GDPR: O que é? Devo me preocupar?
É fácil listar os debates mais populares do mercado de segurança cibernética no Brasil em 2020. Além de conversar sobre os desafios no setor ocasionados pela pandemia do novo coronavírus (SARS-CoV2), os profissionais da área focaram sua atenção na Lei Geral de Proteção de Dados (LGPD), que entrou em vigor no dia 18 de setembro. Finalmente, a população brasileira ganhou um amparo legal em relação à sua privacidade e uso de dados pessoais, mesmo que as penalidades só possam ser aplicadas a partir de agosto de 2021.
A entrada da lei — um tanto espontânea, diga-se de passagem — não causou furor dentre as empresas que já haviam garantido a adequação com antecedência. Aos empreendimentos que ainda não apresentavam compliance com a norma, veio o desespero de ajustar seus processos, adotar ferramentas de mapeamento de dados, contratar especialistas jurídicos e plantar uma cultura de segurança para garantir que nenhuma violação seja registrada a partir de agora.
O que muitos se esquecem, porém, é que a LGPD não é a única lei de proteção de dados que existe no mundo — há outro texto igualmente rigoroso e que, caso seja infringido, resulta em penalidades ainda mais severas. Estamos falando da europeia GDPR, sigla para General Data Protection Regulation (ou Regulamento Geral sobre a Proteção de Dados, traduzindo para o português). Ela está em vigor desde 2018 e protege todos os cidadãos de todos os estados-membro da União Europeia.
O titular é rei
Para pequenas e médias empresas, a GDPR não é motivo para preocupação. Agora, se você possui um empreendimento de alcance internacional e — de alguma forma — recolhe, armazena e/ou processa dados de cidadãos europeus, mesmo que sua companhia seja sediada no Brasil, as regras do regulamento gringo lhe valem da mesma forma. Pare e pense: sua loja virtual envia para o Velho Mundo? Sua rede social ou plataforma de streaming possui usuários do outro continente?
Se sim, é necessário adequar-se à GDPR. Felizmente, suas diretrizes são similares às da LGPD, sendo baseadas sobretudo no conceito de consentimento — ou seja, a recolha de dados pessoais deve ser feita apenas com a expressa autorização do seu titular, sendo necessário também explicar como tais informações serão utilizadas (caso sejam compartilhadas com terceiros etc.) e por quanto tempo serão armazenadas. O “dono” dos dados também pode solicitar sua consulta, exclusão ou transferência a qualquer momento.
Por fim, também temos, é claro, a obrigatoriedade das empresas de notificar eventuais violações de privacidade e vazamentos de dados pessoais. Nesses eventos, as multas podem chegar a até 20 milhões de euros (R$ 127,8 milhões) ou 4% do faturamento anual da empresa — o que for maior. Claro, estamos falando de penalidades em casos graves; incidentes mais simples podem ser punidos com “simples” advertências oficiais por escrito ou auditorias constantes para garantir a conformidade.
Não é mole, não
A GDPR não está aí para brincadeiras. Multinacionais famosas já foram severamente penalizadas pelo regulamento, o que prova que, de fato, as autoridades europeias estão prontas para fiscalizar a norma com punhos de aço. A maior multa já aplicada pela lei, por exemplo, foi de 50 milhões de euros (cerca de R$ 319 milhões), sendo destinada a ninguém mais e ninguém menos do que a própria Google. Também temos multas pesadas contra a TIM (27 milhões), British Airways (21 milhões) e Marriott (20 milhões de euros).
No total, até este fim de 2020, 449 empresas já foram penalizadas pelas regras da GDPR, e, embora não haja notícias de qualquer punição contra alguma empresa brasileira, garantir conformidade com tal texto significa promover uma cultura de segurança em seu ambiente corporativo que será útil não apenas para a lei europeia, mas também para a LGPD e para colaborar com uma Internet mais segura como um todo.
Produção: Equipe de Conteúdo Perallis Security