Em 25 de maio de 2018, foi implementada a GDPR, sigla para Regulamento Geral sobre a Proteção de Dados, na União Europeia, dois anos após ser aprovada. A legislação sobre proteção de dados e privacidade se aplica a todos os cidadãos da UE e também rege as transferências de dados pessoais que envolvem os países europeus.

 

Em 2020, dois anos depois, entrou em vigor no Brasil a LGPD (Lei Geral de Proteção de Dados) que tem muitas semelhanças com a GDPR e está fazendo as empresas brasileiras implementarem uma cultura de privacidade e poderem continuar compartilhando dados com outros países que já tem regulamentações.

 

Além do Brasil, diversos outros países passaram a regulamentar o uso de dados pessoais após a iniciativa da União Europeia. Nos Estados Unidos, já existe a CCPA, que é a lei do estado da Califórnia que entrou em vigência em 2020, por exemplo. Já no México, existe a Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados desde 2017.

 

Multas aplicadas pela GDPR

 

Assim como a LGPD no Brasil, a GDPR prevê multas às empresas que não protegerem os dados pessoais de seus clientes ou os utilizarem de forma indevida, principalmente quando não há autorização das pessoas. As multas variam de acordo com o caso e o faturamento da empresa.

 

Somente entre maio de 2018 e novembro de 2019, 22 órgãos reguladores da UE aplicaram 785 multas a empresas que violaram dados pessoais. Muitas dessas multas foram recebidas após ataques de ransomware em que as empresas foram vítimas e resultaram no vazamento de informações.

 

Alguns casos famosos são:

 

• British Airways: foi multada em £183 milhões pelo vazamento de dados de passageiros;
• Google: foi multada em ?50 milhões por não dar informações claras aos usuários sobre consentimento para o uso de dados;
• Hospitalar Barreiro Montijo: o hospital português foi multado em ?400 mil por permitir que outros funcionários, além dos médicos, pudessem acessar dados de pacientes.

Principais pontos da GDPR

 

A lei europeia de proteção de dados mudou muita coisa em relação à privacidade, não só nos países da UE, mas em todo o mundo. Confira alguns pontos principais da lei que completou 3 anos em 2021:

 

• Usuário pode escolher como seus dados serão tratados e autorizar ou não;
• Tem direito de saber quais dados são coletados e para quais finalidades;
• Pode pedir a exclusão de informações pessoais ou interromper a coleta de dados;
• Pode acessar, solicitar cópia ou migrar dados coletados para outras empresas;
• É preciso que as empresas adotem uma linguagem transparente para que qualquer pessoa entenda o que é feito com seus dados;
• Cada empresa deve notificar as autoridades em até 72 horas caso haja incidentes com dados;
• Privacy by Design: a privacidade deve estar presente desde a concepção de cada projeto;
• Cada empresa deve contar com um Data Protection Officer (DPO), que vai supervisionar o tratamento de dados e prestar esclarecimentos às autoridades.

 

Conclusão

 

Desde 2018, com a entrada da lei em vigência, o debate sobre privacidade e proteção de dados se intensificou no mundo todo. A GDPR inspirou outros países a cuidarem mais dos dados pessoais e enxergarem as informações como um bem valioso de cada cidadão, devendo ser respeitado pelas empresas.

 

Ainda que muitos pontos sejam motivo de debate e algumas decisões variem de acordo com cada país, a lei europeia é uma fonte de aprendizado e as empresas brasileiras devem se espalhar na GDPR para que seus projetos prezem pela privacidade e estejam prontos para entrar em diversos países.