No dia 25 de maio de 2018 acontecerá uma das principais mudanças na maneira como a lei trata as companhias de tecnologia -- ou qualquer outra empresa que lida com dados.

Esse será o dia em que a GDPR (Regulamentação Geral de Proteção de Dados) entrará em vigor em todos os países da União Europeia.

"Dados são o novo petróleo", diz a frase que já se tornou clichê. Faz sentido. Eles representam uma nova classe de ativos de enorme importância para o mundo contemporâneo. São os dados que fazem com que aplicações de inteligência artificial, big data, publicidade online e vários outros serviços da internet sejam viáveis.

Em outras palavras, funcionam como a engrenagem que move a economia digital. E tal como petróleo, eles também produzem imensos riscos ambientais.

Podem vazar, provocando prejuízos para milhões de pessoas. Podem também ser abusados por governos e por empresas, desrespeitando direitos e liberdades fundamentais. Podem até mesmo comprometer a autonomia democrática.

Nesse sentido, o fenômeno das fake news (notícias falsas) e o abuso na exploração de dados pessoais são dois lados da mesma moeda.

É nesse contexto que em 2016 a Europa deu um passo importante. A região, que já tinha uma legislação robusta de proteção à privacidade desde 1995, decidiu dobrar a aposta. Criou um modelo ainda mais abrangente e protetivo, que no embate entre liberdade empresarial e direitos dos cidadãos, ficou com os últimos.

A GDPR aplica-se a toda e qualquer organização que ofereça bens ou serviços que coletem dados pessoais de residentes da União Europeia.

Não importa onde a empresa esteja situada --se for esse o caso, a lei europeia será aplicável aos seus negócios.

Além disso, a GDPR define dados pessoais de forma bem mais abrangente do que o entendimento de outros países. O conceito passa a abranger qualquer dado que pode ser ligado a uma pessoa, mesmo que combinado com outras informações ou de forma indireta.

Consentimento

A regra fundamental da GDPR é a exigência do consentimento do usuário antes de que qualquer dado pessoal sobre ele possa ser coletado. Esse consentimento deve ser claro, específico e deve poder ser revogado facilmente a qualquer momento.

Qualquer serviço de internet que direta ou indiretamente colete dados sobre pessoas precisará informar sobre isso de forma clara, acessível e transparente.

Além disso, qualquer pessoa terá o direito de acessar, transferir, corrigir ou apagar as informações sobre si mesmo a qualquer momento, bem como solicitar a interrupção da coleta de dados.

Outro aspecto importante diz respeito à transferência internacional de dados entre países. Só poderá haver troca de dados com a Europa se o país em questão tiver um nível de proteção compatível com o da União Europeia.

As exceções a essa regra deverão ser formalmente negociadas caso a caso.

Fica também consolidado o modelo de que cada país precisa ter uma autoridade administrativa de proteção à privacidade, uma espécie de agência reguladora encarregada de tratar do tema.

As punições são pesadas. Qualquer violação aos preceitos da regulamentação gera multa de US$ 20 milhões ou 4% do faturamento global da companhia, o que for maior.

No Brasil

E o Brasil nesse contexto? O país não possui uma legislação abrangente sobre dados pessoais. O tema é regulado parcialmente pelo Marco Civil e outras leis setoriais. No contexto em que a GDPR entrará em vigor, essa lacuna contribuirá ainda mais para o isolamento do país.

Por exemplo, em princípio não poderá haver troca de dados entre Europa e Brasil, o que pode dificultar a vida de startups e empresas de tecnologia instaladas no país.

Para se ter uma ideia, a maior parte dos países da região já possui legislações mais ou menos similares à europeia. A Argentina, por exemplo, é reconhecida pela Europa nesse sentido, e a transferência de dados entre os países é formalmente permitida.

Em um momento em que o Brasil ambiciona ingressar no grupo de países da OCDE (Organização para a Cooperação e Desenvolvimento Econômico), a ausência de uma lei de privacidade entre nós será notada.