Novas regras para proteger informações pessoais de cidadãos europeus irão afetar empresas brasileiras com atuação no exterior.

A partir de 25 de maio, todos os negócios que manipulam dados de cidadãos da Comunidade Europeia terão de cumprir requisitos legais que incluem a nomeação de representantes para responder pela gestão das informações e a comunicação de qualquer vazamento às autoridades em até 72 horas.

As regras, previstas pela nova Regulação de Proteção de Dados Gerais (GDPR), terão de respeitar a vontade dos cidadãos que não querem fornecer dados para determinadas situações, como campanhas de marketing, ou que pedem para que suas informações sejam apagadas —o que implica em investimentos em tecnologia, processos e treinamento de equipes.

“A lei também se aplica a quem tem clientes residentes na Europa, quem mantém subsidiárias lá e quem simplesmente faz negócios com fornecedores europeus e precisa processar seus dados”, diz Pedro Ramos, advogado especializado em internet pela Universidade do Sul da Califórnia, nos Estados Unidos.

Ninguém poderá alegar que foi pego de surpresa. Promulgado em abril de 2016, o GDPR estabeleceu prazo de dois anos para que as empresas se adaptassem.

A Maplink, desenvolvedora de software para logística fundada em São Paulo (SP) em 2000, contratou duas empresas para fazer uma análise completa dos seus eventuais pontos fracos.
 

Com escritórios em seis países e 130 funcionários ao todo, a empresa tem um braço na França desde 2016. 

“Na Europa, o GDPR tem sido bastante debatido, pois falta pouco tempo para entrar em vigor. E as penalidades são severas, chegam a 4% do faturamento global da companhia”, diz Frederico Hohagen, 40, fundador e presidente da Maplink.

Ele receberá os primeiros relatórios neste mês, além do valor que terá que investir para se adequar à norma.

A empresa lida exclusivamente com outras empresas, o chamado business-to-business, e não precisa coletar dados de pessoas físicas. 

Está fazendo alterações em seu sistema a pedido dos clientes. “Uma rede holandesa de supermercados, com 3.500 lojas na Europa, já nos solicitou que seja removido de nosso software o campo onde eles inserem os dados dos consumidores. Esse tipo de coisa deve acontecer com frequência cada vez maior daqui para frente.”

EFEITO DOMINÓ

Por enquanto, só empresas que fazem negócio com a Europa precisam se preocupar com o GDPR. Mas os especialistas alertam que não vai demorar até que um regulamento similar entre em vigor também no Brasil.

Segundo Ramos, 120 países já dispõem de leis de proteção de dados. “O tema está em discussão há oito anos e temos vários projetos de lei parados na Câmara dos Deputados. Casos como o recente vazamento de dados do ecommerce Netshoes podem acelerar a votação”, afirma.

Quem não quiser esperar até que uma nova lei entre em vigor já pode se antecipar. “Qualquer empresa que colete dados do consumidor, como RG, foto e CPF, seja no computador ou na ficha escrita a lápis, logo terá que se preocupar com isso”, alerta Leonardo Militelli, especialista em segurança digital à frente da Ibliss Digital Security, fundada em 2009. 

O investimento é o maior desafio para empresas de pequeno porte –as consultorias cobram entre R$ 200 e R$ 350 por hora.

Um simples diagnóstico de riscos não sai por menos de R$ 7.000, mas só aponta os pontos vulneráveis e um plano de ação para corrigi-los.

Ainda assim, Militelli afirma que a prática vai entrar na rotina de todo negócio, do pequeno ecommerce à administradora de condomínios que cadastra visitantes na portaria dos prédios comerciais.

“Há 20 anos, só grandes bancos que ingressavam no internet banking contratavam esse tipo de serviço. Hoje, a segurança deve se tornar uma área prioritária dentro de qualquer empresa”, diz.

Para startups que ainda estão em gestação, Militelli aconselha: começar em conformidade com as regulamentações mais modernas do mundo sai mais barato e aumenta as chances de conquistar mercado.

A ABRANGÊNCIA DA PROTEÇÃO DE INFORMAÇÕES
Quais mudanças podem afetar empresas de todo o mundo

A GDPR (General Data Protection Regulation, regulamento geral de proteção de dados) vai exigir das empresas garantias de que seus bancos de dados pessoais não são vulneráveis a vazamentos, além de estabelecer normas de contenção para quando eles acontecerem

A penalidade varia conforme o caso. Vai de 2% do faturamento anual, para empresas que forem flagradas sem seus registros em ordem, a 4% (com teto de 20 milhões de euros), no caso de vazamento

O registro de dados de menores de 16 anos só será possível com consentimento dos pais ou responsáveis

São considerados dados pessoais todas as informações que permitem identificar alguém: nome, foto, endereço de email, dados bancários e publicações em redes sociais

120 
países já têm leis de proteção de dados semelhantes às adotadas agora pela Comunidade Europeia

8 anos
atrás foram encaminhados os primeiros projetos do gênero no Brasil, que estão parados na Câmara dos Deputados

Fonte: site oficial da GDPR