A aprovação da GDPR (a lei geral de proteção de dados) da União Europeia entrou em vigor no dia 25 de maio de 2018, logo após passar por um longo período de vacância (ou publicidade da norma) de dois anos e depois de suceder outra legislação de dados, esta aprovada há 20 anos. Ou seja, para o europeu, não há novidade sobre o assunto, certo? Mas não é bem assim.
Em entrevista a Consumidor Moderno, Sara Soumillion, uma experiente jornalista belga e principal voz da Comissão Europeia para a GDPR, falou sobre uma das novidades introduzidas pela lei europeia: o chamado o privacy by design, um conceito com potencial para mudar radicalmente a maneira das empresas projetarem os seus sites, aplicativos e todo o tipo de serviço digital. Veja a entrevista:
Há muitas histórias mal contadas sobre a GDPR. Uma delas é que a lei de proteção de dados europeia é nova, o que não é verdade. Como foi a evolução da discussão até a lei começar a ter validade no dia 25 de maio deste ano?
Sara – O GDPR se baseia em regras de proteção de dados e que estão em vigor há mais de 20 anos na Europa. Por aqui, a norma é frequentemente descrita como uma evolução da proteção de dados e não uma revolução. Dito isto, as empresas tinham dois anos para se preparar a essa nova etapa da legislação de dados, que foi aprovada em 2016, e entrou em vigor em 2018. A Comissão da UE apoiou esse processo financiando programas de treinamento, linhas de ajuda gerenciadas por autoridades nacionais de proteção de dados (especialmente para pequenas e médias empresas), entre outras iniciativas. Nada disso é novo na Europa.
Empresas como o Google se queixaram da medida e até ameaçaram exportar os dados armazenados na Europa para os Estados Unidos, onde, na maioria dos estados, não existe legislação. Como tem sido a reação das empresas na Europa?
Penso que houve benefício para as empresas que operam na Europa. O primeiro benefício para as empresas, tanto europeias quanto estrangeiras que fazem negócios na EU, é que elas agora operam em um ambiente regulatório harmonizado e simplificado. Em vez de ter que lidar com 28 diferentes leis de proteção de dados e 28 reguladores, temos um conjunto de regras que se aplica às suas operações e são interpretadas de maneira uniforme em todo o continente. As obrigações de notificar as operações de processamento de dados ou de obter a autorização prévia das autoridades de proteção de dados (conforme estava previsto nos termos da legislação anterior) foram descartadas. Para as empresas, tudo isso significa maior segurança jurídica e redução significativa dos custos de conformidade e burocracia.
Mas existem oportunidades comerciais em um ambiente com esse tipo de regulação?
Investir em privacidade compensa e cria novas oportunidades comerciais. Por exemplo, produtos e serviços estão sendo desenvolvidos e oferecidos com novas soluções de privacidade e segurança de dados. E, de fato, o GDPR, por meio de princípios como Privacy by design (leia mais sobre essa ideia AQUI) e o Privacy default (o modelo de privacidade para muitas pessoas) IA ABAIXO SOBRE O SIGNIFICADO DO TERMO), incentiva os negócios a inovar e desenvolver novas ideias, métodos e tecnologias para a segurança e proteção de dados pessoais.
Gostaria de falar sobre as punições. Qual o impacto?
No que diz respeito às multas, o GDPR harmonizou-as em toda a UE e assegurou que ambas são dissuasivas e proporcionadas. Ter sanções críveis em vigor é considerado necessário quando certas violações de proteção de dados podem ser particularmente prejudiciais não apenas para indivíduos (por exemplo, violações massivas de dados que levam a fraudes ou furtos de identidade, uso ilegal de dados confidenciais, como dados médicos), mas também a sociedade como um todo, incluindo a integridade dos processos eleitorais e, por fim, o funcionamento de nossas democracias (como mostram as revelações do Facebook Cambridge Analytica).
Gostaria de falar sobre o procedimento adotado pela comissão para a aplicação dessas sanções.
Mas as sanções financeiras são apenas uma das ferramentas que as autoridades de proteção de dados podem usar para impor o GDPR (outras ferramentas incluem advertências, medidas cautelares, como ordenar a retificação ou o apagamento de dados, etc.). Se considerarem que uma multa é a sanção apropriada para uma determinada violação, as autoridades de proteção de dados poderão impor uma sanção financeira somente após uma investigação completa dos fatos do caso e após um procedimento administrativo dando notavelmente uma oportunidade para as partes ser ouvido e apresentar seus pontos de vista.
Uma das sanções que chama a atenção é a multa. Ela tem um valor 4% do faturamento global da companhia, limitado ao teto de € 20 milhões. O valor impressiona e assustou companhias. Qual tem sido o critério para abertura de processo para a aplicação da multa?
O montante da multa deve ser determinado tendo em conta as circunstâncias relevantes de cada caso individual, com base numa lista de 11 fatores, que incluem, entre outros critérios, gravidade da infração, duração, número de indivíduos afetados, caráter intencional ou negligente da infração e muito mais. Portanto, apenas alguns meses após a entrada em aplicação do GDPR é muito cedo para que qualquer multa seja imposta.
É importante ressaltar que, com o GDPR, as autoridades de proteção de dados não se transformaram em “máquinas de multar”. Eles se envolveram com as partes interessadas sobre como melhor cumprir o GDPR. Isso inclui a emissão de diretrizes sobre todos os aspectos principais do GDPR, após amplas consultas públicas das quais um grande número de empresas participou. Esse é o tipo de engajamento, de diálogo construtivo entre reguladores e empresas que caracterizou os primeiros meses de aplicação do GDPR.