A quatro dias de entrar em vigor, a lei geral de proteção de dados da União Europeia, o GDPR, ainda causa muitas dúvidas. É preciso ter operação na Europa para estar submetido às regras? Pequenas empresas também deve se adequar? Quem fiscalizará a adequação às medidas? Com o prazo mais apertado, entender o alcance e as determinações do novo conjunto de regras deixou de ser uma questão opcional para empresas de todo o mundo.
Isso porque, apesar de ser uma regra europeia, o GDPR tem efeitos globais: toda empresa que faça negócios com o continente e seus cidadãos, estando instalada lá, ou não, está sujeita às suas previsões. E elas não são poucas. Segundo a advogada Patrícia Peck, são 65 itens descritos nos 99 artigos da lei - promulgada em maio de 2016 com um prazo de dois anos para começara vigorar de fato.
Entre eles estão exigências como a criptografia de bases de dados que contenham informações pessoais (seja de clientes ou de funcionários), o direito ao esquecimento (a opção dada aos internautas de solicitar que seus dados sejam apagados), a portabilidade de dados (permitir que os dados sejam levados de um serviço para outro) e a nomeação de um executivo para zelar pela proteção de dados em grandes empresas (o Data Protection Officer). Incidentes como roubo ou vazamento de dados devem ser comunicados às autoridades em um prazo máximo de 72 horas depois de descobertos.
A maior parte das exigências - 55 das 65 - não é exatamente novidade, são discutidas e adotadas por algumas empresas há algum tempo. Mas fazer uso de mecanismos como o direito ao esquecimento, por exemplo, era considerado um diferencial. Agora, passa a ser um requisito mínimo.
Quem não se adaptar está sujeito a punições duras. A multa pode ser de EUR 20 milhões, ou 4% do faturamento mundial, dependendo de qual valor for maior. A companhia também pode ser banida de fazer negócios na Europa. A aplicação das sanções ficará à cargo dos órgãos de proteção de dados de cada um dos 28 países de União Europeia.
Na avaliação da advogada, é de se esperar que haja um trabalho bastante intenso por parte desses órgãos. "Parte da receita das multas será usada para financiar o funcionamento das agências. Eles já devem ter uma lista de empresas para ir atrás", diz Peck. Após a notificação, as companhias têm 72 horas para responder.
Para Cristiano Duarte, gerente de gestão de dados e inovação da empresa de sistemas de análise de informações SAS, a lógica do GDPR é dar ao indivíduo poder sobre seus dados e, em certa medida, equilibrar a balança - que hoje pesa mais a favor dos provedores de serviços na internet. "A lógica muda. O dado passa a ser colocado como de propriedade do indivíduo, não da empresa", diz. De acordo com ele, isso terá um efeito no comportamento do consumidor, que passará a exigir os direitos que possui. "Quem não adotar [as previsões do GDPR], terá impacto negativo na visão do consumidor. Aí o ciclo se fecha", diz.
Na avaliação Eric Santos, fundador e presidente da Resultados Digitais, startup brasileira de marketing digital, ao invés de ser vista sob uma perspectiva negativa, de custos e esforço, a adequação ao GDPR precisa ser encarada como um passo inevitável no sentido de aumentar a atenção à privacidade. "A gente às vezes perde a perspectiva do usuário. Todo mundo, como indivíduo, gostaria de ter essas proteções. Você fica mais empático com a ideia quando pensa dessa forma", diz.
Santos destaca que a Resultados Digitais tem um desafio duplo nesse sentido. Além de medidas internas para se adequar ao GDPR, a companhia tem que apresentar o conceito aos seus clientes e parceiros. "Você atrasa um pouco os planos porque tem que passar na frente da fila algo que não estava planejado. Mas não é uma coisa ruim", diz.
De acordo com Peck, a adequação ao GDPR acabará sendo para muitas empresas brasileiras um momento de ajuste a aspectos já previstos no Marco Civil da internet, de 2014 - entre eles a criptografia de bases de dados. Também será uma forma de preparação para a lei de proteção de dados pessoais que está em discussão no Congresso e tem princípios semelhantes aos previstos no texto europeu.