GDPR Europeu – o que custará nossa privacidade?

gdpr europeu

Privacidade é uma das questões mais delicadas do mundo conectado no qual vivemos hoje. Entretanto, corre ao largo a segunda maior questão quando o assunto é a web: a experiência. A legislação imposta pela União Europeia em relação à privacidade, em tese, traz melhorias em termos de segurança para o usuário. Contudo, como tudo mais que é regulado por entidades governamentais, não faz questão alguma de primar pela experiência do usuário.

Todos já tivemos de ir dezenas de vezes aos mais variados órgãos públicos. Neles, um serviço é prestado (ou não…) de forma objetiva – aquilo que é estritamente necessário é geralmente entregue ao cidadão, sem floreios ou preocupações com detalhes como a comodidade, a experiência ou a satisfação.



O GDPR europeu, sem dúvida, é uma iniciativa que ataca frontalmente diversos problemas de segurança e violações e abusos a direitos pessoais à privacidade e titularidade de dados. Ainda assim, impõe regras em relação ao formato sem preocupar-se com a viabilidade técnica, a interferência em termos de usabilidade e experiência ou mesmo o gosto do usuário médio.

GDPR Europeu – um atentado à comodidade

Cliques, pop-ups, janelas de leitura, avisos – em virtude da maior privacidade do usuário, a morosidade e burocracia das conservatórias invadiu a rede. Não podemos mais simplesmente clicar, ler e sair: temos de concordar com políticas, dar consentimento e assinaturas a janelas que se abrem e receber toneladas de e-mails para consentir com aquilo que já havíamos consentido. Um ponto a mais para a privacidade e vinte pontos a menos para a usabilidade.

É bem verdade que muitos programadores e designers vêm tentando superar a barreira da burocracia causada pelo GDPR europeu, mas não parece algo simples. O minimalismo das plataformas dirigidas à melhor experiência do usuário agora só pode ser mínimo dentro dos limites impostos pela norma. Para que comodidade quando podemos ter segurança, certo?

Bom, não é tão certo como parece…

GDPR Europeu – comunicação em lugar da ação

Sempre nos pareceu, como empresários atuantes em mais de um país, que autoridades governamentais primam geralmente pela comunicação em lugar da ação. O que isso quer dizer? Bem, significa que, na eventualidade de problemas que venham a afetar diretamente o cidadão, comunicados são emitidos como forma de eximir autoridades da responsabilidade imediata. O clássico “fizemos algo de errado e agora iremos tomar medidas para revertê-lo”.

O problema da conotação futura aqui foi transferido para os ditames de transparência em relação ao vazamento e corrupção de dados no GDPR europeu. Empresas têm de possuir um DPO ou equivalente que informe aos usuários a ocorrência de problemas de vazamento de dados ou ameaças à segurança digital dos mesmos. Dentro desse comunicado, ações “propostas” e medidas de contenção são anunciadas. Uma boa política no tocante à transparência, porém algo que cheira mais a uma forma de empurrar o problema adiante ao invés de resolvê-lo.

Parece cínico, porém devemos pensar que os maiores processadores de dados pessoais e privados do mundo não são empresas, mas sim governos. O GDPR europeu, nesse sentido, oferece a autoridades a possibilidade de ganhar tempo precioso na eventualidade de invasões e ameaças digitais. Mas antes de qualquer juízo de valor, analisemos até que ponto o GDPR e as políticas de permissões a cookies e afins de facto reduzem ou inibem ameaças diretas aos dados de usuários no âmbito digital.

GDPR Europeu – consentimento não reduz riscos

Embora o argumento do consentimento em relação à privacidade e segurança de dados seja o grande bastião da nova norma, a verdade é que permissões concedidas a cookies e ferramentas de websites que consultamos não reduzem em absoluto os riscos aos quais nossos dados estão expostos. Sob a luz da nova lei, a redução de riscos apenas ocorre quando decidimos NÃO UTILIZAR certas ferramentas, o que não é exatamente uma vantagem, mas sim a negação do risco pela privação de um serviço.

Em termos reais, é como se tentássemos reduzir os riscos de acidentes de trânsito simplesmente deixando de comprar uma viatura. Durante a compra, nos seria submetido um formulário no qual damos consentimento à montadora de veículos para que faça uso de novas tecnologias em nossos automóveis que poderiam trazer riscos à segurança ou facilitar o roubo ou furto dos veículos. Caso não concordássemos, teríamos de optar por outras formas de transporte e desistir da compra. Estaríamos seguros em relação a acidentes e roubos de nossos bens, porém a pé.

A inundação de autorizações e consentimentos produz efeito similar, com uma única diferença: no caso de sites governamentais, a não concessão de alguns dos consentimentos acabaria por nos levar a ilegalidades. Se não concordamos com a forma com que as Finanças processam ou retêm nossos dados, simplesmente somos incapazes de utilizar o sistema e submeter documentos e informações que somos obrigados a fornecer – incorrendo em coimas e punições. Assim sendo, não há um verdadeiro “opt-out”. Claro que as disposições da norma preveem que serviços essenciais têm uma espécie de consentimento tácito, mas isso pressupõe que saibamos exatamente como e para quê autoridades utilizam nossos dados – e isso tampouco é uma verdade.

GDPR Europeu – pobre pequeno empreendedor

Sim, para PMEs, ainda que delas não se exijam os mesmos requisitos em relação ao GDPR, a nova norma é apenas mais uma barreira no caminho para o sucesso. Medo, desinformação, desconfiança, retração – o pequeno empresário ou novo empreendedor revê agora seus planos para não ter seus negócios destruídos por mais uma série de coimas e punições que poderiam advir de suas ações no mundo digital.

Para a grande empresa, grosso modo o GDPR europeu não vai muito além daquilo que departamentos de informática já teriam de estar a fazer. Normas ISO e políticas de segurança da informação já congregavam rotinas relacionadas ao consentimento e direitos do usuário e os processos já eram monitorados à luz do que o GDPR propõe. Para os gigantes, provavelmente haverá alguma necessidade de reestruturação naquilo que já existe, mas dificilmente um volume de gastos adicionais. Para o pequeno empreendedor, mais uma parcela dos possíveis lucros parece ter sido abocanhada – sem que qualquer vantagem real tenha sido adicionada, quer para ele mesmo ou para seus potenciais clientes.

GDPR Europeu – liberdade de comunicação para quê?

Esta é uma opinião da MeuPPT e não reflete quaisquer análises legais mais profundas. No entanto, afora empresas de qualquer porte, a verdade é que grande parte da internet nos dias de hoje e dos websites no ar são mantidos por pessoas. Os blogs são parte da cultura da sociedade há quase 20 anos e há muitas pessoas que de facto vivem deles. Outras pessoas apenas querem espairecer ou partilhar suas experiências com o mundo, por meio da rede.

A norma, infelizmente, não distingue de forma clara um blog pessoal de um website de uma empresa. A falta de atualização dos idealizadores da norma causa certo constrangimento, à medida que hoje em dia praticamente qualquer website ou blog processa dados de usuários. Vivemos num tempo no qual redes sociais, ferramentas web e blogs são integrados de forma automatizada – e tudo isso utiliza de algum modo cookies ou dados de navegadores e usuários para que possa funcionar.

Bloggers usam formulários de contacto, abrem comentários para seus leitores e ganham algum merecido troco por meio de anúncios automatizados do Google. Imputar a mesma responsabilidade a pessoas individuais que partilham e comunicam com o uso da internet para o “processamento de dados” que empresas é, no mínimo, falta de entendimento acerca de como funciona a tecnologia no século XXI.

Claro que nenhuns bloggers terão de contratar profissionais ou DPOs para zelar por seus dados, porém deles será exigido algum conhecimento técnico e preocupação. E isso, sob toda óptica, é ridículo. Em função do suposto ganho de privacidade a liberdade de comunicação poderá ver-se profundamente ameaçada. Quantos não desistirão de partilhar e participar online por conta dos riscos associados à “não-conformidade”? Aplicarão coimas a quem escreve um diário na internet apenas por não meter avisos e caixas de consentimento para todo lado?

Apenas para quem monetiza

A desculpa do regulamento está em seu Artigo 4º. Em tese, nem todos os que possuem um blog terão de preocupar-se com os ditames do GDPR Europeu – apenas aquelas “pessoas singulares que exercem alguma atividade económica”. A internet é hoje, como falamos, um ganha-pão para muitos. Profissionais liberais, artistas, blogueiros, escritores – gente que tem algo interessante a partilhar e é remunerada por seus próprios leitores, sem prejuízo dos mesmos.

Em troca de informação ou conteúdo bom e de interesse, nos prestamos a observar anúncios, preencher formulários com alguns dados pessoais ou efetuar registos com perfis de redes sociais. O GDPR argumenta que tudo isso é dito processamento de dados e surge na suposta preocupação a respeito do “vazamento” desses dados. Assim sendo, bloggers que auferem ganhos a partir de sua produção terão de:

  • Meter consentimentos e caixas de confirmação em tudo – desde a entrada do leitor, a passar por áreas de comentário, formulários de contacto e campos de retenção de emails para newsletters
  • Redigir políticas de privacidade, de cookies, argumentar o processo de fluxo e processamento de dados e tudo mais que a norma preveja e seja realizado por plugins ou integrações automatizadas no blog instaladas
  • Perceber de programação e desenvolvimento web, para descobrir até que ponto todo plugin ou ferramenta que usam de facto permite que se acedam os dados dos usuários ali recolhidos ou mantidos
  • Deixar de recolher emails de qualquer modo que não seja precedido de uma confirmação expressa do usuário
  • Investir em certificados de SSL para seus websites

Infelizmente, o nível enorme de complicações fará com que muitos que hoje produzem conteúdo de qualidade desistam. O conteúdo publicitário, desinteressante e institucional produzido por empresas diversas e mesmo por órgãos governamentais, contudo, permanecerá ali. Em outras palavras, organizações de grande porte, tranquilas em relação à conformidade com o GDPR Europeu e já munidas de departamentos de informática que terão na nova norma apenas mais uma incumbência continuarão livres para comunicar, sem grandes alterações.

Já pequenas empresas, freelancers, profissionais autónomos e mesmo pessoas singulares terão de pensar duas vezes e avaliar uma série de entraves burocráticos e técnicos antes de meter uma única linha de texto num blog. Ganham em privacidade? Talvez. Porém, até que ponto trocar liberdade pela relativa proteção de dados pessoais (e bastante relativa) constitui um bom negócio é um ponto para discussão ao longo dos próximos anos.