Desde o início da Regulamento Geral de Proteção de Dados, os tribunais da UE continuaram a progredir na definição de padrões revolucionários para a privacidade de dados. Em 1º de agosto de 2022, o Tribunal de Justiça da UE (TJUE) publicou um caso significativo relacionado à legislação anticorrupção da Lituânia. Esta decisão impõe regras mais rigorosas em relação ao termo “dados sensíveis” o que impactará diretamente mais uma vez a indústria de anúncios, as plataformas online e o uso de segmentação para personalização.
Vamos analisar as implicações dessa decisão e o impacto mais amplo que ela terá em todo o ecossistema de privacidade de dados.
Artigo 9: As categorias especiais de dados sensíveis
O RGPD estabelece o quadro jurídico sobre como os dados devem ser coletados, gerenciados e compartilhados na UE e para quaisquer empresas que processem dados da UE. O Artigo 9 detalha a Proibição Geral de Processamento de Categorias Especiais de Dados Pessoais, que podem ser quaisquer dados que possam ser interpretados de forma ampla ou informações sensíveis que possam ser inferidas da coleta. As categorias incluem dados que revelam preferências políticas, etnia, afiliações religiosas, orientação sexual ou estilo de vida sexual, dados genéticos e dados biométricos que identificam uma pessoa de forma única.
Essa nova decisão pode impactar amplamente o que conta como “Categorias Especiais” de dados e como eles são usados em relação à publicidade online, aplicativos de namoro, preferências alimentares, hobbies, estilo de vida e dados de localização vinculados a lugares como clínicas e igrejas.
Os dados podem ser inferidos?
No caso lituano, o TJUE avaliou se dados que expõem indiretamente a orientação sexual de uma pessoa devem ser abrangidos pela proteção das leis de privacidade. Parte deste caso envolveu a questão de se a publicação do nome do cônjuge se enquadraria na categoria especial de dados do Artigo 9. Como resultado, os tribunais estabeleceram na decisão que dados pessoais que podem revelar indiretamente a orientação sexual de uma pessoa são considerados dados de categoria especial segundo o GDPR.
E em um artigo recente do TechCrunch, o Dr. Lukasz Olejnik, pesquisador e consultor de privacidade, disse ao TechCrunch que a decisão é "a interpretação única, mais importante e inequívoca do GDPR até o momento". Como resultado, agora está claro que dados inferidos são oficialmente considerados dados pessoais.
Em resposta à decisão, a Dra. Gabriela Zanfir-Fortuna, vice-presidente de Privacidade Global do Future of Privacy Forum, afirma: “Também levanta enormes complexidades e dificuldades práticas para catalogar dados e criar diferentes trilhas de conformidade”.
Quando essas correlações com a identidade se tornam tão interligadas aos dados confidenciais, as organizações precisam dar um passo para trás e avaliar como os identificadores podem ser um risco potencial à privacidade.
Rastreamento e personalização de anúncios
Este julgamento provavelmente mudará o ecossistema de anúncios digitais em relação aos dados comportamentais coletados sobre indivíduos. Antes do veredito, a maioria das empresas consolidava as informações para criar um perfil; quaisquer dados inferidos não eram considerados dados pessoais.
O impacto é amplo, visto que a maioria das organizações utiliza alguma forma de rastreamento de anúncios. As empresas faziam diversas inferências e, em seguida, desenvolviam a personalização da segmentação de anúncios com base nesses conjuntos de dados. Esses conjuntos de dados não se aplicavam ao Artigo 9 e ao GDPR — apenas aos dados fornecidos diretamente por um indivíduo.
Exemplos de inferências incluem, potencialmente, usar o fato de uma pessoa ter curtido a página da BBC para inferir que ela tem opiniões políticas liberais, vincular a inscrição em uma academia para promover produtos de saúde e bem-estar, ou a compra de um berço ou carrinho de bebê, o que caracterizará o indivíduo como um possível pai ou mãe. Da mesma forma, se uma pessoa avaliar celulares da T-Mobile no YouTube, provavelmente será alvo de anúncios de acessórios da T-Mobile, como capas, fones de ouvido, protetores de tela, etc.
Está claro que inferências podem ser construídas simplesmente por meio de correlação, o que aumenta a complexidade da descoberta de dados, classificação e estratégia geral de privacidade.
O consentimento explícito é ainda mais necessário
Em vez de optar por não participar da publicidade direcionada, que tem sido o modelo de fato há anos, a decisão do TJUE provavelmente exigirá consentimento explícito para recomendações personalizadas, dadas as inferências desse tipo de dado. As organizações precisam demonstrar que o consentimento explícito foi solicitado, para que dados comportamentais não sejam incluídos em processamentos sensíveis ou enfrentem multas intransponíveis.
Como as empresas podem evoluir em conjunto com o Artigo 9
Todos os setores que processam grandes volumes de dados devem começar a prestar atenção. Esta decisão impõe requisitos rigorosos quanto à base legal para o processamento de dados, consentimento explícito e análise do inventário de dados para encontrar dados pessoais relacionados e correlacionados.
Por onde começar? Com o BigID, as organizações podem:
- Automaticamente encontrar, classificar e inventário informações pessoais baseadas em relacionamento, contexto e recursos de ML
- Identificar os titulares dos dados cujo consentimento não é válido, atualizado ou consistente com a finalidade de uso e a política de privacidade relacionada
- Alinhar com os requisitos regulamentares, incluindo políticas, classificadores, e fluxos de trabalho para o Artigo 9 do RGPD
- Identificar e reduzir os riscos associados ao processamento de dados com base no nível de risco e na atividade
- Crie facilmente relatórios regulatórios para cumprir os requisitos de privacidade
É crucial que os profissionais de privacidade e risco prestem muita atenção a essa legislação da UE e fiquem por dentro das atualizações de privacidade que podem garantir que sua empresa mantenha uma programa de privacidade consistente e atende às demandas de novos requisitos de conformidade. Obter um Demonstração 1:1 para ver o BigID em ação.
Autor
