O que é a lei de privacidade do GDPR e por que você deve se importar?

O Regulamento Geral de Proteção de Dados (GDPR) é uma nova lei da União Europeia que entra em vigor hoje e é o motivo pelo qual você tem recebido e-mails e notificações sem parar sobre atualizações da política de privacidade. Então, como isso afeta você? Aqui está o que você precisa saber.

A nova lei do GDPR entra em vigor hoje, 25 de maio de 2018, e cobre a proteção de dados e privacidade para cidadãos da UE, mas também se aplica a muitos outros países de várias maneiras, e já que todos os gigantes da tecnologia são enormes corporações multinacionais , afeta muitas das coisas que você usa diariamente.

O problema que o GDPR está tentando resolver: as empresas estão coletando e abusando de suas informações pessoais

Desde o surgimento da Internet, as empresas têm coletado o máximo de dados possível sobre qualquer pessoa possível. É simples coletar essas informações, então não há razão para eles não acumulá-las.

O problema é que, nos últimos anos, muitas empresas foram flagradas deixando de proteger – ou abusando abertamente – de suas informações pessoais. O escândalo Cambridge Analytica , em que um pesquisador usou um questionário do Facebook para coletar grandes quantidades de dados sobre milhões de usuários do Facebook e depois os vendeu para uma empresa de consultoria, é apenas o exemplo mais recente. O hack da Equifax no ano passado foi particularmente ruim porque as informações vazadas poderiam ser usadas para abrir cartões de crédito . E esses são apenas os grandes escândalos. Muitas empresas têm usado indevidamente seus dados de maneiras menores, como vendê-los para empresas de publicidade terceirizadas.

A UE tem uma visão obscura da situação e está usando o GDPR para tentar retificá-la. De acordo com as novas leis, as empresas que não protegem adequadamente os dados do consumidor ou que os usam de forma inadequada enfrentam multas pesadas.

O que são considerados dados pessoais?

O GDPR protege “dados pessoais”, que aqui significa “qualquer informação relacionada a uma pessoa física identificada ou identificável” – e essa é uma definição bastante ampla. Na realidade, os dados pessoais geralmente incluem coisas como:

• Dados biográficos como seu nome, endereço, número de telefone, número do seguro social e assim por diante.
• Dados relacionados à sua aparência física e comportamento, como cor do cabelo, raça e altura.
• Informações sobre sua educação e histórico de trabalho, como salário, diploma universitário, GPA, CPF / CNPJ e assim por diante.
• Quaisquer dados médicos ou genéticos.
• Coisas como seu histórico de chamadas, mensagens privadas ou dados de geolocalização.

Esta está longe de ser uma lista completa. A chave é que todos os dados que o tornam identificáveis ​​contam. Em certas circunstâncias, a cor do seu cabelo pode ser suficiente. Em outros, mesmo seu nome completo – se for algo comum como Robert Smith – pode não torná-lo identificável.

O que o GDPR faz?

O GDPR concede aos residentes da UE que estão tendo seus dados pessoais coletados – chamados de “titulares de dados” na lei – oito direitos. Eles são:

• O direito de ser informado: se uma empresa está coletando dados, ela precisa dizer aos titulares dos dados o que está sendo coletado, por que está sendo coletado, para que está sendo usado, por quanto tempo será mantido e se será compartilhado com terceiros. Essas informações não podem ser enterradas profundamente em termos de serviço que ninguém lê; deve ser conciso e em linguagem simples.
• Direito de acesso: Se o solicitar, qualquer organização que disponha de dados pessoais relativos a uma pessoa em causa deve fornecê-los no prazo de um mês.
• O direito à retificação: Se um titular dos dados descobrir que uma empresa possui dados incorretos, ele pode solicitar a atualização. As empresas têm um mês para cumprir.
• O direito de apagamento: O titular dos dados pode solicitar que uma empresa apague todos os dados mantidos sobre ele em certas circunstâncias. Por exemplo, se os dados não são mais necessários ou eles estão retirando seu consentimento para que sejam usados.
• O direito de restringir o processamento: se uma organização não puder excluir os dados dos titulares dos dados – por exemplo, porque eles precisam deles para um caso legal – então eles podem solicitar que a empresa limite como eles são usados.
• Direito à portabilidade dos dados: os titulares dos dados têm o direito de retirar os seus dados pessoais de um serviço e utilizá-los noutro.
• O direito de se opor: Se os dados forem coletados sem consentimento, mas para interesses comerciais legítimos, para o bem público ou por uma autoridade oficial, o titular dos dados pode se opor. A organização deve então parar de processar os dados até que possa provar que tem motivos legítimos para fazer isso.
• Direitos relacionados à tomada de decisão automatizada, incluindo criação de perfil: o GDPR estabelece salvaguardas para que os indivíduos possam contestar ou obter uma explicação sobre decisões automatizadas que afetam a eles e a seus dados.

Outra grande parte dos regulamentos é que as empresas devem ter um motivo legal para coletar ou processar quaisquer dados. Um dos motivos legais é que eles obtiveram consentimento para usá-lo para uma finalidade específica, mas há outros que precisam dele para cumprir obrigações legais ou que a coleta é do interesse público.

Como você pode ver, os direitos concedidos aos residentes da UE sob a lei são bastante amplos e estão forçando as empresas que coletam dados deles a realmente pensar sobre o que estão coletando e por quê. Os velhos tempos de apenas coletar tudo o que podem e esperar encontrar um uso para isso mais tarde acabaram – pelo menos na Europa. É por isso que quase todos os serviços aos quais você forneceu seu endereço de e-mail estão entrando em contato com você.

O que deixou muitas empresas preocupadas é que as sanções por não cumprir o GDPR são muito severas. Uma organização pode ser multada em até € 20 milhões ou 4% de seu faturamento anual mundial (o que for maior) de acordo com as leis. Para empresas como a Amazon ou o Google, isso equivale a bilhões de dólares em multas potenciais, caso manuseiem incorretamente os dados de residentes da UE.

O que o GDPR significa para os americanos?

Ao longo deste artigo, focamos nos direitos que o GDPR concede aos residentes da UE pelo simples motivo de ser uma lei da UE. Na verdade, não se aplica a cidadãos americanos, a menos que também sejam residentes na UE. O motivo pelo qual você está recebendo todos os e-mails é que a maioria das empresas não tem como saber quem é residente na UE e quem não é.

Isso, no entanto, não significa que o GDPR não afetará você. Isso fez com que muitas empresas reavaliassem como estão lidando com os dados do consumidor e algumas delas começaram a falar em estender os direitos GDPR para residentes de fora da UE. E também é mais simples para as empresas aplicar um único conjunto de regras para todos os clientes em muitos casos.

Por exemplo, a Apple lançou um novo portal de privacidade onde as pessoas podem baixar todos os seus dados pessoais ou excluir suas contas, em outras palavras, fornecendo às pessoas os direitos de acesso e exclusão. Por enquanto, apenas contas baseadas na UE podem usá-lo, mas a Apple planeja implementá-lo em todo o mundo nos próximos meses . Da mesma forma, o Facebook está murmurando sobre dar as mesmas proteções GDPR a alguns usuários fora da UE .