A nova lei GDPR entra em vigor hoje, 25 de maio de 2018, e abrange proteção de dados e privacidade para cidadãos da UE, mas também se aplica a muitos outros países de várias maneiras, e já que todas as gigantes da tecnologia são grandes corporações multinacionais, isso afeta muitas das coisas que você usa diariamente.
O problema que o GDPR está tentando resolver: as empresas estão coletando e abusando de suas informações pessoais
Desde o surgimento da internet, as empresas têm reunido o máximo de dados possível sobre qualquer um que possam. É simples coletar essas informações, por isso não há motivos para não acumulá-las.
O problema é que, nos últimos anos, muitas empresas foram impedidas de proteger - ou abusar completamente - de suas informações pessoais. O escândalo Cambridge Analytica, em que um pesquisador usou um questionário no Facebook para coletar enormes quantidades de dados em milhões de usuários do Facebook e depois vendê-los a uma empresa de consultoria, é apenas o exemplo mais recente. O equifax hack no ano passado foi particularmente ruim porque a informação vazada poderia ser usada para abrir cartões de crédito. E esses são apenas os grandes escândalos. Muitas empresas abusam de seus dados de maneiras menores, como vendê-las para empresas de publicidade terceirizadas.
A UE tomou uma visão obscura da situação e está usando o GDPR para tentar corrigi-lo. De acordo com as novas leis, as empresas que não protegem adequadamente os dados do consumidor ou as usam de maneira inadequada enfrentam multas imensas.
O que são considerados dados pessoais?
O GDPR protege "dados pessoais", que aqui significa "qualquer informação relacionada a uma pessoa natural identificada ou identificável" - e essa é uma definição bastante ampla. Na realidade, os dados pessoais geralmente incluem coisas como:
- Dados biográficos como seu nome, endereço, número de telefone, número do seguro social e assim por diante.
- Dados relacionados à sua aparência física e comportamento, como cor do cabelo, raça e altura.
- Informações sobre sua educação e histórico de trabalho, como seu salário, diploma universitário, GPA, identificação fiscal e assim por diante.
- Quaisquer dados médicos ou genéticos.
- Coisas como seu histórico de chamadas, mensagens privadas ou dados de geolocalização.
Isso está longe de ser uma lista completa. A chave é que qualquer dado que faça você contagens identificáveis. Em certas circunstâncias, a cor do seu cabelo pode ser suficiente. Em outros, até mesmo seu nome completo - se é algo comum como Robert Smith - pode não torná-lo identificável.
O que o GDPR faz?
O GDPR dá aos residentes da UE que estão tendo seus dados pessoais coletados - chamados “sujeitos de dados” na lei - oito direitos. Eles são:
- O direito de ser informado: Se uma empresa está coletando dados, eles precisam informar aos titulares dos dados o que está sendo coletado, por que estão sendo coletados, o que está sendo usado, por quanto tempo serão mantidos e se serão compartilhados com terceiros. Esta informação não pode ser enterrada em termos de serviço que ninguém lê; tem que ser conciso e em linguagem simples.
- O direito de acessar: Se eles solicitarem, qualquer organização que tenha dados pessoais sobre um assunto de dados deve fornecê-lo a eles dentro de um mês.
- O direito de retificação: Se um titular de dados descobrir que uma empresa possui dados incorretos, ele poderá solicitar a atualização. As empresas têm um mês para cumprir.
- O direito de apagar: Um titular de dados pode solicitar que uma empresa exclua quaisquer dados que sejam mantidos em determinadas circunstâncias. Por exemplo, se os dados não forem mais necessários ou se estiverem retirando o consentimento para serem usados.
- O direito de restringir o processamento: Se uma organização não puder excluir os dados de um participante de dados, por exemplo, porque eles precisam de um caso legal, eles poderão solicitar que a empresa limite o modo como ela é usada.
- O direito à portabilidade de dados: Os titulares dos dados têm o direito de recolher os seus dados pessoais de um serviço e utilizá-los com outro.
- O direito de objetar: Se os dados são coletados sem o consentimento, mas para interesses comerciais legítimos, para o bem público ou por uma autoridade oficial, o titular dos dados pode objetar. A organização deve então interromper o processamento dos dados até que eles possam provar que têm motivos legítimos para fazer isso.
- Direitos relacionados à tomada de decisão automatizada, incluindo criação de perfil: O GDPR coloca em prática salvaguardas para que os indivíduos possam se opor ou obter uma explicação sobre as decisões automatizadas que os afetam e seus dados.
Outra grande parte dos regulamentos é que as empresas devem ter uma razão legal para coletar ou processar quaisquer dados. Uma das razões legais é que eles obtiveram o consentimento para usá-lo para uma finalidade específica, mas há outros que precisam para cumprir as obrigações legais ou que a coleta é de interesse público.
Como você pode ver, os direitos concedidos aos residentes da UE sob a lei são muito amplos e estão forçando as empresas que coletam dados deles a pensar realmente sobre o que estão coletando e por quê.Os velhos tempos de apenas coletar tudo o que podem e esperar encontrar um uso para isso mais tarde se foram - pelo menos na Europa. É por isso que praticamente todos os serviços para os quais você já forneceu seu endereço de e-mail estão entrando em contato com você.
O que tem um monte de empresas em um burburinho é que as sanções por não serem compatíveis com GDPR são bastante duras. Uma organização pode ser multada em até 20 milhões ou 4% de seu faturamento anual em todo o mundo (o que for maior) sob as leis. Para os gostos da Amazon ou do Google, isso equivale a bilhões de dólares em multas em potencial se eles manipularem mal os dados dos residentes da UE.
O que o GDPR significa para os americanos?
Ao longo deste artigo, estivemos focando nos direitos que o GDPR concede aos residentes da UE pela simples razão de que é uma lei da UE. Na verdade, não se aplica a cidadãos americanos, a menos que eles também residam na UE. A razão pela qual você está recebendo todos os e-mails é que a maioria das empresas não tem como dizer quem é residente na UE e quem não é.
Isso, no entanto, não significa que o GDPR não irá afetá-lo. Isso fez com que muitas empresas reavaliassem como estão lidando com dados de consumidores, e algumas delas começaram a falar sobre transferir os direitos GDPR para residentes fora da UE. E também é mais simples para as empresas impor um único conjunto de regras para todos os clientes em muitos casos.
Por exemplo, a Apple lançou um novo portal de privacidade onde as pessoas podem baixar todos os seus dados pessoais ou excluir sua conta, em outras palavras, fornecendo às pessoas os direitos de acesso e eliminação. Por enquanto, apenas as contas baseadas na UE podem usá-lo, mas a Apple planeja lançá-lo em todo o mundo nos próximos meses. Da mesma forma, o Facebook está resmungando sobre dar as mesmas proteções GDPR para alguns usuários fora da UE.