A partir desta sexta-feira (25/05), entra em vigor o Regulamento Geral de Proteção de Dados (GDPR), ou seja, é o prazo final para que todas as empresas no mundo que possuam relações comerciais com companhias da União Europeia sejam mais responsáveis pelos dados dos cidadãos com quem se comunica.  O regulamento afeta empresas e cidadãos de todo o mundo, e não apenas da União Europeia (UE). Ele tem como objetivo garantir que todas as empresas, dentro e fora do território Europeu, localizadas em qualquer lugar do mundo, cujas barreiras transacionais se derem dentro de um ambiente virtual, (e, portanto, se aplica às empresas brasileiras), que manipularem ou processarem, de qualquer forma, dados de cidadãos e/ou residentes na UE. De acordo com Rodrigo Vaz Sampaio, especialista em direito civil e proteção de dados do CEU Law School, trata-se de um avanço significativo na autodeterminação informacional, ou seja, na proteção e segurança de dados, agora afinada essencial e legislativamente com dois princípios fundamentais. O primeiro deles é o princípio da finalidade (Zweckverbindung), que diz que qualquer dado somente pode ser requerido e mantido em uma base conforme a finalidade a que ele se presta. Se a finalidade não existir, o dado não pode ser requerido; se ela deixar de existir, o dado deve ser esquecido, ou melhor, destruído. >>>> Leia especial completo sobre GDPR O segundo é o princípio do consentimento. Conforme Sampaio explica, salvo as hipóteses expressamente previstas no regulamento, quem cede dados próprios precisa consentir. Ou seja, há necessidade de estar de acordo com a entrega dos dados, bem como com a finalidade a que eles se vincularão. Sampaio esclarece que o regulamento tem aplicação transversal, ou seja, ele não distingue setores econômicos, ficando qualquer processamento de dados sujeito às suas regras. Muitas empresas, órgãos públicos e sociedades europeias fizeram campanha nos últimos dias aos seus clientes e usuários a respeito das novas regras de privacidade.  Com base nos princípios da finalidade e do consentimento, diz Sampaio, os cidadãos terão mais controle sobre seus dados e de como esses são processados, tendo direito de acesso, de retificação, de cancelamento, de portabilidade, dentre outros. Portanto, completa, os responsáveis pelos tratamentos dos dados terão que criar padrões altos de segurança, de registro dos dados e de notificação sobre eventuais violações. A coleta de dados em ambientes virtuais precisa, enfim, de consentimento dos usuários.De acordo com ele, o segundo grande impacto esperado vai além do controle do cidadão dos seus dados, partes integrantes de sua personalidade: uma maior responsabilização das empresas e demais órgãos, que, além de perderem efetivamente faturamento com o descumprimento do regulamento, serão responsabilizados de maneira diferente, por exemplo, na publicidade, se diagnosticada a quebra proposital das regras do Regulamento. A empresa que realiza publicidade por meio de determinado veículo poderá, até mesmo, ser responsabilizada por erro deste.O especialista acrescenta que as empresas brasileiras, que apresentam filiais na União Europeia ou que ofertem serviços na União Europeia, deverão se moldar às regras do regulamento a fim de coletar e armazenar dados de cidadãos europeus. Porém, ressalta, mais importante ainda será a conscientização acerca da legislação adequada para esta disciplina, além de pesquisas científicas sérias, conduzidas na área jurídica, sobre o tema. Para Rodrigo Suzuki, gerente de segurança da informação e continuidade de negócios da Logicalis, um dos principais impactos da lei nos negócios está relacionado à proibição de desvio de propósito na captura e análise de dados. Com isso, se uma seguradora, por exemplo, instala um dispositivo no seu carro para monitorar seus trajetos e possibilitar um seguro mais barato com base nos locais que você passa, ela não pode usá-los para lhe enviar promoções das lojas do shopping que você frequenta. O especialista aponta que a lei é bastante complexa e não tem uma receita muito simples. Segundo ele, mais do que investir em tecnologia para criptografar os dados, definir controles de acesso e possibilitar o direito ao esquecimento, as empresas precisam conhecer quais dados capturam, de forma direta ou indireta, a que tipo de pressão esses dados estão submetidos e se as pessoas autorizaram ou não a coleta. E Suzuki faz um alerta: com o crescimento da internet das coisas, garantir que as empresas capturem apenas os dados imprescindíveis para entregar valor agregado ao cliente se torna ainda mais importante.  Para Peter Lefkowitz, chefe de privacidade e risco digital da Citrix, agora que o GDPR entra em vigor, as empresas devem se concentrar em saber onde estão seus dados, quem dispõe de acesso a eles e implementar controles de segurança técnicos e organizacionais apropriados. GDPR foca no cidadãoNo início de junho de 2016, a diretora do Centro de Pesquisas sobre Proteção de Dados da Universidade de Frankfurt e uma reconhecida estudiosa no tema, Indra Spiecker, esteve no Brasil. Na ocasião, a Revista Abranet conversou com ela sobre a instituição, pela União Europeia, da lei de proteção de dados válida para todos os estados-membros — a entrevista foi feita antes do plebiscito que decidiu pela saída do Reino Unido do bloco. “Teremos a mesma lei para os 28 Estados-Membros que será válida a partir do fim de maio de 2018. E, como sabem que a lei virá, todos têm este prazo de se preparar. No geral, a lei não mudou muito no lado de valores e direito material; ela se concentrou mais em procedimentos e na execução da lei. E isto será um desafio para operações de provedores internacionais”, disse à época.De acordo com ela, com a lei há a possibilidade de ter autoridades supervisoras que trabalhem para encontrar companhias que violem os padrões de processamento de dados estabelecidos na lei. Caso as violações se repitam, poderão aplicar multas de até 4% do faturamento mundial até o teto de até 20 bilhões de euros. Isto significa que os acionistas terão de prestar mais atenção agora. “É uma lei focada no cidadão, em direitos humanos, proteção de dados e privacidade. No começo da discussão, houve um movimento que quis reformar e revolucionar em um sentido de ir mais à direção de criar uma lei de informação, na qual direitos à privacidade e à proteção de dados seriam contemplados de maneira muito menor do que são agora. Nós lutamos por esta lei um total de cinco anos. Em 2011, a União Europeia começou e, em 2012, a Comissão propôs um primeiro projeto da legislação. Daí entrou em uma fase complicada porque há vários atores envolvidos na formulação de leis”, disse.A especialista defendeu a criação de agências reguladoras para supervisionar a aplicação da lei e disse que hoje os clientes não têm escolha. “Eles podem dizer ‘sim, eu quero Facebook’ e aceitar todas as condições ou dizem não e não têm acesso a nada. O que eu espero que possa ocorrer com o regulamento da União Europeia é fazer surgir e aumentar a diversidade de produtos. Possivelmente, o Facebook comece a oferecer serviços amigáveis com proteção de dados que tenham algumas funcionalidades para isto. Pode ser que até tenha um custo, mas não será mais um sim ou não. O que precisamos é que a proteção de dados portfólio e que não seja pegar ou largar.”Confira a íntegra da entrevista na revista.