políticas de privacidade de maneira clara e acessível.

Por que a GDPR foi criada?

De acordo com o próprio site do regulamento, ele foi desenvolvido por três motivos principais:

• Conciliar as leis de privacidade de dados em toda a Europa
• Proteger e empoderar a privacidade de dados de todos os cidadãos da União Europeia
• Reformular o modo como as organizações abordam a privacidade de dados.

O GDPR ainda redefine os papéis de líderes-chave nas organizações, como os CIOs e CMOs.

O objetivo final é proteger os cidadãos contra o risco de violação de sua privacidade em um mundo cada vez mais voltado aos dados.

Justamente por conta de vivermos em um mundo mais conectado, com uma quantidade imensa de dados circulando, é que o Parlamento Europeu julgou necessário substituir a lei anterior, de 1995.

O GDPR faz parte da luta por uma atuação mais ética na gestão de dados, especialmente por parte de empresas de tecnologia.

Como criar normas e estratégias de dados que respeitem a GDPR?

A empresa que você administra ou na qual você trabalha utiliza dados de cidadãos europeus?

Então, é necessário trabalhar para criar processos que respeitem às diretrizes do GDPR quanto ao uso dessas informações.

Confira o texto do regulamento para se inteirar em detalhes sobre o que ele diz.

Caso julgue o assunto complexo demais para que seja tratado internamente, cogite contratar uma empresa especializada em gestão de dados para prestar a assessoria necessária.

Uma boa prática é começar pelos seguintes passos:

1. Mapeie a situação

O primeiro passo é identificar quais dados precisam ser protegidos e quais são os processos por trás de sua coleta e processamento.

2. Controle o acesso

Dentro da ideia de governança de dados, deve ficar claro quem tem acesso aos dados dos clientes.

3. Crie processos de prevenção e detecção

É importante ter controle de quando os dados são acessados e utilizados. E restringir o acesso a dados confidenciais.

4. Busque soluções de automação

Para que seja possível monitorar uma quantidade grande de dados, invista em ferramentas que automatizam o trabalho – mas não esqueça de garantir a transparência quanto ao seu funcionamento.

O GDPR vale para os cidadãos de quais países?

Como explicamos no começo do artigo, estão protegidos pelo GDPR os cidadãos dos países que integram a União Europeia e o Espaço Econômico Europeu, que são:

• Alemanha
• Áustria
• Bélgica
• Bulgária
• Croácia
• Chipre
• Dinamarca
• Eslováquia
• Eslovênia
• Espanha
• Estônia
• Finlândia
• França
• Grécia
• Hungria
• Irlanda
• Itália
• Islândia
• Letônia
• Liechtenstein
• Lituânia
• Luxemburgo
• Malta
• Noruega
• Países Baixos
• Polônia
• Portugal
• Reino Unido
• República Checa
• Romênia
• Suécia.

Conclusão

Quem está no mercado há bastante tempo tem dificuldade em se acostumar com as novas exigências dos tempos atuais.

Primeiro, temos essa realidade na qual as empresas que não qualificam sua tomada de decisões com dados sobre seu público-alvo ficam para trás.

Afinal, vão concorrer com organizações que fazem melhor uso da tecnologia e se adaptam melhor às preferências de seus clientes, conseguindo boas taxas de fidelização.

Depois de promover essa mudança cultural e transformação digital, ainda é preciso se preocupar com leis e regulamentos como o GDPR.

Isso tudo dá trabalho, é claro, mas é necessário, sobretudo para quem se aproveita da globalização para alcançar públicos além das fronteiras do Brasil.

O primeiro passo para não ser passado para trás, nem sofrer sanções, você acabou de dar: buscou informação.

Agora, vá além, especialize-se no assunto e transmita o conhecimento para os demais membros da empresa.

Para saber mais sobre os desafios da gestão no mundo atual, continue ligado no blog da Fundação Instituto de Administração (FIA).

Se tiver alguma dúvida sobre o GDPR e demais assuntos deste artigo, deixe um comentário abaixo ou entre em contato conosco.