De 28 janeiro à 02 de fevereiro, é a semana da Proteção de Dados. A comemoração inicia com do dia internacional da proteção de dados, data que foi criada em 2006 pelo Conselho Europeu e pela Comissão Europeia para lembrar da realização da Convenção 108 do Conselho da Europa em 1981, que debateu acerca do tratamento automatizado de dados de carácter pessoal. Cabe ainda lembrar que dia 05 de fevereiro é o dia da internet segura, data criada pela Rede Insafe na Europa e que reúne atualmente mais de 140 países para mobilizar usuários e instituições em torno da data e estimular um uso livre e seguro da internet.
O objetivo dessas agendas é de alertar a sociedade em geral acerca da importância da privacidade, proteção de dados e segurança da informação. O assunto é relevante tanto para instituições que fazem tratamento de dados quanto para pessoas físicas que fornecem seus dados para elas.
Aos usuários, interessa saber quais são os direitos que eles tem sobre os dados que fornecem para as instituições e de que forma essas informações podem estar sendo utilizadas. Em diversos países, os usuários passam a poderem exigir, por exemplo, relatórios acerca de como seus dados estão sendo tratados e aonde estão sendo armazenados. Outra possibilidade é a de existir um direito de portabilidade de dados pessoais entre serviços diferentes, assim como o direito de exclusão dessas informações caso requisitado pelos usuários.
No ano passado, após o escândalo de utilização indevida de dados de usuários do Facebook pela empresa Cambridge Analytica, a pauta passou a ocupar destaque na mídia internacional e também a preocupar governos e empresas em geral. O escândalo levou o FBI a investigar sobre possíveis irregularidades na eleição norte-americana, demonstrando a importância do tema. No Brasil, o assunto foi escolhido como tema para a redação do ENEM, que focou-se na manipulação de comportamento dos usuários pelo controles de dados da Internet.
Para as empresas e governo, interessa saber quais legislações nacionais e estrangeiras devem ser observadas durante o tratamento de dados pessoais. Após a aprovação da mais recente legislação europeia, as discussões internacionais sobre o tema tornaram-se pauta da OCDE e também uma exigência de mercado. Não só isso: iniciou-se uma onda legislativa em que diversos países começaram a regulamentar sobre o tema.
Desde Abril de 2018, por exemplo, as empresas que desejem oferecer serviços na União Europeia estão sujeitos à General Data Protection Regulation (GDPR), a lei europeia sobre proteção de dados. Caso ignorem as prerrogativas da lei, as empresas podem ter contratos rescindidos e receberem multas que podem chegar a 20 milhões de euros ou 4% do faturamento global.
A preocupação com dados pessoais, entretanto, não é válida apenas para empresas que lidam diretamente com o mercado europeu: No Brasil, a partir de Agosto de 2020, a administração pública e pessoas jurídicas privadas estarão sujeitas à Lei Geral de Proteção de Dados (LGPD), novo marco regulatório brasileiro aprovado no ano passado e que exigirá diversas mudanças de gestão, infraestrutura e tecnologia das empresas. A proposta brasileira conta com multas de até 50 milhões de reais e sanções como o bloqueio de tratamento de dados. No caso de incidentes, pode-se também exigir a publicização da informação, o que pode causar diversos danos à imagem das instituições que não seguirem as novas regras.
Inicialmente, o principal desafio proposto para essa data era o de conscientizar acerca da importância do tema. Entretanto, observa-se que a data está sendo utilizada para que as empresas e instituições do governo atentem com urgência para quais legislações devem ser aplicadas para cada tratamento realizado pelas instituições. Observadas essas prerrogativas, surge a necessidade de se adaptar aos requisitos das legislações ou sofrer as consequências jurídicas e econômicas de não estar em acordo com a lei.
Durante a data, diversas empresas como o Google e a Microsoft realizarão eventos online para conscientizar os usuários acerca da importância de manter seus dados pessoais seguros. Apesar disso, talvez a maior urgência para o mercado Brasileiro seja a compreensão geral das legislações aplicáveis e a criação de novas soluções para que elas sejam respeitadas.
Para a legislação europeia, também foi concedido um período de 2 anos para a adaptação ao novo marco regulatório, e mesmo assim diversas instituições não se encontram de acordo com a norma, mais de 9 meses depois da mesma já estar sendo aplicável.
No Brasil, as instituições públicas e empresas privadas ainda não parecem estar devidamente atentas às novas regulações e correm o risco de não conseguirem se adaptar a tempo para a legislação nacional em 2020.
Andrea Willemin é GDPR Data Protection Officer certificada pela União Europeia, com mais de 18 anos de experiência em proteção de dados. Doutoranda em Ciência da Informação e Tecnologia pela UFSC. Mestre em Direito da Sociedade de Informação e Propriedade Intelectual pela UFSC. Executive MBA – Université de Genève – Suíça. Graduada em Direito pela Pontifícia Universidade Católica de São Paulo – PUC/SP e Université de Neuchâtel – Suíça. Graduada em Economia pela Université de Savoie – França e Université Genève – Suíça. Coordenadora da área de Compliance, proteção de dados e segurança da informação no escritório Cavallazzi, Andrey, Restanho e Araujo, em Florianópolis.