Tecnologia

A segurança que vem da Europa

Nova lei de proteção de dados europeia força empresas brasileiras a protegerem melhor as informações de seus usuários para evitar vazamentos

A segurança que vem da Europa

O contador paulistano Luiz Henrique Fernandes tem hábitos comuns na internet. Todos os dias, ele acessa o Facebook, checa promoções em sites de compras e joga alguns games online. Nas últimas semanas, ele foi surpreendido com uma grande quantidade de e-mails enviados pelas empresas que controlam os principais serviços que acessa. “Lotaram a minha caixa”, diz. As mensagens anunciavam mudanças nos termos de serviços de redes sociais, sites de e-commerce e aplicativos com diversas finalidades. Os avisos que chegaram para Fernandes no Brasil são resultado de uma nova legislação dos países europeus que entrou em vigor na sexta-feira 25, a Regulamentação Geral de Proteção de Dados (GDPR, na sigla em inglês). São normas que tratam da coleta, do armazenamento e do uso de dados privados pessoais. E, embora criadas no Velho Continente, influenciam empresas no mundo inteiro, que vão ter que deixar bem claro para seus clientes o que fazem com suas informações.

O impacto direto será nas empresas que têm negócios, funcionários ou parceiros comerciais na Europa. A paulistana Maplink, por exemplo, foi obrigada a ajustar os termos em que oferece seus serviços por contar com uma equipe de trabalho na França. A companhia, que recebeu um investimento de US$ 15 milhões da Movile, dona da iFood, desenvolve mecanismos de geolocalização para serviços de mapa e busca por parceiros na Europa. “As próprias empresas que negociamos parcerias querem saber se estamos adequados ao GDPR”, diz o CEO Frederico Hohagen. “Isso se transformou em uma exigência do mercado.”

Entre as diretrizes que precisam ser seguidas à risca, as companhias devem garantir que a privacidade dos usuários será respeitada, que os dados não serão repassados a terceiros sem autorização prévia e que não serão utilizados para outros fins que não os previstos em contrato. Outra medida permite que os usuários solicitem que as empresas apaguem de seus sistemas todos os dados que possuem sobre eles. Se essas exigências existissem nos últimos anos, escândalos recentes teriam recebido punições bem mais severas.

Regras para todos: comandada por João Pedro Resende, a startup mineira Hotmart tem operações na Europa e precisou se adequar ao GDPR (Crédito:Pedro Gontijo / Nitro / IstoE)

No ano passado, a Uber revelou que 57 milhões de passageiros e motoristas de seu aplicativo de transporte tiveram seus dados roubados por hackers em 2016. Em março deste ano, o Facebook teve 87 milhões de dados de usuários usados indevidamente pela consultoria britânica Cambridge Analytica. Se algo como isso acontecer agora, a companhia seria enquadrada em multas do GDPR, que podem ser € 20 milhões ou até mesmo 4% do volume global de negócios da empresa, o que for maior. “Antes, as empresas não precisavam dar esclarecimentos às autoridades quando sofriam ataques”, diz Patrícia Peck, advogada especializada em direito digital. “É uma regulamentação que mexe diretamente nos negócios.”

É o caso do Banco do Brasil, que já é obrigado a seguir regras específicas para o tratamento de informações cadastrais. No banco, o trabalho relacionado ao GDPR teve início em agosto de 2017 e contou com o auxílio de consultorias especializadas. Foi necessário “adaptar processos e procedimentos relativos à manutenção de dados pessoais de clientes residentes na Europa”, informou a instituição em nota. O Banco do Brasil tem agências na Alemanha e na Inglaterra, um centro de serviços de Portugal e negócios na Áustria, França, Espanha e Itália. A nova legislação afeta qualquer empresa brasileira com negócios na Europa.

“Se você tem um visitante europeu em seu site, precisa seguir essa lei”,diz João Pedro Resende, fundador da plataforma para hospedagem e venda de cursos online Hotmart. A empresa tem sede em Belo Horizonte, mas conta com escritórios na Espanha e na Holanda e tem 4 milhões de clientes em 180 países. O Brasil ainda não tem uma lei de dados digitais. Até agora, a iniciativa que mais se aproxima é um projeto de lei apresentado em agosto de 2013 pelo senador Antonio Carlos Valadares (PSB/SE). Na quinta-feira 24, a PLS 330/2013 recebeu um requerimento solicitando urgência para a votação da matéria, o que ainda não tem data para acontecer.

“O cenário turbulento recente atrapalhou muito”, afirma o senador Ricardo Ferraço (PSDB/ES), relator da proposta. “Esse tempo, porém, acabou sendo oportuno, já que a gente está se valendo muito do debate que está sendo feito na União Europeia.” O político explica que alguns pontos de uma futura lei brasileira deverão estar em acordo com o GDPR, como o atendimento às solicitações de exclusão de dados pessoais armazenados nos sistemas das empresas e o não fornecimento de informações a terceiros sem autorização. “Não estamos copiando. Mas esse código de leis nos serve como inspiração.” Seria um bom começo.