Quando a Europa promulgou a lei de privacidade online mais dura do mundo, há dois anos, ela foi anunciada como um modelo para reprimir as práticas invasivas e sedentas por dados das maiores empresas de tecnologia do mundo. Agora, a lei, chamada de General Data Protection Regulation (GDPR, na sigla em inglês), está lutando para cumprir sua promessa. As leis da Europa foram vítimas de falta de fiscalização, financiamento insuficiente, recursos limitados de pessoal e táticas de paralisação das empresas de tecnologia, de acordo com dados do orçamento e de pessoal e entrevistas com autoridades do governo. Até alguns dos maiores apoiadores da lei estão frustrados com a forma como ela foi posta em prática.
Além disso, a resposta ao coronavírus está levantando novas questões sobre o papel das garantias de privacidade, pois as ferramentas digitais para rastrear informações de saúde e localização, antes vistas com cautela pelas autoridades europeias, agora são partes cruciais das estratégias de contenção.
A GDPR criou novos limites sobre como as empresas podem coletar e compartilhar dados sem o consentimento do usuário. Ela concedeu aos governos ampla autoridade para impor multas de até 4% da receita global de uma empresa ou forçar mudanças em suas práticas de coleta de dados. A política serviu de modelo para novas regras de privacidade no Brasil, no Japão, na Índia e em outros lugares.
Multas ainda são reduzidas
Mas desde que a lei foi promulgada, em maio de 2018, o Google foi a única empresa gigante de tecnologia a ser penalizada – uma multa de 50 milhões de euros, o equivalente a cerca de US$ 54 milhões hoje, ou cerca de um décimo do que o Google gera em vendas em um único dia. Nenhuma multa ou penalidade importante foi anunciada contra o Facebook, a Amazon ou o Twitter.
A passividade está criando tensão dentro dos governos europeus, já que alguns líderes pedem aplicação mais rápida e mudanças mais amplas. Grupos de privacidade e empresas menores de tecnologia reclamam que empresas como Facebook e Google estão evitando uma supervisão rigorosa. Ao mesmo tempo, a experiência do público com a GDPR tem sido um número frustrante de janelas pop-up de consentimento para clicar ao visitar um site.
Os desafios da Europa correm o risco de comprometer os esforços em outras partes do mundo para criar regras de privacidade mais rígidas, disse Johnny Ryan, um dos principais defensores da regulamentação de privacidade. Ele disse que as autoridades dos Estado Unidos disseram a ele que os problemas da Europa em colocar a GDPR em vigor eram um motivo para não criar padrões federais nos Estados Unidos.
"Se você não tem aplicação e investimento fortes e robustos, essa lei é uma fantasia", disse Ryan, diretor de políticas da Brave, que cria um navegador de internet com proteções de privacidade para limitar o rastreamento de dados e publicidade. "Não conseguimos perceber o potencial da GDPR até agora."
Os apoiadores reconhecem que a lei tem sofrido dificuldades crescentes e que os casos demoram mais tempo à medida que novos procedimentos são implementados. Mas eles dizem que é muito cedo para tirar conclusões abrangentes. A lei aumentou a conscientização sobre a privacidade e forçou muitas empresas, incluindo o Facebook e o Google, a adotar novas políticas para cumprir. Os Estados da Califórnia e Nova York, nos EUA, adotaram leis de privacidade semelhantes.
O maior teste da GDPR até agora ocorrerá nos próximos meses, argumentam os defensores, quando se espera um lote de decisões envolvendo grandes empresas de tecnologia. Espera-se que o Twitter seja um dos primeiros a ser penalizado, em um caso irlandês relacionado a violações de dados. O WhatsApp, o serviço de mensagens de propriedade do Facebook, enfrenta possíveis penalidades pelo compartilhamento de dados com outros serviços do Facebook.
Para especialista, lei é projeto de longo prazo
"A GDPR é um projeto de longo prazo", disse Eduardo Ustaran, que lidera a prática de privacidade no Hogan Lovells International, um escritório de advocacia de Londres que representa muitas grandes empresas. "Os últimos dois anos mal nos dão uma ideia se esse projeto será bem-sucedido."
O Facebook disse em comunicado que estava comprometido com os princípios da GDPR, que resultaram em tornar "nossas políticas mais claras, nossas configurações de privacidade mais fáceis de encontrar e criaram melhores ferramentas para as pessoas acessarem, baixarem e excluírem suas informações".
A Amazon disse que, como resultado da lei, havia passado a usar uma nova página de ajuda sobre privacidade, na qual os clientes podem ver mais informações sobre os dados coletados pela empresa. Google e Twitter se recusaram a fazer comentários.
Muitos críticos disseram que, mesmo que as empresas fossem penalizadas, as ações estão demorando muito, deixando os reguladores em risco de lutar por batalhas passadas. Os casos podem se prolongar por vários anos, como resultado de recursos judiciais. E com recursos financeiros limitados, argumentam os críticos, as autoridades tendem a ser excessivamente cautelosas e evitar casos mais complexos.
Além dos desafios, há a pandemia de coronavírus, que alterou o debate sobre como criar aplicativos para celulares e outras tecnologias. Técnicas que antes eram vistas como invasivas na Europa, como a coleta de dados de localização e saúde, fazem parte dos planos do governo para conter o vírus.
A GDPR fornece “bases legais para permitir que os empregadores e as autoridades competentes de saúde pública processem dados pessoais no contexto de epidemias, sem a necessidade de obter o consentimento” de indivíduos, segundo uma declaração recente do Comitê Europeu para Proteção de Dados, que ajuda a coordenar a aplicação da lei. A Comissão Europeia adiou até junho o lançamento de uma revisão completa da GDPR como resultado do vírus. / TRADUÇÃO DE ROMINA CÁCIA
