O marco regulatório europeu em Privacidade e Proteção de Dados Pessoais, o General Data Protection Regulation (GDPR), faz o seu primeiro aniversário de eficácia plena em maio deste ano. O Regulamento, que substituiu a Diretiva 95/46/CE, estabelece novos princípios, padrões e regras para o tratamento de dados pessoais, a fim de endereçar de maneira assertiva e atualizada o desenvolvimento tecnológico pós década de 90, principalmente com o surgimento de redes sociais, da utilização comercial de Big Data em diversos setores da economia e do marketing comportamental.
Neste cenário, a coleta significativa de dados pessoais se tornou realidade e a monetização destes ativos para os mais diversos fins econômicos refletiram em uma necessária regulamentação, como forma de assegurar direitos e liberdades fundamentais por meio da privacidade e proteção aos dados pessoais de pessoas naturais. Fato é que a regulamentação traz uma significativa motivação para a alteração de mindset durante a realização de negócios na atual economia movida a dados, além de ter gerado um grau maior de conscientização por parte dos titulares de dados pessoais.
Para entender os efeitos práticos do GDPR na sociedade após 1 ano, vejamos abaixo alguns números interessantes.
GDPR em números
De acordo com o trabalho realizado pela European Commision1 e a International Association of Privacy Professionals (IAPP), em um período de quase 12 meses após sua entrada em:
- 67% dos europeus ouviram em algum momento a respeito do GDPR
- 57% dos europeus sabem que existe uma autoridade pública responsável pela proteção de dados pessoais
- Foram realizadas aproximadamente 144.376 reclamações às autoridades de proteção de dados europeias por supostas violações ao GDPR
- 89.271 notificações de data breach2 foram apresentadas para as autoridades europeias de proteção de dados
- 500.000 entidades localizadas na chamada European Economic Area (EEA) registraram Data Protection Officers (DPOs) perante as autoridades europeias3
- A aplicação do GDPR resultou em um montante de multas no valor de aproximadamente 56.000.000 milhões de euros.
Resultados das principais autoridades europeias4
A autoridade austríaca de proteção de dados foi a primeira a aplicar uma multa relacionada a descumprimento do GDPR, enquanto a CNIL, autoridade francesa, registrou 310 investigações em 2018 relacionadas ao novo regulamento europeu de proteção de dados. Na maioria dos casos, o resultado foi o aprimoramento do compliance nas entidades investigadas. Os setores mais afetados pela fiscalização foram as seguradoras e empresas especializadas em marketing direcionado por meio de aplicativos.
Por sua vez, a ICO, autoridade britânica, informou ter recebido cerca de 39.825 notificações entre maio de 2018 e abril de 2019 a respeito de possíveis violações ao GDPR. Os três principais assuntos levantados pelos titulares de dados pessoais foram: acesso a dados pessoais, divulgação de dados pessoais e a restrição ao processamento de dados. A entidade teve uma grande atuação na conscientização a respeito do GDPR pela publicação de diversos guidelines a respeito do tema.
Ainda, quase que instantaneamente após a entrada em vigor do Regulamento, a Data Protection Comission, autoridade referência na europa, iniciou investigações com foco na vigilância pelo poder público de titulares de dados pessoais, tais como pela utilização de drones, câmeras e outras tecnologias.
Quanto aos efeitos do GDPR no Brasil, além de a regulamentação europeia ter servido como fato motivador e influenciador da nossa Lei Geral de Proteção de Dados (LGPD), sua aplicação extraterritorial do GDPR, bem como as regras para transferências internacionais de dados pessoais, são alguns dos principais pontos de preocupação para empresas brasileiras.
Em um cenário de momentânea instabilidade em relação à criação de uma Autoridade Nacional de Proteção de
De toda forma, a principal lição que podemos extrair do GDPR (repetida pela LGPD) se baseia na necessidade de se instituir uma nova cultura para as organizações, partindo da premissa de que o titular está no controle dos seus dados. Com isso, as organizações com presença nacional podem se valer das lições aprendidas durante os 12 meses de aplicação do GDPR como benchmarking para adequar suas operações e garantir a conformidade com a lei brasileira, mitigando riscos, danos financeiros e reputacionais, possibilitando, ainda, um relevante potencial competitivo para seus clientes e demais stakeholders. Ou seja, é hora de aprendermos com os erros e acertos da Europa com relação à adequação ao GDPR, a fim de nos prepararmos bem para a versão tupiniquim do Regulamento: a tão falada LGPD.
____________________
1 Disponível aqui. Acessado em: 23/05/2019.
2 Segundo o GDPR, a empresa que tiver conhecimento de um vazamento de dados deve notificar a autoridade competente em até 72 horas.
3 Disponível aqui. Acessado em: 23/05/2019.
4 Disponível aqui. Acessado em: 23/05/2019.
____________________
x
x
x
x
x
x
x