Desde o início do Regulamento Geral de Proteção de DadosOs tribunais da UE continuaram a progredir na definição de padrões inovadores para a privacidade de dados. Em 1 de agosto de 2022, o Tribunal de Justiça da UE (TJUE) publicou uma decisão importante relacionada à legislação anticorrupção da Lituânia. Essa decisão impõe regras mais rigorosas em torno do termo "privacidade de dados". “dados sensíveis” o que, mais uma vez, impactará diretamente a indústria da publicidade, as plataformas online e o uso de segmentação para personalização.
Vamos analisar as implicações dessa decisão e o impacto mais amplo que ela terá em todo o ecossistema de privacidade de dados.
Artigo 9: As categorias especiais de dados sensíveis
O RGPD estabelece o quadro legal para a forma como os dados devem ser recolhidos, geridos e partilhados na UE e para quaisquer empresas que processem dados da UE. O Artigo 9.º detalha a Proibição Geral do Tratamento de Categorias Especiais de Dados Pessoais, que podem ser quaisquer dados que possam ser interpretados de forma ampla ou informações sensíveis que possam ser inferidas a partir da sua recolha. As categorias incluem dados que revelem preferências políticas, etnia, filiação religiosa, orientação sexual ou estilo de vida sexual, dados genéticos e dados biométricos que identifiquem uma pessoa de forma inequívoca.
Essa nova decisão pode impactar amplamente o que é considerado "Categorias Especiais" de dados e como eles são usados em relação à publicidade online, aplicativos de namoro, preferências alimentares, hobbies, estilo de vida e dados de localização vinculados a lugares como clínicas e igrejas.
É possível inferir os dados?
No caso lituano, o Tribunal de Justiça da União Europeia (TJUE) avaliou se os dados que revelam indiretamente a orientação sexual de uma pessoa devem ser protegidos pelas leis de privacidade. Parte do caso girou em torno da questão de saber se a publicação do nome do cônjuge se enquadraria na categoria de dados especiais prevista no Artigo 9.º. Como resultado, o tribunal decidiu que os dados pessoais que podem revelar indiretamente a orientação sexual de uma pessoa são considerados dados de categoria especial ao abrigo do RGPD (Regulamento Geral sobre a Proteção de Dados).
E em um artigo recente do TechCrunch, o Dr. Lukasz Olejnik, pesquisador e consultor de privacidade, afirmou que a decisão é "a interpretação mais importante e inequívoca do GDPR até o momento". Como resultado, agora está claro que os dados inferidos são oficialmente considerados dados pessoais.
Em resposta à decisão, a Dra. Gabriela Zanfir-Fortuna, vice-presidente de Privacidade Global do Future of Privacy Forum, afirma: "Isso também levanta enormes complexidades e dificuldades práticas para catalogar dados e construir diferentes caminhos de conformidade."
Quando essas correlações com a identidade se tornam tão intrinsecamente ligadas a dados sensíveis, as organizações precisam dar um passo atrás e avaliar como os identificadores podem representar um risco potencial à privacidade.
Rastreamento e personalização de anúncios
Essa decisão provavelmente transformará o ecossistema de publicidade digital no que diz respeito aos dados comportamentais coletados sobre indivíduos. Antes do veredicto, a maioria das empresas consolidava as informações para criar um perfil; quaisquer dados inferidos não eram considerados dados pessoais.
O impacto é amplo, visto que a maioria das organizações utiliza alguma forma de rastreamento de anúncios. As empresas fariam diversas inferências e, em seguida, desenvolveriam a personalização da segmentação de anúncios com base nesses conjuntos de dados. Esses conjuntos de dados não se aplicavam ao Artigo 9º do GDPR — apenas os dados fornecidos diretamente por um indivíduo.
Exemplos de inferências potenciais incluem usar o fato de uma pessoa ter curtido a página da BBC para inferir que ela possui visões políticas liberais, vincular a inscrição em uma academia para promover produtos de saúde e bem-estar, ou a compra de um berço ou carrinho de bebê, o que criará um perfil do indivíduo como um futuro pai ou mãe. Da mesma forma, se uma pessoa fizer uma avaliação de celulares da T-Mobile no YouTube, provavelmente será impactada por anúncios de acessórios da T-Mobile, como capas, fones de ouvido, películas protetoras de tela, etc.
É evidente que as inferências podem ser construídas simplesmente por meio de correlação, o que aumenta a complexidade da descoberta de dados, da classificação e da estratégia geral de privacidade.
O consentimento explícito é ainda mais necessário.
Em vez de optar por não receber publicidade direcionada, modelo que tem sido o padrão há anos, a decisão do Tribunal de Justiça da União Europeia (TJUE) provavelmente exigirá consentimento explícito para recomendações personalizadas, dadas as inferências que esse tipo de dado pode acarretar. As organizações precisam demonstrar que o consentimento explícito foi solicitado, para que os dados comportamentais não sejam utilizados em processamentos sensíveis ou para evitar multas exorbitantes.
Como as empresas podem evoluir em conformidade com o Artigo 9
Todas as indústrias que processam grandes quantidades de dados devem começar a prestar atenção. Esta decisão judicial impõe requisitos rigorosos quanto à base legal para o processamento de dados, ao consentimento explícito e à análise do inventário de dados para encontrar dados pessoais relacionados e correlacionados.
Por onde começar? Com o BigID, as organizações podem:
- Automaticamente encontrar, classificar e inventário Informações pessoais baseadas em relacionamento, contexto e recursos de aprendizado de máquina.
- Identificar os titulares dos dados cujo consentimento não seja válido, atualizado ou compatível com a finalidade de uso e a respectiva política de privacidade.
- Estar em conformidade com os requisitos regulamentares, incluindo: políticas, classificadorese fluxos de trabalho para o Artigo 9 do RGPD
- Identificar e reduzir os riscos associados ao processamento de dados com base no nível de risco e na atividade.
- Crie facilmente relatórios regulatórios para cumprir os requisitos de privacidade
É crucial que os profissionais de privacidade e gestão de riscos prestem muita atenção a essas legislações da UE e se mantenham atualizados sobre as mudanças na área de privacidade, garantindo que sua empresa esteja em conformidade com as normas. programa de privacidade consistente e atende às demandas de novos requisitos de conformidade. Pegue um demonstração 1:1 Para ver o BigID em ação.
Autor
