Ciência
24/03/2018 às 13:00•5 min de leitura
A GDPR é uma nova lei europeia que entrará em vigor nos próximos dias. Ao reforçar as proteções de dados dos cidadãos da Europa, todas as empresas de pequeno, médio e grande porte terão que investir em cibersegurança. E não são apenas empresas locais: companhias de todo o mundo que têm negócios com a Europa precisarão se adequar. Ou seja, a mudança é global.
De acordo com a União Europeia, o Regulamento Geral de Proteção de Dados da União Europeia (RGPD ou GDPR) substitui a Diretiva de Proteção de Dados e serve "para harmonizar as leis de dados privados por toda a Europa, para proteger e empoderar a privacidade de todos os cidadãos, além de reorganizar a maneira como companhias lidam com dados privados".
Apenas 12% das empresas pesquisadas estão prontas para serem regidas pela nova lei
Entrando em vigor no dia 25 de maio de 2018, as empresas locais ou internacionais com negócios na Europa que não cumprirem as novas diretrizes poderão receber multas pesadas.
Por exemplo, uma das questões abordadas pela GDPR é o vazamento de dados de clientes. Só no Brasil, durante os últimos meses, vimos problemas do tipo em negócios como Netshoes, Buscapé, FMU, Movida etc. Agora, todas as empresas que se enquadrarem na GDPR serão obrigadas a informar, tanto o governo quanto a população, sobre o vazamento de dados e o que será feito — o que é ótimo: ter uma posição clara sobre o que aconteceu é benéfico para a empresa, diferente de esconder uma possível falha que pode ser corrigida.
Uma pesquisa realizada pela Commvault mostrou, em fevereiro de 2018, que apenas 12% das empresas pesquisadas estão prontas para serem regidas pela nova lei. Obviamente, essa porcentagem deve ter aumentado de lá para cá. Contudo, o cenário ainda é perigoso para a maioria das firmas.
É o que a GDPR cobra. Veja só: os dados privados são extremamente importantes — e, se você não acha, talvez seja a hora de pesquisar mais sobre o assunto. A importância é tal que a GDPR veio para ficar. Além disso, políticos de outros cantos do mundo já acenaram a necessidade de algo similar em seus próprios governos.
Então, vamos ver de maneira clara o que é a GDPR (vale notar que o regulamento possui mais de 300 páginas): uma legislação sobre como as empresas devem tratar os dados privados de clientes. E isso envolve ainda três pilares: transparência, gestão e governança.
Basicamente, as companhias terão que correr para aprender a proteger de maneira correta os dados de clientes
"O objetivo da GDPR é proteger todos os cidadãos da UE contra a violação de privacidade e dados num mundo cada vez mais voltado aos dados, muito diferente do momento em que a diretiva de 1995 foi estabelecida", diz a União Europeia. "Embora os princípios-chave da privacidade de dados ainda se mantenham fiéis à diretiva anterior, muitas mudanças foram propostas para as políticas reguladoras".
Ok, então vamos falar das multas: as companhias podem receber penalizações de até 4% sobre o valor do volume de negócios global anual ou 20 milhões de euros (R$ 81 milhões, em conversão direta). Esse valor será pago por empresas que não possuírem o consentimento suficiente de consumidores ao processo de dados ou ao pela violação dos conceitos principais da "Privacy by Design".
A lei é clara: vazamentos de dados devem ser informados à DPA (comissão de proteção de dados) em até 72 horas e aos clientes afetados 'sem demora injustificada'
Outras penalidades ficam nos 2% sobre o valor de negócios anual e serão aplicadas quando empresas não tiverem registros de dados em ordem, não notificarem sobre vazamentos ou não realizarem avaliação de impacto. E a GDPR serve tanto para companhias físicas quanto para empresas de nuvem.
O pessoal da CIPHER, empresa multinacional de cibersegurança, detalhou os três principais pontos do Regulamento Geral de Proteção de Dados da União Europeia. Acompanhe abaixo:
Marco Civil
O Brasil tem o Marco Civil e um par de leis que ajudam usuários no que toca a vazamentos de dados e abusos na internet. Vale notar que, por meio da Secretaria Nacional de Defesa do Consumidor, a Oi foi multada em R$ 3,5 milhões pela Velox por violar direitos à privacidade em 2014.
Uma Lei Geral de Proteção de Dados Pessoais deveria chegar ao Brasil em 2018. Contudo, com todo esse panorama político instável e focado em reformas e mais reformas, parece que a implementação será feita apenas no próximo ano.
"Uma lei geral de proteção de dados pessoais e a criação de uma autoridade de proteção de dados podem e devem ser capitalizadas politicamente. Talvez, assim, possamos virar a 'chave' do atraso regulatório do Brasil nessa agenda", comentou Bruno Bioni, ao Jota.
Além de uma multa pesada, algo muito pior pode acontecer para a sua empresa: ter a imagem arranhada
Quem também comentou sobre o caso foi Alain Karioty, diretor regional da Netskope, ao Computer World: "O Brasil possui mais de 30 leis que, direta ou indiretamente, tratam do tema proteção de dados. Desde o Marco Civil da Internet e seu decreto regulamentador, que trazem regras rígidas e aplicáveis a todos os serviços de internet, com destaque para o Código de Defesa do Consumidor, Lei do Cadastro Positivo e a Lei do Sigilo Bancário. Nesse contexto, a adoção da GDPR trará um avanço significativo, embora também implique um maior investimento nos processos e tecnologias necessários para garantir a segurança desses dados, tanto aqueles que permanecem sob o perímetro de TI como aqueles que viajam através da nuvem".
A dica final é a mesma tecla que batemos desde sempre: invista em cibersegurança. Dados pessoais são quase commodities atualmente, e você não quer perdê-los apenas porque deixou de contratar um pessoal qualificado. Além de uma multa pesada, algo muito pior pode acontecer para a sua empresa: ter a imagem arranhada.
GDPR: a nova lei cibernética que pode afetar todo o mundo via TecMundo