1. O principal objetivo da adoção do RGPD é dificultar a vida dos negócios
De fato, o principal objetivo do GDPR é permitir que os usuários controlem quem e como usa seus dados pessoais e possam proibir facilmente e a qualquer momento o uso ou alterar as condições de uso de dados pessoais para fins de marketing.
Os dados pessoais são coletados pelas empresas para melhorar o marketing e torná-los personalizados - voltados para cada usuário específico, levando em consideração suas preferências e interesses, que são coletados com base no comportamento do usuário na Internet: visitar sites, curtir à esquerda, mover o mouse pela página. Na Internet, você pode coletar esses dados sobre um usuário médio ativo
como: sexo, idade, estado civil, profissão, interesses, hábitos de consumo. Se adicionarmos o monitoramento de geolocalização a isso, a quantidade de informações sobre cada pessoa que está nas mãos de algumas empresas se torna assustadora, principalmente quando se pensa no vazamento desses dados. Isso se torna ainda pior quando se pensa na possível manipulação do comportamento e das decisões do usuário - um exemplo de notícias relacionadas às atividades do
Cambridge Analytica .
Algumas publicações fornecem
um exemplo de programa que, com base em uma análise de apenas 10 curtidas, permite que você conheça uma pessoa melhor do que seus colegas. De 70 curtidas, o programa aprende sobre uma pessoa tanto quanto seu amigo íntimo, de 150 curtidas - como pais, irmãos ou irmãs e 300 ou mais curtidas - melhor do que o cônjuge sabe.
Pensando nisso do ponto de vista do usuário, você pode ver o benefício incondicional na adoção do GDPR. Seu principal objetivo é limitar o uso descontrolado de dados pessoais para fins comerciais, quando o sujeito desses dados não tem idéia de quem, para quais fins e como usa as informações sobre ele coletadas na Internet de várias fontes.
2. O RGPD se aplica a empresas russas que processam dados pessoais de pelo menos um cidadão de um estado membro da UE
Isso também é uma falácia. O GDPR regula o trabalho com dados pessoais não de cidadãos da UE, mas de todas as pessoas localizadas na UE
"O presente regulamento aplica-se ao tratamento de dados pessoais de titulares de dados que estão na União ... ".
GDPR, art. 3 (2)Segundo o representante da Comissão Europeia (que conseguiu fazer perguntas não oficialmente na conferência internacional em junho de 2018 [1]), o RGPD não se aplica ao processamento de dados pessoais de pessoas que estão fora da UE, mesmo que tenham saído temporariamente. Ao mesmo tempo, o processamento de dados pessoais de cidadãos russos que viajam pela Europa está sujeito ao RGPD.
Mais uma vez, com referência a explicações não oficiais do representante da Comissão Europeia, para atrair a atenção do regulador, é necessário processar principalmente uma grande quantidade de dados de usuários europeus. Se o objetivo de uma empresa russa não é coletar ou processar dados de europeus, e daqueles cujos dados processam ocasionalmente acabam na Europa, é improvável que o regulador se interesse pelas atividades de uma empresa em termos de conformidade com o GDPR.
Há uma opinião oposta de que, se os serviços forem prestados fora da UE (por exemplo, um quarto de hotel localizado na Rússia pode ser reservado remotamente a partir da UE), a organização não deve estar sujeita ao RGPD, pois suas atividades não são realizadas na UE e não são sujeito ao direito da UE. Esta opinião não cumpre totalmente as disposições do RGPD: se essa empresa utiliza os dados de pessoas que residem principalmente na Europa, então o RGPD se aplica a ele. Se você pegar o exemplo de um hotel, no momento da sua estadia no hotel, o europeu realmente não está na Europa. Mas se, após sua volta, o hotel continuar processando seus dados e, por exemplo, enviando-lhe materiais de marketing, acontece que ela trabalha com os dados de uma pessoa que vive na Europa. Bem, se os dados não serão utilizados para fins de marketing, mas forem coletados apenas para reserva e registro de residência, isso não é um problema: o GDPR permite a coleta e o processamento de dados para a execução do contrato, e o consentimento do sujeito dos dados pessoais não é necessário neste caso.
3. O consentimento dos usuários para usar seus dados é sempre necessário
Não é bem assim. No caso de uma empresa não europeia, o GDPR é aplicado apenas ao usar dados pessoais para fins de marketing (oferta de bens ou serviços) e monitorar o comportamento do usuário na Europa. Se os dados não forem utilizados para esses fins, as disposições do RGPD não se aplicarão.
O presente regulamento aplica-se ao tratamento de dados pessoais de titulares de dados que estão na União por um responsável pelo tratamento ou processador não estabelecido na União , onde as atividades de tratamento estão relacionadas com:
a) A oferta de bens ou serviços , independentemente de ser exigido pagamento do titular dos dados, a esses titulares na União; ou
b) A monitorização do seu comportamento na medida em que ocorra na União.
GDPR, art. 3 (2)Quando os dados são obtidos para fins de execução do contrato, o consentimento não é necessário. Também existem outros casos em que o uso de dados pessoais
não requer consentimento . Porém, se após a execução do contrato os dados permanecerem na empresa e forem armazenados por ela (por exemplo, no CRM), nesse caso, será necessário o consentimento do usuário.
4. Se a violação do RGPD for multada imediatamente, as multas serão muito altas
Ninguém será multado imediatamente. Reguladores de diferentes países estão começando a trabalhar com as novas regras e serão cautelosos com a formação de práticas, de olho um no outro. É improvável que tenham pressa para aplicar imediatamente multas; antes, haverá avisos e instruções. As multas indicadas no RGPD são o limite superior; em caso de violação, as multas nem sempre podem ser aplicadas e podem ser pequenas. Provavelmente, as multas serão acumuladas com base no fato de que devem ser proporcionadas e eficazes, e o objetivo principal não é estrangular o negócio, mas direcioná-lo no caminho certo.
Além disso, uma prática judicial (incluindo o Tribunal de Justiça do Luxemburgo) será formada em paralelo, cuja aparência também será aguardada pelos reguladores antes de iniciar inspeções e sanções em massa.
Durante uma conversa informal com um representante da Comissão Europeia na conferência, surgiu a idéia de que seria possível realizar vários testes de alguns gigantes, para que, na prática, fique claro qual comportamento é inaceitável e o que pode levar a isso.
Na questão da aplicação de multas por violação do RGPD, as seguintes posições estão mais corretas:
“Em geral, é necessário perceber grandes quantidades de multas na lei como uma medida de barragem, e não uma nova maneira de reabastecer os orçamentos locais dos países da UE”
“A quantidade específica de multas será determinada individualmente, levando em consideração um grande número de fatores. Uma multa multimilionária pode ser aplicada a uma organização se ela violar consciente e maliciosamente os direitos dos indivíduos, escondendo-a cuidadosamente e recebendo alto lucro com esse processamento de PD ”
Quanto às preocupações das empresas russas em relação ao fato de poderem ser multadas por não conformidade com o GDPR, é provável que essas preocupações não sejam percebidas. Não será fácil para o regulador responsabilizar empresas que não possuem um escritório de representação na Europa. Será ainda mais difícil implementar as sanções impostas ao território de um Estado que não faz parte da UE. Portanto, a principal regulamentação prevista em relação ao RGPD será através da auto-regulamentação no setor: as empresas européias se recusarão gradualmente a trabalhar com empresas que não cumpram os requisitos do RGPD. Consequentemente, a principal consequência negativa do não cumprimento do RGPD não são as multas, mas a perda de competitividade no mercado europeu.
5. Os dados pessoais não podem ser transferidos para outros países sem a devida supervisão e permissão.
Os dados podem ser transferidos se houver um contrato com a empresa que os transferiu e se certas garantias forem fornecidas em tal contrato. Além disso, existe
a Convenção 108 do Conselho da Europa (da qual a Rússia é parte), que indica o seguinte:
“Uma parte não deve proibir ou condicionar, mediante permissão especial, fluxos transfronteiriços de dados pessoais que vão para o território de outra Parte com o único objetivo de proteger a privacidade”
Não existe uma resposta exata sobre como as disposições da Convenção 108 estão relacionadas e as restrições do RGPD à transmissão de dados; pode haver uma contradição entre elas. Mas, em qualquer caso, os dados podem ser transferidos na presença de um acordo, bem como em alguns outros casos especificados no RGPD.
[1] Pearse O'Donohue, diretor em exercício da Direção de Redes do Futuro da DG CONNECT na Comissão Europeia.