Entenda o GDPR: Legislação Europeia de Proteção de Dados

Com tudo que vem acontecendo nos últimos meses, desde o aumento em ataques cibernéticos às informações e tecnologias das corporações e ambientes domésticos até os escândalos atuais de divulgação de dados pessoais em bancos, redes sociais e muitas outras empresas, torna-se mais evidente a importância na maneira como lidamos a informação alheia.

No último dia 25 (Mai/2018), entrou em vigor o General Data Protection Regulation (ou Regulamentação Geral de Proteção de Dados, em tradução livre) conhecida popularmente pela sigla GDPR que vinha sendo tratada desde sua proposta em 2012 e aprovada pela União Europeia em 2016 até finalmente entrar oficialmente em vigor nesta última sexta-feira. De uma forma geral, essa lei pretende proteger a privacidade dos cidadãos diante das empresas e aplicações através da internet.

Embora seja uma legislação europeia é fato que esta também afetará os brasileiros, para tanto, vamos entender o que exatamente é o GDPR, como funciona e o que muda a partir de agora e a sua importância para a privacidade dos usuários.


O que é GDPR?

gdpr-post-publication-25-mai-2018

Date Publication GDPR. Cyber Security Coalition, 2018.

A União Européia (UE) é, sem dúvida, uma das entidades mais importantes e relevantes relacionadas as políticas de proteção de dados e sobre a privacidade dos usuários. (ALTERMANN, 2016, Blog Midiatismo).

A fim de rever e entender os processos que manipulam e lidam com nossas informações privadas, a Comissão Europeia aprovou desde 2016 o GDPR (General Data Protection Regulation) que a grosso modo, é um rigoroso conjunto de regras sobre privacidade válido para a União Europeia, mas que também afeta pessoas em outras partes do mundo, inclusive aqui no Brasil. A legislação entrou em vigor efetivamente no dia 25 de maio de 2018.

Embora o bloco já tivesse leis relacionadas à privacidade, como a “Data Protection Directive” (Conduta de Proteção de Dados, em tradução livre) elas datam desde os anos 90 e, mesmo com algumas atualizações, não correspondiam ao cenário tecnológico atual, incluindo os atuais escândalos no vazamento de informações privadas de usuários de redes sociais e bancos. (THE GUARDIAN, 2018).

Fato é que, a União Europeia considera essa proteção de dados pessoais um direito de todos os cidadãos dos países do bloco. Desta forma, qualquer empresa e organização, independente de porte ou área de atuação, deverão de maneira geral, seguir essas regras, por muitos consideradas rígidas, para coletar, processar, compartilhar e resguardar qualquer dado pessoal de seus usuários.

Daí encaixam-se por exemplo, empresas como a Microsoft, Facebook, Google, Apple e qualquer outra que deseje lidar com informações de usuários do bloco, deverão atualizar suas políticas de segurança e privacidade, adequando-se a nova lei. Muitos usuários inclusive, relataram que desde o dia 25, já receberam e-mails informando destas alterações.

[…] A proposta principal é que o indivíduo tenha direito de saber quais informações ele fornece aos serviços de que usufrui. Além disso, a entidade deve explicar o porquê de requisitar determinados dados do cliente, e para qual finalidade elas serão usadas. […] (CARDOSO, 2018, Tech Tudo).


Principais obrigações

Abaixo segue uma imagem, retirada do Portal ISO Quality Services LTD., exemplificando os 12 processos/obrigações para GDPR.

12-Steps-to-GDPR

12 Steps To GDPR. QSL Portal, 2017.

Em tradução livre, Alecrim (2018) no site Tecnoblog, converte estas etapas/processos em obrigações do GDPR, em seu texto segue:

  • O serviço deverá permitir que o usuário escolha como os seus dados serão tratados e autorize ou não o seu uso;
  • O usuário tem direito de saber quais dados estão sendo coletados e para quais finalidades;
  • Deve haver meios para que o usuário solicite a exclusão de informações pessoais ou interrompa a coleta de dados, com a decisão devendo ser respeitada;
  • O usuário também pode acessar, solicitar cópia ou migrar dados coletados para outros serviços (quando cabível);
  • Uso de linguagem clara, concisa e transparente para que qualquer pessoa possa compreender comunicações sobre seus dados, inclusive termos de privacidade;
  • Em caso de incidentes que resultem em vazamento ou violação de dados que podem ferir direitos e a liberdade das pessoas, a organização deverá notificar autoridades em até 72 horas;
  • Aplicação da privacidade por design: a proteção dos dados deve ser considerada desde o início do projeto de um sistema, como parte imprescindível deste;
  • Recomendação de pseudonimização: quando cabível, é recomendável que a empresa proteja informações sensíveis ocultando-as ou substituindo-as de alguma forma para que a identificação do usuário só seja possível com a adição de outros dados;
  • As empresas terão, em certas circunstâncias, que trabalhar com um Data Protection Officer (DPO), executivo que deverá supervisionar o tratamento de dados pessoais, bem com prestar esclarecimentos ou se comunicar com autoridades sobre o assunto.

Desta forma, os usuários têm o poder para definir que dados a entidade terá acesso, e o direito de entregar suas informações ou não, dependendo da justificativa dada pelo serviço. Esta autorização, e aqui que fique um aviso ao usuários, estarão de maneira clara nas “Políticas de Privacidade” ou “Políticas de Uso de Dados Privados” em alguma área da aplicação ou site da empresa, e geralmente é apresentada ao usuário através de um contrato na hora da criação de uma conta ou habilitação do serviço.

Outra vantagem como percebemos, é que o “dono da informação” poderá requisitar que tudo relacionado a si seja apagado do banco de dados da empresa. De acordo com site do The Guardian (2018), as empresas que não cumprirem os requisitos do GDPR correm o risco receber desde uma simples notificação (no caso de infração leve), até pagar uma multa que pode variar de 2% do seu faturamento anual a 4%, em casos mais sérios de vazamento de dados.

Em resumo, a coleta de qualquer informação de um cidadão internauta europeu, só poderá ser feita com sua devida autorização e poderá ser revogada quando ele bem quiser. Esse direito também se traduz em termos de uso mais simples, claros e de fácil entendimento para qualquer indivíduo, conforme vimos acima. 

Se for considerar dentre os 12 capítulos do GDPR, o “direito de ser esquecido” em minha opinião, está entre os mais importantes. Por assim dizer, mesmo a legislação sendo pouco mais restritiva em relação ao cenário ideal, ela finalmente decreta que qualquer internauta deve ser capaz de requisitar a total exclusão de seus dados em qualquer servidor online. E isso não significa simplesmente “deletar sua conta do Facebook”, mas sim garantir que não haja mais rastros de sua existência por lá (SOUZA, 2018, Canal Tech).


Por que pode afetar o Brasil?

Conforme destacamos em textos anteriores, o GDPR estende-se à praticamente todo e qualquer serviço que chegar a um cidadão do bloco europeu o que por vezes, gera muita confusão quanto ao entendimento de sua abrangência. De uma forma geral, se sua empresa possui uma loja virtual (e-commerce) aqui no Brasil e pretende enviar produtos para qualquer residente da União Europeia, terá de se adequar à legislação e de maneira nenhuma, poderá desrespeitá-la.

Segundo Alecrim, esta característica explica claramente o fato de várias empresas, inclusive as que já aqui foram citadas, estarem atualizando seus termos de política de privacidades e uso de dados privados de seus usuários e, adaptando-se à nova legislação independente se possuem ou não sede na Europa.

Embora muitas empresas não têm escritórios ou qualquer tipo de representação dentro da União Europeia pareçam imunes à punição, as autoridades europeias poderão recorrer a acordos de cooperação internacional ou a procedimentos diplomáticos para aplicar a multa. Neste caso, embora possa parecer complicado tal procedimento ocorrer, é melhor de uma maneira mais geral, atentar para suas políticas de uso de dados, mesmo se sua empresa possui sede no Brasil. (ALECRIM, 2018, Tecnoblog).


Conclusão

Se pararmos para pensar, o regulamento está forçando empresários de todas as regiões do globo a se preocupar mais com a segurança e privacidade de seus clientes (SOUZA, 2018, Canal Tech). Isto é com certeza benéfico para ambas as partes:

  • os usuário mantêm-se protegidos no mundo digital
  • e as empresas e organizações irão reduzir problemas com dor de cabeça após um vazamento de dados.

Graças a nova regulamentação as grandes corporações do mercado de tecnologia foram forçadas a adequar suas políticas que, mesmo que indiretamente, também afetam de forma positiva a experiência dos cidadãos brasileiros. Sendo assim, por mais que o GDPR possa parecer assustador, a legislação veio propor uma nova era na internet e por muitos citado: “Deve ser recebida de braços abertos”.


Fontes

Andre H O Santos

Pentester, Especialista em Segurança de Redes e Testes de Invasão, Programador, Consultor e Professor de T.I.. Geek Inveterado, Apaixonado por Segurança da Informação e Louco por GNU/Linux. Dedica grande parte do seu tempo para criar soluções que ajudem dezenas de milhares de pessoas com dicas e artigos em Tecnologia e Segurança da Informação. Possui algumas Certificações em Ethical Hacking, Cabling System, Linux e Administração de Redes.

Você pode gostar...

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

quatro × 3 =