Após mais de quatro anos de discussões e um número incontável de emendas, o Parlamento Europeu deu o último passo legislativo para aumentar a protecção dos dados pessoais. Nesta quinta-feira foram aprovadas as novas regras de tratamento de dados, que vêm actualizar uma directiva com 21 anos, criada quanto a Internet não era um produto de massas e quando empresas como o Google e o Facebook ainda não existiam.

As novas regras uniformizam a legislação no espaço comunitário, obrigam a que os utilizadores recebam informação mais transparente e tenham mais controlo sobre os seus dados, alargam as empresas abrangidas pelas políticas de protecção de dados e contemplam multas pesadas para os infractores. Fazem parte de um pacote legislativo que inclui ainda uma directiva para facilitar a partilha de informação entre as autoridades judiciais dos vários Estados-membros.

“Os indivíduos têm de ter poder: devem saber quais são os seus direitos, e como os defender se sentirem que não são respeitados”, afirmou em comunicado o vice-presidente da Comissão Frans Timmermans, que tem a pasta do mercado único digital. “Agora temos de trabalhar juntos para implementar os novos padrões na UE, para que os cidadãos e as empresas possam usufruir dos benefícios assim que possível”, acrescentou. Os Estados-membros terão dois anos para aplicar as novas regras após estas serem oficialmente publicadas, o que acontecerá nas próximas semanas.

Uma das novidades do regulamento obriga as empresas a disponibilizarem mais informação sobre aquilo que fazem com os dados pessoais dos utilizadores e a fazê-lo de uma forma que seja compreensível. Actualmente, muitas empresas que disponibilizam serviços online já apresentam as respectivas políticas de privacidade. Mas estes textos são frequentemente longos, recheados de jargão técnico e difíceis de interpretar – a maioria dos utilizadores acaba por não os ler quando se inscreve num novo serviço. As empresas deverão também garantir a chamada portabilidade dos dados, permoitindo que os utilizadores os transfiram para outros serviços.

Os cidadãos da União vão também passar a ver consagrado na lei o chamado “direito ao esquecimento”, ou seja, a possibilidade de pedirem para que os seus dados pessoais sejam apagados. Há, porém, várias restrições que se aplicam a estes pedidos. A informação poderá ser mantida enquanto as empresas tiverem razões legítimas para isso (por exemplo, para cumprir obrigações legais). Para além disso – numa medida que se aplica sobretudo à informação que os motores de busca e as redes sociais mostram – os legisladores europeus fizeram questão de salvaguardar que a informação não deve ser apagada quando tiver relevância para “investigação histórica, estatística e científica”, quando tiver interesse público ou fizer parte do exercício de liberdade de expressão.

O “direito ao esquecimento” tinha já sido reconhecido há dois anos pelo Tribunal de Justiça da União Europeia, que deu razão a um cidadão espanhol que pretendia que os resultados de pesquisa do Google deixassem de apontar para uma página que o associava a uma dívida antiga, entretanto saldada. Na sequência desse caso, o Google passou a disponibilizar uma ferramenta para que qualquer pessoa no espaço comunitário possa pedir para que certos resultados sejam omitidos das pesquisas feitas pelo seu nome – no entanto, esta informação continua acessível na Internet, incluindo em pesquisas feitas no Google por outras palavras que não o nome do visado.

O regulamento agora aprovado no Parlamento Europeu vai também estender as obrigações de protecção de dados a empresas não europeias mas que disponibilizem serviços dentro da UE. Os infractores podem ser penalizados com multas até 4% da facturação anual ou 20 milhões de euros, sendo aplicado o valor mais elevado. Isto é, contudo, um recuo dos legisladores, já que, ao longo de processo de discussão das novas regras, chegou a estar em cima da mesa uma multa de 5% da facturação, num mínimo de 100 milhões de euros.

As regras aplicam-se a todas as empresas que recolham dados pessoais, mas a actualização da legislação tornou-se premente com o crescimento de multinacionais como a Amazon, o Google e o Facebook, que armazenam gigantescas quantidades de informação. O Google, por exemplo, entrou há uns anos em conflito com as autoridades europeias ao decidir agregar que recolhe na utilização dos seus múltiplos serviços, como o motor de busca, o Gmail e o YouTube, entre muitos outros.

Ao abrigo da nova legislação, as empresas passam também a ter menos burocracia (e, portanto, menos custos) no que diz respeito à protecção de dados. Até aqui, tinham de lidar com as autoridades nacionais de cada país onde quisessem operar. Agora, passarão a ter um “balcão único” para tratar destes assuntos de forma centralizada.