Nas últimas semanas, redes sociais e os mais diversos sites de internet têm assediado usuários com novos termos e condições de uso. A onda de pedidos de aprovação, longe de ser uma coincidência, é causada pela entrada em vigor, na próxima quinta-feira, do Regulamento Geral sobre a Proteção de Dados Pessoais (GDPR, na sigla em inglês), o novo marco regulatório da União Europeia para a privacidade na internet. Um dos mais avançados do gênero no mundo, o texto tenta equilibrar a relação entre empresas, que captam e exploram dados pessoais, e usuários, cada vez mais vulneráveis à invasão de privacidade.
Na última vez que executivos e especialistas de Bruxelas se reuniram para elaborar uma diretriz local para o tema, Google e Facebook ainda nem existiam. O documento atual, em vigor desde 1995, criou o primeiro quadro legal para orientar os países da UE e tinha como mote a liberdade de circulação de dados. Sua substituta, a GDPR, consagra novos direitos aos usuários e impõe novas obrigações a companhias.
Esse pacote vem exigindo rápidas mudanças em um setor até aqui habituado a uma regulamentação frouxa. Em resposta aos anos de exploração quase ilimitada dos dados, a norma foi elaborada para proteger cidadãos europeus, mas acabou tendo implicações em todo o mundo, inclusive sobre empresas brasileiras que atuam na região.
Na prática, seu objetivo é equilibrar a inovação, o comércio e a proteção da vida privada em um momento em que os dados são cada vez mais considerados “o petróleo do século 21”, como definiu a revista britânica The Economist. O texto vai regular desde a publicidade direcionada até os assistentes pessoais que estão chegando, passando, é claro, por redes sociais e serviços de geolocalização.
Não à toa, gigantes como Google, Apple, Facebook, Amazon e Microsoft – que respondem sozinhas por mais de 50% do mercado publicitário online mundial (incluindo a China), segundo o Observatório da Publicidade Online – são as mais visadas, e estarão sujeitas a multas bilionárias. A norma estabelece penas de € 20 milhões ou 4% da receita global da empresa, o que for maior.
Essas empresas também poderão ser alvo de ações coletivas iniciadas por associações, outra novidade da GDPR. Em Paris, o grupo ativista Quadrature du Net já antecipou que lançará uma série de ações. O plano não é pedir dinheiro. “Se reunirmos vários milhares de cidadãos em uma queixa, e precisarmos avaliar o prejuízo de cada um, corremos o risco de transformar a ação em monetização”, diz o jurista da associação, Arthur Messaud.
Para evitar processos em massa, as companhias terão de criar procedimentos para gerenciar o fluxo de dados de empregados, clientes e fornecedores, obedecendo limites para sua exploração, avaliando a sensibilidade das informações e prevenindo vazamentos. Será preciso considerar até como permitir o acesso, alteração e exclusão dos dados, se assim for solicitado pelos usuários.
Críticos da regulamentação, como Jean-Paul Crenn, fundador da consultoria Vuca Strategy, especializada em e-commerce e transformação digital, entendem que as gigantes de tecnologia acabarão saindo mais fortes após a nova legislação entrar em vigor, porque têm maior capacidade financeira para se adaptar.
“Longe de enfraquecer o duopólio de Google e Facebook, a GDPR vai torná-lo ainda mais poderoso ao protegê-lo mais de seus concorrentes atuais e futuros”, diz Crenn. “O custo para entrar em conformidade com a regulamentação é alto para os pequenos atores.”
PMEs. A nova norma vem de fato provocando ansiedade entre pequenos empreendedores. Se para startups o desafio é prever as novas normas e para gigantes é investir em reorganização, para pequenas e médias empresas (PMEs) o obstáculo pode ser até maior. Isso porque elas têm mais dificuldades em alocar mão de obra para se ajustar às regras e sua capacidade de investir em consultorias especializadas é limitada. “A GDPR não é um problema para as grandes empresas ou startups. Mas para PMEs, que constituem a grande parte do tecido econômico, é outra história”, advertiu ao jornal Le Monde Sébastien Montusclat, chefe digital do banco público Bpifrance.
Na França, um dos maiores mercados digitais da UE, não mais de 20% a 30% das empresas estariam aptas a respeitar as novas normas, de acordo com a Comissão Nacional de Informática e Liberdades (CNIL). Por isso, órgãos reguladores, como a própria CNIL, não estão focados nas PMEs, mas em garantir que as gigantes da internet cumpram as obrigações num primeiro momento – evitando, assim, escândalos como o da Cambridge Analytica, que usou ilicitamente dados de 87 milhões de usuários do Facebook em 2016.
Para Arnaud David, vice-presidente e chefe de proteção de dados do grupo CGI, que presta serviços em tecnologia de informação, a adaptação é inelutável, porque a legislação está em sintonia com a nova consciência sobre a importância de se manter a privacidade online. “A opinião pública estava há até pouco tempo de olhos fechados para a utilização de dados pessoais”, afirma. “Agora, a proteção de dados pessoais vai se tornar uma vantagem comercial, um diferencial de mercado que criará ganhadores e perdedores.”
'Esquecimento'. Polêmico nas Américas, mas já comum na Europa, o direito ao esquecimento ganhou novo reforço com a GDPR. Ele já era válido no continente desde 2014, após uma decisão da Corte de Justiça da União Europeia favorável a um cidadão europeu que abriu alas para a retirada do ar de links “inadequados, impertinentes ou excessivos”. Agora, faz parte da lei.
Até fevereiro, 650 mil demandas já haviam sido registradas pelo Google para tirar do ar mais de 2 milhões de links. Parte do sucesso da medida na Europa se explica por um choque cultural: no continente, a ideia de preservação da vida privada vem se afirmando como contraponto legítimo à ideia da preservação de liberdade e da memória na internet.
