No mundo da privacidade de dados, o Regulamento Geral de Proteção de Dados da União Europeia (RGPD) tem dominado as manchetes. Sendo uma legislação histórica, a UE... RGPD Embora seja uma exigência para qualquer empresa ou organização que armazene ou processe dados de cidadãos da UE, essa não é a única que as organizações globais precisam enfrentar atualmente. Órgãos reguladores dos EUA, como a FCC e a FTC, estão intensificando seus esforços para regular a identidade digital, enquanto no Canadá, Austrália, Singapura e Rússia, os requisitos de privacidade estão se tornando mais rigorosos e eficazes. Nos EUA, agências federais como a FTC, a FCC e até mesmo órgãos reguladores setoriais como a SEC, o CFPB e a FINRA estão mais vigilantes em relação à aplicação das leis de privacidade. Os estados também estão se tornando mais proativos em relação à privacidade e à proteção de dados do consumidor. O exemplo mais recente é a expansão dos requisitos de notificação de violação de dados na Flórida, de acordo com a FIPA (Lei de Proteção Financeira do Consumidor da Flórida).Lei de Proteção de Informações da Flórida) que agora exige que o Procurador-Geral do estado seja notificado em caso de violações e que as organizações abrangidas consultem as autoridades policiais locais.
Globalmente, cerca de 65 países Alguns países aprovaram novas leis de privacidade no último ano, enquanto outros têm projetos de lei em tramitação — incluindo China e Brasil. O crescente foco na privacidade e proteção de dados é impulsionado pela preocupação generalizada dos consumidores com o impacto dos negócios digitais na privacidade de seus dados — agravada pelas constantes violações de dados para extração de informações pessoais. Órgãos reguladores e legisladores em todo o mundo estão intensificando os esforços para definir os requisitos para a coleta, o armazenamento, o processamento e o compartilhamento de dados de consumidores e clientes.
O Custo da Negligência
Independentemente da jurisdição ou do ponto de partida dos reguladores, o ponto em comum é que as organizações devem demonstrar responsabilidade e transparência no armazenamento, processamento e transferência de dados privados, e operar com base no princípio de que agora são as custodiantes dos dados pessoais e privados. Além de declarações claras de intenção para a coleta de dados e consentimento de consumidores e clientes, as organizações devem fornecer uma política de privacidade.
Os detalhes da legislação — seja em termos de direitos do consumidor Questões como o “direito ao esquecimento”, os requisitos de retenção de dados ou a necessidade de encarregados da proteção de dados podem variar muito de acordo com a jurisdição, assim como a capacidade de efetivamente aplicar a legislação ou os regulamentos e impor penalidades. Embora a severidade das multas e penalidades varie de país para país, o que é comum é que as penalidades aumentaram de valor e os órgãos reguladores se sentem mais à vontade para utilizá-las.
Nesse contexto, o RGPD da UE anuncia a mudança mais significativa para a privacidade de dados na era digital, não apenas pelos requisitos técnicos ou pela estipulação de encarregados da proteção de dados em determinadas circunstâncias, mas sim pela magnitude das penalidades por violações e pela disposição manifestada pelos reguladores em impor multas de até 41,3 bilhões de euros do faturamento anual mundial total do exercício financeiro anterior, quando as normas entrarem em vigor.
Em paralelo com exigências mais explícitas sobre sua responsabilidade em diferentes jurisdições, as organizações também devem se adequar à definição cada vez mais abrangente do que constitui dados pessoais — sejam dados biométricos, no caso do GDPR da UE, ou endereços MAC ou IDs de cookies, no caso das novas regulamentações de privacidade propostas pela FCC nos EUA. Em suas recentes decisões de fiscalização, a Comissão de Proteção de Dados Pessoais de Singapura argumentou que o contexto importa: violações dos requisitos de proteção de dados pessoais quando os dados são “de natureza financeira sensível” têm maior probabilidade de resultar em multas. Para as empresas que buscam cumprir as novas regulamentações de privacidade, espera-se, portanto, cada vez mais, que elas consigam localizar quaisquer dados pessoais com precisão e em larga escala.
É uma questão de princípios compartilhados.
Certamente, muitas regulamentações e exigências se assemelharão mais às disposições do GDPR à medida que se aproximarem da aprovação, e os princípios que as regem se tornarão um ponto de comparação. No entanto, é importante entender que as diferenças de abordagem persistirão. Por exemplo, o GDPR da UE adota uma postura abrangente, especialmente quando comparado aos EUA, onde há um foco muito mais setorial liderado por reguladores da indústria. Um exemplo claro disso é a atual disputa entre a FCC e a FTC sobre quem define a privacidade digital.
Além disso, embora os EUA não possuam atualmente uma legislação federal geral de proteção à privacidade que se aplique amplamente ao setor privado e empresas[1] Muitos estados implementaram leis de proteção à privacidade do consumidor, incluindo Califórnia, Massachusetts e Flórida. A legislatura do estado de Nova York tem atualmente um projeto de lei em comissão para uma Lei de Proteção da Privacidade Online e Segurança na Internet, que inclui uma disposição para um grupo de investigação de violação de dados composto pelo procurador-geral do estado, autoridades estaduais, o diretor de tecnologia da informação (CIO) e o comissário de Segurança Interna.
Na Austrália, reguladores e legisladores têm trabalhado com empresas para definir estruturas e padrões de autorregulação, a fim de garantir a proteção responsável da privacidade do consumidor. O resultado é que os princípios federais orientadores de privacidade estão mais focados nas implicações práticas para a implementação de políticas e proteções de privacidade. Em contrapartida, a PIPEDA (Lei de Proteção de Informações Pessoais e Documentos Eletrônicos) do Canadá enfatiza os princípios operacionais e se alinha mais à abordagem abrangente da UE em relação ao direito à privacidade do cidadão.
A Lei de Privacidade aplica-se às agências federais: estabelece um Código de Práticas Justas de Informação que rege a coleta, manutenção, uso e divulgação de informações de identificação pessoal sobre indivíduos, mantidas em sistemas de registros por agências federais.
O 10 Princípios de Privacidade da PIPEDA
5 Limitação de uso, divulgação e retenção.
6 Precisão
8 Abertura
Princípios de Privacidade Australianos
APP 1 — Gestão aberta e transparente de informações pessoais
APP 2 — Anonimato e pseudonimato
APP 3 — Coleta de informações pessoais solicitadas
APP 4 — Lidando com informações pessoais não solicitadas
APP 5 — Notificação da coleta de informações pessoais
APP 6 — Uso ou divulgação de informações pessoais
APP 7 — Marketing direto
APP 8 — Divulgação transfronteiriça de informações pessoais
APP 9 — Adoção, uso ou divulgação de identificadores relacionados ao governo
APP 10 — Qualidade das informações pessoais
APP 11 — Segurança das informações pessoais
APP 12 — Acesso a informações pessoais
APP 13 — Correção de informações pessoais
Ainda assim, embora os princípios possam divergir, a influência do RGPD da UE reside no facto de as tendências globais de regulamentação estarem a convergir em torno de um conjunto de requisitos e considerações comuns:
● Escolha e Consentimento
● Segurança para proteção de dados
● Acesso a dados
● Requisitos de notificação
● Retenção de dados
● Direito ao Esquecimento
● Divulgação a terceiros
● Encarregados da Proteção de Dados
● Transferências transfronteiriças
No entanto, a forma como os requisitos são especificados apresenta uma grande divergência. Por exemplo, mesmo no contexto do RGPD (Regulamento Geral de Proteção de Dados), a obrigatoriedade de um encarregado da proteção de dados só se aplica quando a organização é uma autoridade pública, realiza “monitoramento sistemático em larga escala” ou “processamento em larga escala de dados pessoais sensíveis”. Já em Singapura, sob a Lei de Proteção de Dados Pessoais (PDPA), cabe à organização decidir se deve nomear um encarregado da proteção de dados em tempo integral ou se essa função deve ser subordinada a outra responsabilidade.
Da mesma forma, a PIPEDA estipula que os dados pessoais devem ser retidos "enquanto forem necessários para cumprir as finalidades pretendidas", e não por um período de tempo específico.
Como, então, uma empresa multinacional lida com definições diferentes de Informações Pessoais Identificáveis (PII) e com requisitos distintos em relação ao acesso do titular dos dados, prazos de notificação e rastreabilidade do processamento?
Alinhando expectativas: integrando a ciência de dados à privacidade de dados.
Já ultrapassamos a fase em que se discutia se a privacidade e a proteção de dados deveriam estar na agenda de TI e negócios digitais. Em vez disso, a questão agora é como conciliar da melhor forma as oportunidades de negócios com o mosaico de requisitos legislativos e regulamentares.
O primeiro passo é o óbvio: mapear as operações comerciais às jurisdições de privacidade de dados. Há também a questão de contornar os termos específicos necessários para atender a requisitos mais rigorosos, como o GDPR da UE ou a PCDA de Singapura. Além disso, é importante compreender os princípios subjacentes que norteiam a legislação: sejam eles abrangentes, setoriais ou definidos em colaboração com o setor.
No entanto, a base da proteção da privacidade de dados pessoais reside na aplicação consistente de políticas de privacidade e, mais importante, em informações precisas sobre os dados que estão sendo protegidos. Todos os requisitos regulatórios compartilham a necessidade de saber quais dados estão sendo armazenados, a quem pertencem, onde estão localizados, quem os acessa, qual consentimento foi aprovado em relação a esses dados e onde estão sendo usados. Sem esse conhecimento fundamental, é impossível determinar com precisão se uma organização está em conformidade com uma regulamentação específica. Também é impossível governar esses dados. Sem informações, não há controle. Sem controle, o risco de penalidades e até mesmo de violações aumenta.
por @stavvmc e @dimitrisirota
Autor
