Gilberto Sudré*
A privacidade dos dados pessoais quase não chamava a atenção da população até pouco tempo atrás. Raros eram os profissionais que insistiam no tema, tentando deixar claro que nossas informações valem muito para as empresas.
A internet também ajudou a disseminar a impressão de que não estávamos pagando nada para usufruir de seus serviços e aplicativos “gratuitos”, mas tudo não passa de uma ilusão.
O fim da era da inocência coletiva acabou abruptamente com a revelação de que informações privadas de mais de 80 milhões de pessoas (dessas, mais de 400 mil seriam de brasileiras) foram obtidas e utilizadas em um primeiro momento, ao que tudo indica, para interferir (ou seria manipular?) opiniões, eleições e decisões coletivas da sociedade.
A expressão “se o produto ou serviço for de graça, você é que é o produto” explica bem a nossa situação quando usamos serviços como Facebook, GMail, Instagram e WhatsApp, só para citar alguns. Todas essas empresas são muito bem remuneradas ao tratar e revender informações pessoais, hábitos de consumo e comportamento de seus usuários.
Preocupada com essa situação, a União Europeia aprovou em 2016 a GDPR (General Data Protection Regulation, ou Regulação da Proteção Geral de Dados), uma nova regulamentação internacional para proteção de dados pessoais que entra em vigor a partir do dia 25 de maio deste ano. Essa nova regra vai exigir uma mudança de postura de empresas localizadas na União Europeia, mas não somente dessa origem.
A regulamentação se estende a todas as empresas que oferecem produtos e serviços, armazenam informações relativas a comportamentos de cidadãos europeus e de outras nacionalidades que residam no continente ou estejam apenas de passagem por aquela região. Dessa forma, empresas brasileiras que tiverem qualquer relacionamento que envolva o tratamento de dados pessoais com europeus ou até mesmo brasileiros, sejam os que possuem dupla cidadania, sejam que estejam de passagem pelos países do bloco, estarão sujeitas às novas normas e às penalidades previstas pelo regulamento.
As multas para as empresas que não atenderem a GDPR podem chegar a 4% do seu faturamento bruto anual. É importante notar que essas regras se aplicam tanto às empresas quanto aos responsáveis pelo processamento das informações; assim, os prestadores de serviços em nuvem também ficam sujeitos às punições.
A GPDR define como dados pessoais toda informação que possa, de forma direta ou indireta, identificar uma pessoa. Nesse caso, o nome, fotos, e-mails, dados financeiros, postagens em redes sociais, registros médicos ou dados de navegação na internet são os conteúdos protegidos.
A nova regulamentação inclui os seguintes direitos para indivíduos: ser informado sobre o que está sendo feito com suas informações; o acesso ao que as empresas armazenam sobre cada um; e a retificação ou remoção das informações e controlar o compartilhamento das informações com outras empresas. Também está previsto que seja solicitado o consentimento do uso de seus dados aos indivíduos e que a requisição deve ser feita pela empresa em linguagem simples e transparente. Qualquer indivíduo também tem o direito de revogar a autorização a qualquer momento e esse procedimento deve ser tão simples quanto sua concessão.
Outro ponto tratado pela GDPR é como os vazamentos de dados devem ser tratados. Fica estabelecido que as companhias que foram invadidas, e tiveram as informações de terceiros divulgadas, devem comunicar o fato às autoridades e a todos que tenham sido afetados em um prazo máximo de 72 horas.
Apesar desse tema já se encontrar em discussão no Brasil, através do Projeto de Lei 5.276/2016, inspirado na GPDR, precisamos acelerar a conclusão dos trabalhos pois esta questão já afeta de forma profunda a privacidade de todos nós.
* O autor é especialista em Segurança da Informação, perito em Computação Forense e professor do Instituto Federal de Ensino e Pesquisa (Ifes)
