Confrontação com a realidade: quem controla seus dados?
Novas regras de proteção de dados entrarão em vigor no Reino Unido em maio.
O Regulamento Geral de Proteção de Dados da União Européia (GDPR, na sigla em inglês) vai mudar a forma como empresas e indivíduos coletam, armazenam e compartilham dados.
Com a maior mudança na privacidade de dados no Reino Unido desde 1998, o Reality Check explica o que você precisa saber.
1. O que é o GDPR?
O GDPR dará às pessoas mais controle sobre como as organizações usam suas informações pessoais ou dados.
É uma parte da legislação da UE que foi aprovada em 2016. O objetivo é criar leis de privacidade de dados idênticas em todos os países da UE.
Sob as novas regras, as empresas que dependem do consentimento de um indivíduo para coletar seus dados enfrentarão restrições mais severas.
O GDPR diz que os clientes precisam ativar ativamente. As empresas precisarão usar uma linguagem que seja fácil de entender e dizer às pessoas que podem retirar o consentimento a qualquer momento.
As empresas também devem relatar quaisquer violações de dados às autoridades dentro de 72 horas.
Os indivíduos poderão solicitar informações sobre como uma empresa pode estar usando seus dados, quais dados são coletados e por quê.
2. Por que isso importa?
No Reino Unido, o GDPR substituirá a Lei de Proteção de Dados de 1998.
Hoje, criamos uma enorme quantidade de dados - de relógios que monitoram calorias e sono, até aplicativos para gerenciar finanças ou enviar mensagens para amigos.
Assim, o GDPR foi criado para atualizar as regras de proteção de dados com a quantidade de dados que produzimos e como as empresas estão usando.
Com recentes violações de dados em empresas como Facebook, Uber e MyFitnessPal, o regulamento também dará às empresas diretrizes mais rígidas sobre como eles podem usar os dados.
3. Quando está chegando?
A nova lei será aplicada em todos os estados da UE a partir de 25 de maio de 2018.
4. A quem se aplica?
O GDPR será aplicado a todos os "controladores" ou "processadores" de dados.
Os controladores orientam como e por que os dados pessoais são processados (como uma empresa), enquanto um processador executa a ação de coletar os dados (como um aprendiz de TI).
O regulamento também se aplicará a indivíduos. Por exemplo, um cabeleireiro que coleta endereços de e-mail de clientes para enviar um boletim informativo precisa obedecer às novas regras.
O GDPR será aplicado a qualquer pessoa que ofereça serviços na UE, independentemente de onde esteja sediada.
5. O que significa dados pessoais?
O GDPR aplica-se a todos os dados pessoais. Isso significa qualquer informação que possa identificar uma pessoa viva, direta ou indiretamente.
Isso pode incluir seu nome, local ou seu número de telefone.
Algumas informações pessoais são classificadas como sensíveis pelo GDPR e precisam de mais proteção. Isso pode incluir origem étnica, orientação sexual, crença religiosa, associação a sindicatos e muito mais.
6. Posso acessar dados sobre mim mesmo?
Qualquer um pode pedir a uma empresa para confirmar quais dados pessoais eles têm sobre eles.
Essa pessoa tem o direito de receber uma cópia das informações - assim como a razão pela qual a empresa coleta seus dados pessoais e quem consegue vê-los.
A empresa deve fornecê-lo gratuitamente e de forma acessível, como por e-mail, no prazo de 30 dias após a solicitação, no âmbito do GDPR.
Os indivíduos também podem solicitar que os dados sejam corrigidos, se não forem precisos.
7. Qual é o direito de ser esquecido?
As pessoas também podem solicitar que seus dados pessoais sejam excluídos a qualquer momento - se não forem mais relevantes. Isso é conhecido como o direito de ser esquecido.
Este direito também se aplica online. Alguém poderia perguntar a uma empresa que disponibilizou seus dados pessoais on-line para excluí-la, por exemplo.
Essas empresas são obrigadas a informar os outros que o proprietário dos dados pessoais solicitou o direito de ser esquecido. Os dados, links para ele e cópias dele, devem ser excluídos.
8. Como o GDPR afetará meu negócio?
Empresas com mais de 250 funcionários devem documentar todos os dados que estão processando, incluindo por que, como os clientes optaram, quem pode ver os dados e uma descrição de suas medidas de segurança.
Empresas menores podem precisar apenas documentar os dados que processam regularmente, ou os dados que processam são sensíveis.
Alguns grupos empresariais levantaram preocupações sobre o impacto que as novas regras poderiam ter, dizendo que muitas empresas não estão cientes das mudanças, e que registrar essas informações adicionais será um fardo.
O Information Commissioner's Office (ICO) é responsável por fazer cumprir o GDPR no Reino Unido. Publicou um guia de 12 etapas sobre como as empresas podem se preparar.
9. Posso ser multado por não cumprir?
Sim - o GDPR permite que a OIC emita multas para quem não cumprir.
A OIC pode emitir multas de até cerca de 17,5 milhões de libras, ou 4% do faturamento global de uma empresa, o que for maior.
Multas podem ser emitidas por mau uso de dados, violações de dados ou falha em processar os dados de um indivíduo corretamente.
10. Será que ainda será aplicado após o Reino Unido deixar a UE?
As regras do GDPR continuarão a ser aplicadas depois que o Reino Unido deixar a UE.
A Lei de Proteção de Dados do governo , significa que as regras do GDPR serão essencialmente reproduzidas na lei do Reino Unido.
O projeto de lei também acrescenta a possibilidade de as pessoas solicitarem que as empresas de mídia social excluam as postagens feitas quando eram crianças e expande a definição de dados pessoais para incluir endereços IP, cookies da Internet e até mesmo DNA.