Lei de privacidade da União Europeia entre em vigor e empresas ficam em alerta

BRUXELAS (Reuters) - A nova regulamentação europeia de privacidade entrou em vigor na sexta-feira e obriga as empresas a ficarem mais atentas ao modo como lidam com dados de clientes.

As consequências foram visíveis desde o primeiro dia, com grandes meios de comunicação dos Estados Unidos, incluindo o LA Times e o Chicago Tribune, forçados a fechar seus sites em partes da Europa.

As pessoas no bloco foram bombardeadas com dezenas de emails solicitando seu consentimento para continuar processando seus dados, e um ativista defensor da privacidade não perdeu tempo em tomar medidas contra gigantes norte-americanas por supostamente agirem ilegalmente ao forçar os usuários a aceitar termos de serviço intrusivos ou perder acesso.

"Você tem que ter uma opção 'sim ou não'", disse o austríaco Max Schrems antes de registrar queixas em jurisdições europeias. "Muitas dessas empresas agora o obrigam a concordar com a nova política de privacidade, que é totalmente contra a lei."

O Regulamento Geral de Proteção de Dados da União Europeia (GDPR) substitui um conjunto de regras do bloco de 1995 e anuncia uma era em que a quebra de leis de privacidade pode resultar em multas de até 4 por cento da receita global ou 20 milhões de euros, o que for maior, ante algumas centenas de milhares de euros.

Muitos defensores da privacidade elogiaram a nova lei como um modelo para a proteção de dados pessoais na era da internet e pediram a outros países que sigam o modelo europeu.

Críticos dizem que as novas regras são excessivamente pesadas, especialmente para as pequenas empresas.

O GDPR esclarece e fortalece os direitos individuais existentes, como o direito de apagar os dados e o direito de solicitar uma cópia dos dados.

Mas também inclui direitos totalmente novos, como o direito de transferir dados de um provedor de serviços para outro e o direito de impedir que as empresas usem dados pessoais.

"É uma coisa gradual e não revolucionária... No entanto, para muitas empresas foi um grande alerta porque nunca fizeram o dever de casa. Nunca levaram a sério a diretiva de proteção de dados", disse Patrick Van Eecke, sócio da firma de advocacia DLA Piper.

Os ativistas já planejam usar o direito de acessar seus dados para virar o jogo em relação as plataformas de internet, cujo modelo depende do processamento de informações pessoais.

Isso significa que as empresas estão tendo que implementar processos para lidar com esses pedidos e treinar sua força de trabalho porque qualquer violação pode levar a sanções duras.

Uma das principais determinações do GDPR, o direito à portabilidade de dados, está causando uma confusão particular.

"Acho que os direitos de portabilidade de dados são bastante significativos e vão demorar um pouco para que as pessoas descubram quais são os limites e como devem cumpri-las", disse David Hoffman, diretor de política de segurança e diretor de privacidade global da Intel.

Por exemplo, os serviços de streaming de música, como o Spotify, criam listas de reprodução para os usuários com base em suas preferências musicais. Enquanto um usuário que busca exercer o seu direito de portabilidade de dados pode transferir as listas de reprodução criadas, a situação fica confusa se as listas de reprodução tiverem sido criadas pelo serviço de streaming usando algoritmos.

As autoridades de proteção de dados da UE disseram que os indivíduos devem poder transferir dados fornecidos por eles, mas não "dados derivados" criados pelo provedor de serviços, como resultados algorítmicos.