É bem provável que você já tenha ouvido falar dessa sigla ou ainda que nos últimos dias tenha sido inundado por e-mails de diferentes empresas, a maioria estrangeiras, com atualizações de sua política de privacidade. Mas afinal, o que é a GDPR e como ela impacta a vida de profissionais de marketing e empresários?

General Data Protection Regulation, ou GDPR, é a lei de proteção de dados da União Europeia, que entrou em vigor no último dia 25 de maio, depois de dois anos de promulgação. Em linhas gerais ela determina que empresas com negócios com países do bloco, mesmo que sediados fora do continente, esclareça como os dados pessoais dos consumidores são coletados e armazenados e como serão utilizados. O objetivo final é aumentar a privacidade dos usuários no ambiente on-line.

Como a minha empresa pode ser impactada aqui no Brasil?

 A GDPR possui um forte viés de controle para empresas que atuam diretamente na União Europeia, seja com subsidiárias no continente, seja com coleta de dados de europeus. Seu objetivo foi aumentar a segurança do internauta no continente europeu, no entanto, suas consequências possuem efeitos virais para qualquer empresa presente na internet, inclusive as brasileiras.

Um site brasileiro que faça coleta de dados por cookies está sujeito à GDPR caso um internauta europeu visite a página. O mesmo se aplica se a sua empresa possui uma landing page com captura de dados básicos, como nome, e-mail, telefone ou gênero. Dado que as fronteiras da internet inexistem, qualquer empresa, no limite, está sujeita às normas da GDPR, não se limitando apenas a grandes corporações multinacionais com negócios na Europa.

Aspectos gerais da GDPR

 Se qualquer empresa em uma perspectiva mais ampla será impactada pela GDPR, é importante você conhecer quais são os seus princípios básicos de funcionamento:

• Dados pessoais: para efeitos da lei, serão considerados dados pessoais todas informações que permitem identificar uma pessoa: nome, foto, e-mail, endereço, dados bancários e até publicações em redes sociais.
• Registro de menores: Menores de 16 anos só poderão ter seus dados registrados por uma empresa com consentimento dos pais ou responsáveis.
• Direito a retificação: Dados incorretos ou desatualizados deverão ser retificados pelas empresas detentoras da informação.
• Direito a exclusão: O usuário pode solicitar, a qualquer momento, que um dado seja excluído.
• Direito a portabilidade: O internauta pode solicitar uma empresa portabilidade dos seus dados, ou seja, exigir que seus registros sejam fornecidos para serem levados para outra plataforma.
• Direito de consentimento: As pessoas, ao fornecer seus dados para um site ou plataforma, deverá consentir, de maneira explícita, que concorda em fornecer seus dados para uma relação comercial. Não vale letras miúdas!
• Direito de acesso: O usuário tem o direito, a partir da GDPR, de saber quais dados uma empresa possui a seu respeito e o que ela faz com essas informações.
• Notificações de violações: Caso a empresa detentora de dados apresentar uma violação do seu banco de dados e informações de usuários ficarem expostas, cabe à empresa notificar as pessoas impactadas sobre o incidente, em até 72 horas. Isso é válido tanto para processadores, quanto para controladores de dados.

Penalidades para quem não seguir a GDPR

 A nova legislação europeia prevê multas rigorosas para empresas que não atuarem em conformidade com a lei. As sanções para empresas que não cumprirem a GDPR variam de acordo com a gravidade da infração, que podem ser:

•  Limite inferior de penalidade: 2% do faturamento anual da empresa ou 10 milhões de Euros, o que for maior.
• Limite superior de penalidade: 4% do faturamento anual da empresa ou 20 milhões de Euros, o que for maior.

Por conta do peso das multas, grandes empresas se adequaram ao máximo à legislação. Segundo um estudo da EY, o custo para tornar uma empresa conforme à GDPR, somente para as 500 maiores empresas norte americanas, chegou a U$7,8 bilhões. No entanto, um estudo global da IBM revela que apenas 36% das empresas estão totalmente adequadas às novas regras. Ou seja, existe um longo a caminho a ser percorrido nos próximos meses.

Tarefa de casa básica

Independente se a sua empresa coleta dados de usuários europeus, vivemos em um mundo que exige cada vez mais transparência das empresas sobre o que elas fazem com os dados obtidos de clientes e usuários de serviços digitais. Por isso, implementar algumas boas práticas pode livrar sua empresa de sérios problemas regulatórios, além de deixá-la preparada para a nova era de relação com o internauta. Sendo assim, considere as seguintes ações:

• Caso utilize cookies em uma página, deixe claro que você coleta informações e explique os motivos do monitoramento.
• Em páginas de capturas de dados, explicite os termos de aceite e informe como utilizará essas informações.
• Realize atualização ou exclusão de dados, caso o cliente solicite.
• Envie conteúdo relevante para o seu cliente e evite ao máximo praticar SPAM.

No Brasil, os desdobramentos da GDPR estão apenas no início e certamente irá fomentar discussões regulatórias que irão modificar o ambiente legal sobre como utilizamos dados dos usuários. Independente de como a legislação brasileira está organizada, a dica é: se adeque ao máximo a GDPR, pois nunca sabemos de onde vem o próximo clique do seu site ou aplicativo.