O escândalo que envolveu a utilização de 87 milhões de ficheiros de utilizadores do Facebook pela empresa Cambridge Analytica veio alertar para a importância e o valor que têm os dados pessoais de cada um de nós. Estima-se que, só na União Europeia, o processamento de bases de dados gera receitas anuais de 60 mil milhões de euros, quase um terço de toda a riqueza produzida em Portugal. Tudo o que fazemos está registado e pode ser usado por terceiros que ganham fortunas com este negócio. Para nos venderem produtos, serviços e, até, para influenciar resultados de eleições. As leis que nos protegem nesta matéria são antigas e as empresas são cada vez mais imaginativas para dar a volta à legislação. Mas continuará a ser assim? A partir de 25 de maio, entra em vigor o Regulamento Geral de Proteção de Dados (RGPD), uma nova lei da União Europeia que dá mais direitos aos utilizadores e aplica regras apertadas para todas as empresas ou outras organizações que lidem com bases de dados pessoais. Para ajudar a clarificar as alterações na lei, a VISÃO preparou um guia de dez pontos essenciais que irão mudar na lei da proteção de dados:
1 – A nova lei
O Regulamento Geral de Proteção de Dados é uma moldura legal que determinará as regras sobre proteção de dados em todos os 28 Estados da União Europeia, substituindo a atual lei, em vigor desde 1995. Está desenhado para harmonizar a legislação europeia, para simplificar processos e para conferir mais privacidade e mais direitos aos cidadãos.
Depois de quatro anos de discussões e de mais de quatro mil alterações, o documento final foi publicado em 2016, com um período de adaptação de dois anos, entrando realmente em vigor no próximo dia 25 de maio. O RGPD traz inúmeras mudanças quer para as pessoas quer para as empresas ou outras entidades que lidam com informações pessoais.
2 – Dados pessoais
Até à data, a informação que era considerada “dados pessoais” consistia no nome, na morada completa, nos números de identificação (cartão de cidadão, NIF, etc.), conta bancária, telefone, entre outros. Existiam depois outros dados, que não eram vistos como relevantes – como a data de nascimento, ou o género –, que eram pedidos pela maioria dos sites onde tínhamos de colocar a nossa informação para poder entrar. No entanto, um estudo realizado nos EUA concluiu que apenas com a conjugação da data de nascimento, do código postal e do sexo, era possível identificar 87% da população daquele país.
Para evitar situações semelhantes, o novo regulamento alargou substancialmente o conceito de dados pessoais, passando a abranger informação de localização, endereço de email, e outros identificadores de um ou mais elementos específicos da identidade física, fisiológica, psíquica, económica, cultural ou social da pessoa.
3 – Direitos individuais
Para os utilizadores, o RGPD cria novos direitos e melhora os já existentes. Por exemplo, o direito de modificar o consentimento anterior e o direito de ser esquecido. Sempre que colocamos os nossos dados num determinado serviço, este pede-nos que aceitemos determinadas regras. Esse consentimento ficava para sempre. A nova lei permite que, sempre que o queira, o utilizador possa alterar esse consentimento.
Atualmente, os sites ou serviços fazem um rol ilegível de regras e, no fim, surge uma mensagem “li e concordo com as condições”. Regra geral, mais de 90% das pessoas não lê as mensagens que se estendem por infindáveis páginas. A nova lei quer acabar com isso e obriga as empresas a adotar uma linguagem mais “simples e objetiva”.
O artigo 17 do regulamento garante o direito ao consumidor de solicitar, sempre que o queira, que os seus registos na base de dados sejam apagados. Todos nós já passámos por casos em que apagámos uma determinada conta de um site ou rede social, mas os dados permanecem nos servidores de quem fornece o serviço. O novo regulamento dá ao utilizador o direito a “ser esquecido”. Mesmo que a informação se torne pública, como no caso das redes sociais, a empresa deve notificar todos os sites que tenham cópias, ou links para essa informação, para que a apaguem. Algo que parecia impossível até aos dias de hoje.
4 – Violação de dados
Em caso de violação de dados pessoais – entende-se por violação uma falha na segurança que leva à destruição, perda, alteração, divulgação não autorizada ou acesso a dados pessoais – a empresa que tem esses dados em seu poder é obrigada a reportar o incidente à Comissão Nacional para a Proteção de Dados (CNPD) num espaço de 72 horas.
Nesse relatório, a empresa terá de explicar qual o tipo de violação, a quantidade de dados que foram expostos, as medidas que irá tomar para que não haja outra violação, as soluções para mitigar os possíveis efeitos adversos e as consequências que essa violação pode trazer para os respetivos donos dos dados (as pessoas).
Se essa violação trouxer riscos elevados para a liberdade ou para os direitos dos consumidores, a empresa terá ainda de notificar todos os indivíduos que constavam na base de dados que foi alvo desses incidentes. O novo regulamento dá poderes ao regulador para que este passe multas cada vez mais pesadas a todos aqueles que não façam estas notificações.
5 – Multas
As penalizações para quem não estiver em conformidade com a nova lei de proteção de dados irão ser muito mais severas. Há vários artigos da lei que regulamentam as penalizações aos infratores. As multas poderão atingir os dez milhões de euros ou 2% da faturação registada pela empresa no ano anterior a ser detetada a infração. Isto para os casos de falhas no cumprimento de exigências técnicas ou organizacionais, como avaliações de impacto de roubo de dados, falha na comunicação de violações das suas bases de dados, ou falta de certificações.
Para os casos mais graves de violação dos princípios básicos relacionados com a segurança dos dados, o não respeito pelo consentimento dado pelo utilizador, a transferência de dados pessoais para outros países ou organizações que não assegurem um determinado nível de proteção de dados, o novo regulamento prevê multas que poderão atingir os 20 milhões de euros ou 4% do volume de negócios da empresa. Será aplicado o maior valor entre os dois parâmetros.
Trata-se de uma evolução brutal no custo das multas em relação ao que estava em vigor. Por exemplo: em 2016 a empresa inglesa de telecomunicações Talk Talk teve uma multa recorde de 460 mil euros por, devido a falhas de segurança, ter permitido que lhe fossem roubados os dados pessoais, incluindo números de contas bancárias, de 157 mil clientes. Se este caso se desse após esta nova lei, a multa teria ascendido aos 80 milhões de euros.
6 – Gestor de dados
O RGPD obriga a todas as entidades que envolvam “o uso de processamento de dados pessoais em larga escala, monitorização de bases de dados ou determinadas categorias de dados pessoais” a designar um encarregado de proteção de dados. Será a pessoa responsável pela verificação de todos os procedimentos da empresa de acordo com as normas da RGPD. Terá ainda a responsabilidade de avaliar o risco de impacto de medidas tomadas pelas empresas sempre que as decisões envolvam o processamento de dados. Será também o interlocutor entre a empresa e o regulador, nesta matéria.
7 – Transferências
Serão impostas restrições à transferência de dados pessoais para fora da União Europeia. As empresas terão de verificar as suas operações para identificar quais as circunstâncias em que enviam dados dos clientes para fora do espaço comunitário e assegurar-se de que essas transferências estão de acordo com as normas estabelecidas no RGPD.
8 – Privacidade
A transparência é um dos pontos-chave deste regulamento e as empresas vão ter de explicar melhor aos seus clientes ou utilizadores dos seus serviços qual a informação que estão a juntar e a processar. Isto irá obrigar muitas entidades que recolhem dados, quer eletronicamente quer por telefone, a rever as suas práticas e a reformular impressos, políticas de privacidade, bem como todos os textos de informação que apresentam aos seus clientes ou utilizadores. A partir de 25 de maio, o cliente terá o direito de saber qual a base legal para o tratamento dos dados e o prazo durante o qual estes irão ser mantidos.
9 – Os gigantes
A Google e o Facebook estão a preparar-se para esta nova lei dando aos seus utilizadores mais acesso à informação de que dispõem sobre eles. A rede social de Mark Zuckerberg revelou em janeiro os princípios de privacidade que irão estabelecer a forma como os utilizadores podem controlar a sua privacidade no Facebook. Segundo a Reuters, Zuckerberg já admitiu que não estenderá esta nova política aos países que não pertencem à União Europeia.
A Google, por sua vez, solicitou aos seus utilizadores para reverem e atualizarem os seus dados. Atualizou a sua política em relação aos anúncios e alertou para a necessidade de as pessoas alterarem e reverem os seus padrões de privacidade. O motor de busca criou ainda uma página específica para informar sobre as alterações que irão ser impostas pelo RGPD.
10 – Mudança radical
A nova lei irá obrigar muitos negócios a rever todas as práticas de processamento de bases de dados. Além de terem de contratar um encarregado de proteção de dados (ou designar um responsável interno), terão de criar um plano de proteção das suas bases de dados, implementar medidas de segurança mais apertadas e fazer avaliações mais regulares dessas medidas. Os especialistas alertam para o facto de muitas empresas terem mecanismos automáticos de processamento de dados que possam ser esquecidos nesta transformação.
(Artigo publicado na VISÃO 1310 de 12 de abril)