Em 25 de maio de 2018, o RGPD entrou em vigor, estabelecendo o primeiro piso sólido para uma proteção abrangente proteção de privacidade na UE.
O novo regulamento criou um conjunto único de regras de proteção de dados para garantir a conformidade consistente em toda a Europa. Qualquer pessoa que faça negócios na Europa está sujeita à jurisdição do GDPR, bem como qualquer pessoa que processe intencionalmente dados de cidadãos europeus.
Vantagens e Desafios
Nos últimos dois anos, o GDPR forçou organizações dentro (e fora) da Europa a repensar completamente a forma como lidavam com dados. Tanto empresas preocupadas com a privacidade quanto aquelas que não tinham a cabeça enterrada na areia precisaram acordar e prestar atenção em como coletavam, compartilhavam, usavam e descartavam dados valiosos.
A nova atenção dada à privacidade afetou orçamentos, funções e comunicações. Em resposta ao RGPD, muitas organizações contrataram Diretores de Privacidade e Responsáveis pela Proteção de Dados pela primeira vez, para atender aos padrões de relatórios, garantir a conformidade regulatória e operacionalizar o tratamento de dados. As empresas que coletavam ou controlavam dados ("controladores") precisavam manter conversas ativas e elaborar contratos com as empresas que processavam seus dados ("processadores").
Os novos regulamentos também aumentaram a conscientização pública sobre os direitos de privacidade de dados dos indivíduos, incentivando os titulares dos dados a responsabilizar as organizações pela coleta e gerenciamento adequados de suas informações.
O problema é que o ônus recai sobre o “titular dos dados” ou usuário final para assumir o controle de seus dados em suas próprias mãos. O GDPR depende fortemente de consentimento. E embora o GDPR permita o direito de retirar o consentimento, isso pode não ser suficiente para dar aos titulares dos dados — as pessoas que mais precisam de proteção — qualquer controle real e significativo sobre o processamento de seus dados.
O facto de o RGPD exigir autogestão de privacidade é um tema muito debatido. Como afirma o professor Daniel Solove, "o consentimento legitima praticamente qualquer forma de coleta, uso ou divulgação de dados pessoais". Portanto, se o consentimento não for bem compreendido e esses direitos adicionais não forem devidamente tratados, os titulares dos dados podem não estar em uma situação muito melhor do que estavam em um regime pré-GDPR.
Uma abordagem entre partes interessadas
A conformidade bem-sucedida com o GDPR exige uma abordagem entre as partes interessadas que envolva comunicação e cooperação entre as equipes de privacidade de dados, segurança e governança, além das áreas jurídica, de TI, de marketing e qualquer divisão que tenha participação no processamento de dados pessoais.
Muitas empresas criaram programas totalmente operacionalizados para garantir uma única verdade por trás de seus dados para que seja preciso, de alta qualidade, seguro e tenha procedimentos acionáveis em vigor no caso de um violação de dados.
Uma medida fundamental de sucesso é a capacidade de responder em tempo hábil às solicitações dos titulares dos dados e evitar despertar o interesse das autoridades de supervisão. Para isso, as organizações precisam de uma visão clara dos dados que processam, de como eles são mapeados, de uma maneira de atender a essas solicitações e de alguém responsável pela tomada de decisões relacionadas aos dados.
Embora reclamações e inquéritos sejam inevitáveis, as organizações que puderem demonstrar como cumpriram a intenção da lei estarão em melhor posição tanto com as autoridades responsáveis pela aplicação da lei quanto com a percepção do público.
Uma influência de longo alcance
O GDPR se tornou um pioneiro, liderando leis de privacidade e proteção de dados além da UE.
O Brasil, por exemplo, copiou uma página do livro do RGPD ao formular sua própria regulamentação abrangente de proteção de dados (LGPD) e até mesmo alavancando disposições semelhantes — como a terminologia de “dados pessoais”, requisitos de extraterritorialidade e vários direitos que os titulares dos dados podem exercer.
Lei de Privacidade do Consumidor da Califórnia (CCPA) pegou um abordagem ligeiramente diferente, mas também oferece “direitos do consumidor” aos cidadãos da Califórnia. Se a nova iniciativa de votação para a Lei de Direitos de Privacidade da Califórnia, ou CPRA, entrar em vigor, a lei da Califórnia excederá o GDPR em termos de requisitos, obrigações e penalidades por não conformidade para entidades que processam dados de consumidores da Califórnia.
Olhando para o futuro, a próxima fase da regulamentação de privacidade da UE também está em andamento. Embora tenha havido um atraso devido à pandemia de COVID-19, a Comissão Europeia (CE) está pronta para realizar sua revisão e relatar as questões relacionadas à implementação do GDPR. Especialistas já começaram a apontar uma série de falhas de redação para a CE a ter em conta.
No cenário americano, há uma série de projetos de lei estaduais sobre privacidade e discussões bem-intencionadas sobre a legislação federal de privacidade que estão ganhando força. Em escala global, provavelmente veremos cada vez mais países se manifestando em relação à proteção de dados. Índia, China, Austrália, Japão, África do Sul e Turquia são alguns dos países que já possuem leis em vigor — ou prestes a entrar em vigor.
E embora ninguém tenha uma bola de cristal, o ideal seria que houvesse um esforço multissetorial para criar uma regulamentação de privacidade abrangente em todo o mundo para processar dados de forma mais harmonizada, consistente e protegida.