Se há um tema que tem chamado a atenção das pessoas nos últimos tempos é a proteção de dados pessoais. É que no mundo atual, amplamente permeado pelo uso de tecnologias que dependem de dados, impera o vigilantismo como modelo de negócios, o que, de um lado, é excelente para um mais preciso direcionamento de produtos e serviços e, por outro, péssimo para a privacidade das pessoas. Justamente por isso tem se falado tanto na necessidade de regulamentação do uso de dados pessoais.
A existência de um regulamento para a proteção de dados pessoais poderia padronizar requisitos para o seu uso proporcional ao meio pelo qual foram coletados e, ainda, para atribuir as devidas responsabilidades para os casos de abuso ou negligência. Assim, pode-se dizer que os maiores benefícios que se pode obter com a edição de uma lei geral de proteção de dados são a segurança jurídica (vez que não temos uma lei específica para isso) e o equilíbrio de poder entre os titulares dos dados e aqueles que deles se utilizam (hoje a assimetria é evidente).
Neste contexto a Europa está sendo pioneira em estabelecer rígidas formas de proteção e responsabilização ao aprovar o Regulamento Geral de Proteção de Dados – RGPD – (2016/679, de 27 de abril de 2016) do Parlamento e do Conselho Europeu, que entrará em vigor a partir de maio de 2018.
Podemos apontar algumas das principais mudanças, indicando-as da seguinte forma:
a) Aplicabilidade extraterritorial. A jurisdição estendida do RGPD, que será aplicada para todos os que tratem dados de cidadãos europeus, independentemente da localização das empresas, é, sem dúvidas, a grande alteração. É que as normas anteriores eram ambíguas e restringiam-se ao contexto de um estabelecimento. O RGPD é muito claro ao determinar que será aplicado ao processamento de dados pessoais de cidadãos da União Europeia ainda que o tratamento de dados se dê fora do continente europeu. Além disso, empresas de outras localidades que processem dados de cidadãos europeus terão que nomear um representante na União Europeia.
b) Penalidades. As empresas poderão ser multadas em até 4% do faturamento global ou até vinte milhões de euros, o que for maior. As maiores punições serão aplicadas para os casos em que as empresas não tiverem obtido o consentimento adequado dos cidadãos ou em razão da violação da privacidade pelo design.
c) Consentimento. Os requisitos para a obtenção do consentimento foram detalhados, isto é, exige-se clareza, objetividade, acessibilidade e propósito/finalidade específicos. Deve ser tão fácil retirar o consentimento quanto dá-lo.
d) Notificações sobre vazamentos. As notificações de vazamentos de dados serão obrigatórias sempre que resultarem em risco para os direitos e liberdades individuais, o que deverá ser feito em até 72 horas do conhecimento do vazamento.
e) Direito de Acesso. É o direito de confirmar com os oficiais de cumprimento se há dados pessoais sendo tratados pela empresa, onde estão e qual o propósito. Uma cópia deles, sem qualquer custo ao solicitante, deve ser providenciada em formato digital quando requerida pelo titular dos dados.
f) "Direito" ao esquecimento. Também conhecido como "apagamento de dados" é o direito do titular de ver seus dados apagados, não mais compartilhados ou processados por terceiros todas as vezes que retirar o consentimento para isso ou quando os dados não mais forem relevantes para os motivos pelos quais foram inicialmente coletados. O interesse público na disponibilidade dos dados deverá ser considerado para o atendimento destas solicitações.
g) Portabilidade de dados. É o direito de portabilidade para os dados, isto é, o direito de pedir que sejam transferidos para o âmbito de controle de outro oficial de cumprimento.
h) Privacidade pelo design. É o conceito de que a privacidade deve ser pensada desde a concepção inicial do sistema de tratamento de dados e não implementada depois.
i) Oficiais de cumprimento / data privacy officers. Haverá requisitos internos de manutenção de registros, com obrigações mais específicas para os casos em que os oficiais de cumprimento lidarem com operações de processamento que exigem monitoramento regular e sistemático de pessoas em grande escala ou de especial categorias de dados ou dados relativos a condenações e ofensas criminais.
Cremos, assim, que o RGPD vai dificultar os modelos de negócios para as empresas europeias e norte-americanas, já que a gestão dos dados deverá ser mais complexa e cara. Pensamos que será um grande desafio para as empresas apresentarem-se como confiáveis para coletar dados pessoais. As que conseguirem o consentimento terão o caminho livre para usar dados de forma bastante importante para o desenvolvimento de produtos/serviços. As que não conseguirem o consentimento das pessoas certamente levarão mais tempo para o desenvolvimento dos negócios. Talvez até não consigam seguir com suas atividades.
Com o RGPD as empresas poderão ter acesso a dados compilados por outras, rivais, desde que os titulares autorizem a portabilidade, o que demandará melhores produtos/serviços e preços. Por outro lado, muitas bases de dados simplesmente não serão portáveis em face de incompatibilidade sistêmica. Será curioso ver como isso será resolvido. De qualquer forma, o incremento das medidas de segurança da informação parece ser algo com que as empresas passarão a se preocupar ainda mais.
Por outro lado, algumas empresas poderão se tornar verdadeiras guardiãs de dados pessoais, quase como uma "caixa forte", já que o RGPD permite que os dados pessoais sejam encaminhados para um só local seguro. Estas empresas poderão ser novas gigantes da tecnologia ao sugerir onde e quando os clientes poderão comprar e como pagar. Talvez até negociem dados massivamente, em nome dos titulares, com empresas de telefonia ou TV a cabo.
Manter os dados dos consumidores seguros está prestes a tornar-se mais caro e complexo. Fazer o mínimo exigido pode não ser suficiente para o sucesso dos negócios. Mas os que estiverem em conformidade poderão transitar por caminhos nunca antes pensados. O tempo dirá.