Mais de dois anos depois de ser criada, entra em vigor nesta sexta-feira, na Europa, a nova Lei Geral de Proteção de dados – a GDPR, na sigla em inglês. Mas calma. O que, afinal, é essa nova legislação? Por que uma nova regulação europeia está gerando tanta repercussão fora do continente? E por que, afinal, você tem recebido tantos e-mails sobre atualização de termos de privacidade nos últimos dias? Explicamos isso e mais um pouco a seguir.
O que é essa GDPR?
Em resumo, a Lei Geral de Proteção de Dados é uma nova legislação europeia que visa dar aos usuários mais controle sobre os dados que as empresas têm sobre eles. A regulação também tem como objetivo simplificar a situação regulamentária na Europa, dando uma regulamentação básica para todos incorporarem em suas respectivas leis nacionais.
Desde quando ela existe?
A lei foi criada em abril de 2016 e passou a ser aplicável apenas nesta sexta-feira, após dois anos de transição. A proposta, no entanto, foi aceita ainda em 2012, e veio para substituir a legislação anterior, a Data Protection Directive.
Em um documento oficial de três anos atrás, o Conselho da União Europeia destacava que o “rápido desenvolvimento e a globalização trouxeram novos desafios relacionados aos dados pessoais”, mencionando que a tecnologia permitia que empresas privadas e autoridades públicas “usassem essas informações em uma escala sem precedentes para atingir seus objetivos”. Era preciso, então, criar uma regulamentação mais “forte e coerente” para proteger os dados.
O que ela muda?
Em resumo, a legislação obriga as empresas a mudar a forma como lidam com dados pessoais se quiserem continuar atuando no continente. Ela vale para qualquer companhia, de qualquer tamanho e europeia ou não, que atua no território e processa dados sobre cidadãos europeus. A regulação institui, por exemplo, que dados pessoais sejam processados de acordo com a lei e de forma transparente e que as empresas mantenham tudo atualizado. As companhias precisam ter um propósito bem definido para usar os dados e também devem deixar isso claro aos usuários. Além disso, consentimento é essencial.
Usar dados além dos necessários para a função definida ou fugir do motivo explicitado também passa a ser ilegal. Fora isso, as empresas não poderão mais armazenar as informações por mais tempo do que o preciso e também deverão garantir a segurança de tudo. Aliás, isso vale também para serviços públicos, mas com algumas particularidades.
Por que tantas empresas de fora da Europa estão preocupadas?
Simples: porque, como explicado acima, a lei vale para qualquer marca que atue na Europa. Não importa se a empresa tem só um escritório no continente e se os dados são processados em servidores na Tailândia ou no Chile: se as informações são de cidadãos europeus, ela terá que seguir a GDPR se quiser continuar atuando no território sem sofrer punições.
Para facilitar, muitas empresas optaram por aplicar a lei em todo o mundo, sem se restringir aos cidadãos europeus. Assim, os direitos garantidos no continente – como acesso fácil aos dados que as companhias têm sobre você – foram estendidos aos usuários.
E por que estou recebendo tantos e-mails sobre políticas de privacidade?
Porque as políticas de privacidade de praticamente todas as empresas não levavam em conta muitas das regras instituídas pela nova legislação. Para ficar de acordo com a lei, então, companhias como Spotify e Microsoft atualizaram seus termos – e, para garantir a transparência, informaram seus usuários por e-mail e, quando necessário, também pediram consentimento de todos para continuar processando seus dados pessoais ou tomaram outras medidas.
O Facebook, por exemplo, começou a notificar seus usuários na rede social para lembrá-los de revisar as configurações de privacidade. Já o Google reformulou sua página dedicada aos ajustes para ajudar os usuários a entender o que está acontecendo.