GDPR: O que saber após um bate-papo com uma advogada da UE - Blog

Participei ontem de uma conferência internacional para discutir as novas regras da União Europeia sobre proteção de dados e tive a oportunidade de ouvir a interpretação da advogada e professora da Universidade de Frankfurt, Indra Spiecker, sobre o novo Regulamento Europeu de Proteção de Dados, conhecido como GDPR (General Data Protection Regulation).

O primeiro alerta dela sobre a importância do novo conjunto de regras veio logo:

a GDPR não afetará apenas pessoas físicas ou jurídicas, mas, também, autoridades públicas, serviços e até organismos internacionais.

Autora de diversos livros sobre a relação do Direito com a Tecnologia e Membro do Conselho Consultivo da Associação Alemã de Direito e Ciência da Computação (DGRI), ela ressalta que o regulamento espelha a visão da União Europeia e ecoa o compromisso de colocar pessoas no coração do ambiente virtual.

E, falando em compromisso, ela ressaltou que cada estado da União Europeia terá um órgão de governo para aplicar a GDPR com a máxima eficiência possível e, lembre-se, para fins de GDPR, o Reino Unido está incluído dentro da UE.

Para o cumprimento das regras, ficou claro que é essencial não perder de vista os princípios norteadores do tratamento dos dados em qualquer ação de processamento de dados na empresa. São eles:

• lealdade e transparência: informe ao usuário antes de realizar o tratamento de seus dados;
• fins determinados: informe ao usuário a finalidade de tratamento de seus dados e não trate os dados com finalidade distinta;
• minimização: utilize apenas os dados necessários;
• conservação: armazene os dados por um período determinado e não exceda o tempo necessário;
• exatidão: mantenha os dados pessoais atualizados e reais;
• integridade: aplique medidas prévias de segurança;
• confidencialidade: comprometa os possíveis intervenientes, tais como empregados e destinatários com o compromisso de confidencialidade e
• responsabilidade proativa: não limite as regras protetivas a um Manual de Segurança, mas as mantenha vivas na empresa.

Nesse sentido, seguem as três as palavras chaves que nós precisamos dominar daqui para frente para facilitar a compreensão das novas regras a serem cumpridas:

1. Data Processor – Uma agência externa, provedor de nuvem ou prestador de serviços agindo em seu nome com acesso a dados pessoais de um cliente ou funcionário;

Deve estar comprometido com o cumprimento da GDPR para evitar que você seja responsabilizado pelas violações cometidas por eles;

2. Data Controller – Uma organização que coleta, retém e processa dados pessoais.

Deve solicitar a autorização expressa dos usuários sobre os dados processados, identificando os locais e o modo de armazenamento, bem como permitindo a revogação do consentimento a qualquer momento e

3. Data Protection Officer (DPO) – O responsável dentro da empresa pela conformidade com o GDPR, normalmente, trabalhando em colaboração com marketing, vendas e TI em uma empresa.

A GDPR não determina que as empresas contratem um DPO, entretanto, atribui aos controladores e processadores de dados a responsabilidade pela conformidade com o regulamento, então, se os seus Diretores estiverem assoberbados, vale a pena o investimento, afinal, as multas associadas a violações de GDPR podem chegar a 20 milhões de euros ou em até 4% de sua receita global anual, o que for maior pela infração cometida. Então, é super importante estar atento às novas regras.

O grau de detalhe da palestra assistida, inclusive, deixou claro que ainda vai ser muito difícil para as empresas brasileiras, operando na União Europeia, compreenderem como o GDPR será aplicado nos países da América do Sul até que a diretiva esteja em vigor há algum tempo. A recomendação é agir como se as mesmas regras se aplicassem globalmente.

Nesse cenário de incerteza jurídica é fundamental o acompanhamento das soluções por uma assessoria advocatícia que, muito mais do que ciente do conteúdo do Regulamento, possua algum conhecimento tecnológico para orientar os clientes na implementação prática das ações protetivas e esteja completamente à par das interpretações legais sobre a nova regulamentação.

Seguem, então, dar 05 dicas essenciais aos profissionais de tecnologia, marketing e aos próprios juristas:

1. o consentimento sobre processamentos específicos de informações, com a plataforma ou outros usuários, não deve ser uma condição prévia para se inscrever em um serviço – a menos que seja necessário para esse serviço;
2. solicitações de consentimento devem ser apresentadas ao usuário separadas de outros termos e condições;
3. solicitações de consentimento pré-marcadas são inválidas, portanto, use caixas opt-in desmarcadas ou métodos de aceitação semelhantes (por exemplo, uma escolha binária com proeminência igual ou controles deslizantes de vermelho para verde são um ótimo UX opt-in);
4. diga à pessoas que elas têm o direito de retirar seu consentimento a qualquer momento sobre determinado processamento e como fazer isso. Deve ser tão fácil retirar quanto foi dar o consentimento, portanto, insira mecanismos fáceis de retirada e
5. nomeie e identifique sua organização e quaisquer terceiros que dependerão do consentimento do usuário para a utilização de dados – até mesmo categorias precisamente definidas de organizações de terceiros não serão aceitas pelo GDPR.

Segue uma dica extra, ainda: é indicado utilizar caixas de seleção diferentes para os meios de comunicação autorizados como, por exemplo, para contato via telefone, SMS e e-mail. Isso significa que os usuários podem decidir pelas comunicações apenas pelos meios que quiserem ao invés da tradicional abordagem de tudo ou nada. Olha o exemplo abaixo:

Agora, se o seu negócio é mais focado no social do que no comercial, é possível uma sensível flexibilização das medidas protetivas sobre o processamento de dados, como é o caso das Fundações ou ONG’s (Organizações Não Governamentais) e, nesse caso, se preferir, utilize um opt-out (em vez de opt-in) para contato por telefone ou simplesmente disponibilize a entrada pelo usuário de um número de telefone para implicar o consentimento.

Todo mundo concorda que a prestação de serviços e comercialização de produtos através da internet é o futuro – aliás, é o presente! E o assunto “privacidade”, que já era sério, ficou muito mais depois depois que o Zuckerberg foi depor sobre a Cambridge Analytica na Câmara dos Estados Unidos há dois meses atrás.

A partir da entrada em vigor da GDPR em maio, o assunto ficou muito mais sério ao ser regulamentado. ale a pena parar um momento, mapear as ações protetivas que precisam ser implementadas na sua plataforma e os ajustes jurídicos a serem realizados nos seus termos de uso e políticas de privacidade.

Para finalizar, se você quer mesmo preparar os seus usuários, sugiro até mesmo inserir um vídeo ou um link para um vídeo explicativo sobre como a sua organização utiliza as informações dos usuários.

Algo bem objetivo, tipo “como usamos suas informações”. Olha só o exemplo aqui embaixo.

Para compreender melhor o assunto, dá uma lida no artigo científico que eu fiz antes de assistir essa palestra bem aqui.

Conte com a InHands para a ampla compreensão e cumprimento de todas as obrigações sobre o assunto de privacidade de dados!