Em 2018, começou uma tomada de controle hostil europeia do mundo empresarial global. Não notou? Se a sua empresa faz negócios com entidades da UE ou contata clientes da UE, é provável que o sinta. O nome de código dado à operação de absorção: GDPR, e aparentemente toca tudo o que está relacionado com a segurança da informação e o uso de informações pessoais, mas na prática tem um toque em cada atividade empresarial, em qualquer parte do mundo!
Em 25 de maio de 2018 entrou em vigor a diretiva europeia de proteção de dados (seu nome completo é: Regulamento Geral de Proteção de Dados, mas todo o mundo a conhece pela sigla: GDPR), que trouxe consigo a mudança mais completa na lei de segurança da informação em décadas e criou uma verdadeira revolução nos requisitos para as empresas que coletam ou processam informações pessoais das pessoas. A mudança mais significativa introduzida pela diretiva é a aplicação de uma responsabilidade direta e absoluta às empresas e particulares que coletam ou processam informações pessoais, para manter a confidencialidade das informações pessoais que coletam e justificar legalmente o seu uso.
A diretiva adotou um novo conceito de privacidade planejada (privacy by design), além da privacidade por padrão (privacy by default), e o seu descumprimento expõe a pesadas multas que variam de 20.000 euros até 4% dos lucros da empresa. Assim, a confidencialidade da informação deve ser totalmente transparente para o cliente e ser planejada de antemão de forma proativa, incorporada à tecnologia ou ao processo de coleta de informações e garantida automaticamente, sem que o titular da informação tenha que tomar qualquer medida adicional de sua parte para garantir a segurança ou confidencialidade dos dados. Além disso, a transferência de informações sobre cidadãos da UE para fora de suas fronteiras só é permitida a um país que tenha sido examinado pela UE e que cumpra os critérios. Por outro lado, mesmo sem transferir informações para fora da UE, a Diretiva aplica-se a todas as informações relacionadas com cidadãos da UE ou empresas que operam na UE.
Em outras palavras, se a sua empresa vende produtos ou coleta informações pessoais de cidadãos da UE ou chega a um acordo com uma empresa registrada na UE segundo o qual você está exposto a dados da referida empresa, deve cumprir a Diretiva. De fato, embora a sua empresa preste serviços e receba informações apenas de cidadãos israelenses, basta que um deles tenha também a cidadania europeia (algo comum em Israel) para que a Diretiva se aplique a você.
A maioria das empresas israelenses cumpre a legislação israelense sobre privacidade e os regulamentos promulgados em virtude dela e acreditam que estão a salvo, mas ignoram que a legislação israelense carece de muitos dos elementos da Diretiva europeia, como o direito ao esquecimento, o direito de uma pessoa retirar o consentimento dado para o tratamento ou uso de dados ou a obrigação da empresa coletora de declarar aos seus clientes a razão legal que justifica a coleta de informações em primeiro lugar. Ao mesmo tempo, muitas empresas israelenses comunicam-se com entidades europeias e coletam dados pessoais sobre elas, sem estar cientes de que o cumprimento das normas israelenses não protege contra a violação da Diretiva.
Então, o que devem fazer as organizações israelenses para cumprir os requisitos da Diretiva? É aconselhável recorrer à ajuda de um advogado especialista na matéria, para elaborar um plano de aplicação interno, após uma revisão organizacional interna para diagnosticar quais informações pessoais a empresa coleta, que usos são feitos delas e que razões legais justificam a sua coleta, para determinar se a Diretiva é aplicável. Como parte do plano de aplicação interno, devem ser adotados procedimentos internos de segurança e confidencialidade da informação e uma política de transparência, atualizar as políticas de privacidade e as condições de uso, bem como modificar os acordos com funcionários e subcontratados com acesso aos dados e adotar qualquer outra medida para evitar o descumprimento da Diretiva.