Em 25 de maio de 2018 passou a vigorar na União Europeia a GDPR – Regulamentação Geral de Proteção de Dados. Alguns especialistas chamam esse primeiro período de “ano de transição”, que despertou muito interesse e discussões sobre os pontos altos e baixos da GDPR até o momento. Vamos dar uma olhada no que aconteceu e tentar avaliar o que poderá acontecer daqui para frente.
Um breve retrospecto
O regulamento antecessor da GDPR foi a Diretiva de Proteção de Dados da União Europeia, elaborada em 1995. Esse foi o ano em que a Microsoft introduziu o Internet Explorer 1 e que a Amazon e o eBay foram fundados. Em 1995, o número de usuários de internet no mundo era de 16 milhões.
Avançando para 2017: a Internet cresceu para mais de 3,7 bilhões de usuários. A Amazon envia mais de 1.000 pacotes por minuto e os telefones celulares, e-mail e mídia social tornaram-se parte de nossas vidas diárias. Agora, compartilhamos uma quantidade incrível de informações sobre nós mesmos com as empresas com as quais interagimos, desde detalhes básicos de contato até informações de cartão de crédito, fotos, mensagens e preferências de navegação.
Nas mãos certas, esses dados podem ser usados para melhorar nossas interações com uma empresa. Nas mãos erradas, podem ser usados para uma variedade de atividades criminosas, desde pagamentos fraudulentos até roubo total de identidade.
Objetivos da GDPR
A GDPR foi criada com os seguintes objetivos principais:
Criar uma abordagem unificada para a proteção de dados em toda a União Europeia. Os estados membros da UE tinham suas próprias leis nacionais que refletiam a Diretriz de Proteção de Dados da UE de 1995. Embora todos os membros tenham trabalhado para alcançar os objetivos comuns estabelecidos pela diretiva, a forma como seriam alcançados foi deixada para cada país decidir. A GDPR é um regulamento que unificou os conceitos e procedimentos, sendo diretamente aplicável, na íntegra, a todos os estados membros.
No tocante ao compartilhamento de informações, a GDPR impõe que as organizações que lidam com dados relatem às autoridades e ao mercado os seus casos de violação.
Proteger os cidadãos da UE na economia global. A Internet tornou o mundo um lugar muito menor e nossos dados pessoais estão agora espalhados por todos os lugares. A GDPR é aplicável a qualquer empresa que processe dados pessoais de cidadãos da UE, independentemente da sua localização.
Dar aos indivíduos controle total sobre todos os seus dados pessoais. É extremamente difícil sabermos exatamente quais dados estão sendo coletados sobre nós e o que está acontecendo com nossos dados que são compartilhados entre empresas. A GDPR colocou a necessidade de consentimento do titular dos dados em primeiro plano, dando aos consumidores o controle de que precisam para se sentirem confortáveis em compartilhar seus dados.
Melhorar os níveis de conformidade. Dia após dia, lemos manchetes sobre empresas que foram vítimas de ataques maliciosos de hackers. A GDPR introduziu penalidades significativas, e as empresas que não cumprem suas obrigações regulatórias enfrentam multas de até 4% do faturamento global anual ou 20 milhões de Euros, o que for maior. Isso faz com que as organizações tomem consciência sobre a importância de proteger os dados que coletam, armazenam e gerenciam.
Resultados alcançados pela GDPR
De acordo com a International Association of Privacy Professionals, houve mais de 64.000 relatos de violações de dados em toda a Europa durante o primeiro ano da GDPR, o que representa um aumento significativo no número de violações relatadas nos anos anteriores. Antes da GDPR, apenas cerca de 18.000 a 20.000 violações eram relatadas a cada ano.
Somente esses números já representariam um grande sucesso para a GDPR, pois muitas empresas agora têm os “incentivos” e a compreensão dos benefícios de se compartilhar informações sobre violações de dados.
Duplicar ou triplicar a taxa de relatos feitos pelas próprias vítimas de ataques tem um grande valor para os esforços de combate às violações de dados. Os consumidores têm o direito de saber o mais rapidamente possível se algumas de suas informações pessoais foram comprometidas. Além disso, tanto as autoridades reguladoras quanto os profissionais de segurança cibernética precisam de todas as informações que puderem coletar, o mais rápido possível, quando se trata de entender as causas subjacentes e projetar legislação e contramedidas adequadas.
Toda a UE já está se beneficiando de uma abordagem mais integrada do compartilhamento de informações. A GDPR também cobriu a necessidade da rapidez na comunicação das informações, pois exige que as empresas e outras organizações relatem às autoridades competentes as violações de dados conhecidas dentro de 72 horas.
A legislação europeia é definitivamente um modelo que vale a pena ser imitado por qualquer outro bloco de nações ou país que ainda tenha que elaborar requisitos semelhantes em nível federal.
No que mais a GDPR tem sido eficaz?
Como descrevemos anteriormente, a GDPR impõe que as organizações que lidam com dados relatem seus casos de violação e define multas aplicáveis no caso de violações de dados de clientes ou usuários.
Após o primeiro ano, a GDPR correspondeu de certa forma às expectativas no que se refere a penalidades aplicadas a empresas que não tratam ou armazenam corretamente os dados pessoais. Segundo o European Data Protection Board, no primeiro ano de sua vigência foram aplicadas multas que somam mais de 56 milhões de Euros.
Devemos ressaltar o fato de que uma única multa representou a maior parcela das penalidades cobradas até agora sob os termos da nova GDPR: uma multa “recorde” de quase 50 milhões de Euros, aplicada contra o Google em janeiro de 2019, referente ao processamento de dados pessoais para fins de publicidade sem autorização válida, que também se configura como uma violação de dados pessoais.
Algumas pessoas argumentam que as poucas multas cobradas até agora de empresas maiores, como o Google, não têm sido suficientemente punitivas, considerando os muitos bilhões de lucro que eles ganham a cada ano com a compra e venda de dados.
Uma das intenções com a promulgação da GDPR foi transformar a segurança cibernética e o tratamento ético de dados em questões políticas, cívicas e sociais dominantes. Por ser uma das primeiras empresas a receber multas significativas dessa legislação, o caso do Google está ajudando a elevar o padrão para empresas de todos os portes, em benefício dos consumidores de todos os lugares.
Entretanto, na maior parte dos casos, as autoridades têm sido lentas em responsabilizar as empresas e aplicar multas. Até o mês de janeiro de 2019 foram registradas 91 multas e nem todas elas se referem à violação de dados pessoais e várias delas estão relacionadas a outras violações da GDPR, como o caso de uma empresa polonesa de pequeno porte que foi multada em € 220.000, por não informar adequadamente a seus clientes de que seus dados pessoais seriam coletados e processados.
As dores típicas do crescimento
Esses problemas soam como dores típicas de crescimento. Ambos os mecanismos descritos na GDPR, tanto a identificação de áreas problemáticas, como os meios para exigir a restituição dos culpados, parecem estar funcionando mais ou menos como pretendido.
Um ponto que não está exatamente ajudando na conformidade é a demanda recorde de especialistas em segurança cibernética em todos os segmentos de negócios.
As empresas privadas e os órgãos reguladores estão se esforçando para “aumentar a equipe” à medida que consideram as mudanças que devem fazer sob a GDPR e como atender e impor os novos requisitos para o manuseio de dados. O Google foi tomado como exemplo neste “ano de transição”, mas as perspectivas de violações de dados de empresas menores também apresentam grandes números, pois as pequenas empresas são uma parcela extremamente substancial da economia europeia.
Talvez tenha sido necessário começar com o Google, mas certamente as penalizações não terminarão se as empresas não estiverem se preparando adequadamente.
A GDPR é o começo
Como mencionado, parte da missão da GDPR é conscientizar sobre os “direitos civis digitais”. A GDPR unificou os países europeus nesta questão e nações de todo o mundo estão fazendo o mesmo, elaborando e sancionando suas próprias leis de proteção de dados, incluindo China, Índia, Coréia do Sul e muitos outros na Ásia, África e América do Sul. No Brasil, a Lei Geral de Proteção de Dados Pessoais do Brasil – LGPD entrará em vigor em 2020 e, assim como a GDPR, é uma lei geral, abrangendo muitos princípios de proteção de dados.
Vários estados dos Estados Unidos também estão adotando suas próprias leis, como a Califórnia e o Distrito Federal. Não são idênticas à GDPR, mas as semelhanças são aparentes. Ainda não se vislumbra naquele país a perspectiva de uma legislação única.
Desde a aprovação da GDPR, muitas empresas que coletam dados sobre mercados e clientes no exterior tiveram que avaliar como coletam, armazenam e utilizam os dados que estão buscando. O fato de que tantas empresas fora da Europa estão fazendo mudanças proativas é um sinal de que as boas ideias não respeitam fronteiras.
Há casos de empresas que saíram da UE ou simplesmente fecharam, porque não podiam arcar com os custos exigidos para cumprir a GDPR. Isso também é uma prova de que o nível está subindo, quando os direitos do consumidor sobre seus dados estão em causa.