Se você é usuário de serviços Google, desde o Gmail até o Google Analytics, você provavelmente recebeu algum e-mail nos últimos dias acerca da mudança na política de privacidade de dados na empresa. Aliás, se você prestar atenção, é bem provável que outros serviços que você utiliza também tenham te enviado mensagens sobre o mesmo assunto, e isso não é mera coincidência.
Isso se deve ao fato de que foi sancionada, na União Europeia, uma nova lei que tem o intuito de regulamentar o uso de dados de cidadãos europeus pelas empresas — o GDPR.
Agora, você pode estar pensando: “o que uma lei sancionada na União Europeia tem a ver com a minha empresa, que está no Brasil? Isso realmente tem impacto no meu dia-a-dia?”. Bom, se você trabalha com dados de usuários em nível global, é bem provável que você tenha que entender esta legislação e se adaptar aos prováveis impactos que ela pode causar.
Neste artigo vou te explicar o que é o GDPR, quais os impactos que ele pode ter sobre a sua empresa (mesmo você estando no Brasil!) e como se preparar para as mudanças que estão vindo.
O que é o GDPR?
O GDPR – General Data Protection Regulation (ou, em uma tradução livre, Regulamento Geral de Proteção de Dados) é uma lei que entrou em vigor em 25 de maio de 2018 na União Europeia cujo objetivo é resguardar os cidadãos europeus de eventuais usos irresponsáveis e até danosos envolvendo seus dados pessoais. Com isso, a lei obriga as empresas a serem responsáveis pelas informações que guardam e a tomarem as medidas necessárias para garantir que os dados de seus usuários sejam armazenados com o maior nível de segurança possível.
Como dados pessoais, a lei considera qualquer tipo de informação que possa identificar o usuário. Ou seja, nome, e-mail, número de identidade e documentos pessoais, dados bancários e até foto, por exemplo, são informações resguardadas pelo regulamento.
Aprovada em 2016, foram dados dois anos para que as empresas se adequassem ao que o regulamento propõe. As companhias que manipulam dados de cidadãos europeus basicamente precisam se certificar de que seus bancos de dados estão seguros e não possuem nenhum tipo de brecha que deixe os dados dos usuários vulneráveis.
Além de brechas de segurança, outro ponto-chave tocado pelo regulamento diz respeito a como as empresas conseguem os dados do usuários. Neste ponto, é tratada a questão do “consentimento”, que diz que uma empresa apenas tem o direito de guardar dados de um usuário quando este concede permissão. Para isso, é preciso que ela crie mecanismos claros para não confundir o usuário na hora de pedir permissão para processar seus dados, tomando cuidado para que a decisão não seja influenciada neste processo. Também é necessário dar ao dono das informações o poder de retirar o consentimento a qualquer momento.
As empresas que manipulam dados de cidadãos europeus basicamente precisam se certificar de que seus bancos de dados estão seguros e não possuem nenhum tipo de brecha que deixe os dados dos usuários vulneráveis.
Este assunto é muito relevante nos dias que estamos vivendo. Pense: o CEO do Facebook, há não mais que um mês, teve de prestar esclarecimentos ao senado americano acerca do caso Cambridge Analytica, onde dados de usuários da rede social foram usados indevidamente durante a campanha eleitoral americana. Além disso, é estimado que em 2017 as empresas arcaram com US$ 27 bilhões em prejuízos por conta de vazamentos de dados, incluindo casos de empresas como Uber e HBO (esta última já apareceu aqui no blog recentemente).
Embora os casos em questão nada tenham a ver com a regulamentação que, como eu disse, já está aprovada desde 2016, eles mostram que é natural que as entidades governamentais comecem a se importar cada vez mais com como as empresas tratam os dados dos cidadãos, visando manter a integridade dos usuários.
Como a regulamentação afetas as empresas brasileiras
OK, a lei foi sancionada na Europa. E agora? O que nós, moradores de outro continente, temos a ver com a história?
Basicamente, se você tem um negócio que atua na União Europeia, você deve se inteirar sobre a regulação e se adaptar conforme necessário. Isso porque o GDPR também se aplica às empresas que têm clientes ou usuários residentes em países da União Europeia e que, por conseguinte, manipulam dados destes cidadãos.
Por exemplo, digamos que você possua um e-commerce de nicho que comercialize produtos em nível global, inclusive para os países da União Europeia. Caso ocorra algum problema e, por exemplo, os dados pessoais de seus clientes sejam vazados, você precisaria seguir a regulamentação em questão e tomar as medidas cabíveis citadas pelo GDPR. Inclusive, você também estaria sujeito às sanções descritas no regulamento em caso de vazamento de dados.
“Este regulamento se aplica ao processamento de dados pessoais por um controlador (quem processa os dados) que não esteja estabelecido na União Europeia, mas que esteja em um país onde a lei se aplique através do direito público internacional.”
No Brasil ainda não existem leis que tratam especificamente sobre proteção de dados, assim como o GDPR. Contudo, a estimativa é de que em alguns anos tenhamos alguma regulação neste sentido, uma vez que já existem projetos de lei tramitando na Câmara dos Deputados que tratam sobre proteção de dados pessoais. Além disso, o Marco Civil da Internet discorre sobre o assunto, ainda que de maneira genérica e sem trazer à luz uma regulamentação ao cenário.
Mesmo não existindo formalmente este tipo de jurisprudência em território brasileiro, tratar a segurança dos dados dos seus clientes como prioridade é essencial, tendo a segurança como parte estratégica de seu negócio.
Por que você deve se preocupar?
Um dos principais pontos do GDPR fala sobre brechas de segurança de dados. Quando pensamos neste tema é comum relacionarmos a vazamentos de dados, uma vez que esta é a manifestação mais comum de brecha de segurança – ou, pelo menos, a que mais chama atenção na mídia.
Contudo, a brecha de segurança vai bem além do vazamento: segundo o GDPR, a brecha de segurança de dados (ou data breach) ocorre quando há, de maneira acidental ou ilegal, destruição, perda, alteração, divulgação ou acesso não autorizado a dados transmitidos, armazenados ou processados de qualquer forma.
Em outras palavras, não é apenas com o vazamento de dados que você deve se preocupar. Seus sistemas devem estar prontos para garantir a segurança de dados dos usuários em qualquer nível, impedindo que eles sejam manipulados de maneira errônea e ocasionem problemas para os donos da informação.
As sanções para este tipo de problema são bem severas, pois o GDPR prevê multas financeiras bem fortes a quem desrespeitar o que está descrito no regulamento. Para você ter uma ideia, as penalidades podem chegar até 20 milhões de euros ou 4% do faturamento bruto anual da empresa, imperando o valor que for maior!
Pense comigo: para uma empresa de grande porte, como a Microsoft ou a Google, esta sanção pode ser pesada, mas ainda relativamente fácil de cumprir. Agora imagine uma empresa de pequeno porte, cujo faturamento é bem mais limitado.
É notável que não estar em conformidade com o que diz o GDPR pode trazer prejuízos em diversos níveis para as empresas. Contudo, embora as empresas estejam cientes da importância de se adequar à nova legislação, 93% delas relatam ainda não estar adaptadas às novas normas.
Como se preparar para o GDPR
Mesmo com a lei já em vigor, você pode tomar as devidas providências para se enquadrar no que ela requer, caso seu negócio se encaixe nos termos do GDPR. Como diz o artigo How GDPR Will Change The Way You Develop, “independente da linguagem de programação que você usa, do cargo que você tem ou do produto que você cria, o GDPR requer que você seja mais estruturado e transparente quanto ao seu modo de fazer as coisas”. Ou seja, durante todo o seu desenvolvimento você terá de implantar mecanismos que certifiquem que você está prezando pela privacidade dos dados que você manipula.
Neste ponto é muito importante respeitar dois conceitos citados pelo regulamento: privacidade por design e privacidade por padrão. O primeiro diz que todo e qualquer processo deve ser pensado com a privacidade do usuário em prioridade, antes mesmo do início do desenvolvimento de um produto. Tudo que seja planejado e construído por você deve ser feito implementando os mecanismos necessários para impedir problemas envolvendo os dados de terceiros que você manipula.
Já a última busca garantir que, mesmo depois do lançamento de um sistema, as medidas cabíveis de segurança serão tomadas sem que o usuário precise interferir. Ainda é de sua responsabilidade garantir que seu sistema se mantenha seguro por um longo tempo. Uma boa maneira de se certificar de que seu produto segue as diretrizes de privacidade é submetendo ele a testes frequentes para avaliar seu nível de segurança.
“Independente da linguagem de programação que você usa, do cargo que você tem ou do produto que você cria, o GDPR requer que você seja mais estruturado e transparente quanto ao seu modo de fazer as coisas”
Sendo assim, busque começar entendendo quais dados de seus usuários você precisa. Assim você poderá otimizar seus processos e não perderá tempo trabalhando em cima de informações desnecessárias. Em seguida, planeje e realize todos os seus processos de desenvolvimento baseados em boas práticas de segurança, garantindo que a privacidade de seu usuário é levada em conta desde o princípio.
Por fim, continue se certificando de que seus sistemas estão seguros e não oferecem risco aos dados de seus clientes, livrando tanto eles quanto a sua empresa de problemas de todos os tipos.
Nós, da Sofist, entendemos a importância de se ter sistemas seguros e que oferecem ao usuário a tranquilidade de saber que seus dados estão sendo usados de maneira responsável. Por isso, estamos prontos para te ajudar a tornar seu sistema o mais seguro o possível.
Quer se preparar para o GDPR ou, mesmo não se aplicando à lei, tem interesse em tornar os dados dos seus usuários mais seguros? Entre em contato conosco! Vai ser um prazer te ajudar com isso. Me escreva em bruno.abreu@sofist.com.br ou ligue em (19) 3291-5321 e vamos conversar!
Welisson Silva
Site muito bacana, escrita perfeita!
Bruno queria saber como faço para configurar isso de forma certa. Pois trabalho com o adsense, mas até agora
não consegui entender bem o que devo fazer, e como saber se estar configurado corretamente!