No mundo da privacidade de dados, o Regulamento Geral sobre a Proteção de Dados da União Europeia (RGPD) ganhou todas as manchetes. Sendo uma peça legislativa histórica, a UE GDPR Para qualquer empresa ou organização que armazene ou processe dados de cidadãos da UE, não é de forma alguma o único que as organizações globais devem agora navegar. Reguladores dos EUA, como a FCC e a FTC, estão intensificando seus esforços para regulamentar a identidade digital, enquanto no Canadá, Austrália e Cingapura, bem como na Rússia, os requisitos de privacidade estão se tornando mais rigorosos — e ganhando força. Enquanto nos EUA, agências federais como a FTC, a FCC e até mesmo órgãos reguladores setoriais como a SEC, CFPB e FINRA se tornaram mais vigilantes em relação à aplicação da privacidade, estados individuais também estão se tornando mais proativos em relação à privacidade e à proteção de dados do consumidor. O exemplo mais recente é a expansão dos requisitos de notificação de violação da Flórida sob a FIPA (Lei de Proteção de Informações da Flórida) que agora determina que o Procurador Geral do Estado seja notificado em caso de violações e que as organizações cobertas consultem as autoridades policiais locais.
Globalmente, cerca de 65 países aprovaram novas leis de privacidade no último ano ou têm leis pendentes — incluindo China e Brasil. O ímpeto para a crescente ênfase na privacidade e proteção de dados é a inquietação generalizada dos consumidores quanto ao impacto dos negócios digitais na privacidade de seus dados — agravada pelas constantes violações para extração de dados pessoais. Reguladores e legisladores em todo o mundo estão intensificando os esforços para definir os requisitos para coleta, armazenamento, processamento e compartilhamento de dados de consumidores e clientes.
O Custo da Negligência
Independentemente da jurisdição ou do ponto de partida dos reguladores, o ponto em comum é que as organizações devem demonstrar responsabilidade e transparência no armazenamento, processamento e transferência de dados privados, e operar com base no fato de que agora são as guardiãs de dados pessoais e privados. Juntamente com declarações claras de intenção para coleta de dados e consentimento de consumidores e clientes, as organizações devem fornecer uma política de privacidade.
As especificidades da legislação — seja em termos de direitos do consumidor como o "direito ao esquecimento", os requisitos de retenção de dados ou a necessidade de agentes de privacidade de dados — podem variar amplamente de acordo com a jurisdição, assim como a capacidade de efetivamente aplicar a legislação ou os regulamentos e impor penalidades. Embora a gravidade das multas e penalidades varie de país para país, o que é comum é que as penalidades tenham aumentado em tamanho e os reguladores tenham se tornado mais confortáveis em utilizá-las.
Neste contexto, o RGPD da UE anuncia a mudança mais significativa para a privacidade de dados na era digital, mas não apenas devido aos requisitos técnicos ou mesmo à estipulação para os responsáveis pela proteção de dados em determinadas circunstâncias. Em vez disso, é a magnitude das penalidades por violações e a disposição expressa dos reguladores de impor a multa, quando as regras entrarem em vigor, de até 4% do faturamento anual mundial total do ano fiscal anterior.
Juntamente com requisitos mais explícitos sobre sua responsabilidade em todas as jurisdições, as organizações também devem se adequar à definição crescente do que constitui dados pessoais — sejam dados biométricos no caso do GDPR da UE ou endereços MAC ou IDs de cookies no caso das novas regulamentações de privacidade propostas pela FCC nos EUA. Em suas recentes decisões de execução, a Comissão de Proteção de Dados Pessoais de Singapura argumentou que o contexto importa: violações dos requisitos de proteção de dados pessoais quando os dados são "de natureza financeira sensível" têm maior probabilidade de gerar multas. Para as empresas que buscam cumprir as novas regulamentações de privacidade, espera-se cada vez mais que consigam encontrar quaisquer dados pessoais com precisão e em grande escala.
É uma questão de princípios compartilhados
Certamente, muitas regulamentações e requisitos se assemelharão mais às disposições do GDPR à medida que se aproximam da aprovação, e os princípios que os regem se tornarão um ponto de comparação. No entanto, é importante entender que as diferenças de abordagem persistirão. Por exemplo, o GDPR da UE adota uma postura abrangente, especialmente quando comparado aos EUA, onde há um foco muito mais setorial, liderado por reguladores do setor. Um exemplo claro disso é a atual batalha travada entre a FCC e a FTC sobre quem define a privacidade digital.
Além disso, embora os EUA não tenham actualmente uma legislação federal geral de protecção da privacidade que se aplique amplamente ao sector privado e corporações[1] Muitos estados implementaram leis de proteção à privacidade do consumidor, incluindo Califórnia, Massachusetts e Flórida. A Assembleia Legislativa do estado de Nova York tem atualmente em comissão um projeto de lei para a Lei de Proteção à Privacidade Online e Segurança na Internet, que inclui uma disposição para um grupo de violação de dados que incluiria o procurador-geral do estado, autoridades estaduais, o diretor de informática e o comissário de Segurança Interna.
Na Austrália, reguladores e legisladores têm trabalhado com empresas para definir estruturas e padrões de autorregulamentação, a fim de garantir a proteção responsável da privacidade do consumidor. O resultado é que os princípios federais de privacidade estão mais focados nas implicações práticas para a implementação de políticas e proteções de privacidade. Em contrapartida, a PIPEDA (Lei de Proteção de Informações Pessoais e Documentos Eletrônicos) do Canadá enfatiza os princípios operacionais e se aproxima mais da abordagem abrangente da UE ao direito do cidadão à privacidade.
a Lei de Privacidade se aplica a agências federais: estabelece um Código de Práticas Justas de Informação que rege a coleta, manutenção, uso e disseminação de informações pessoalmente identificáveis sobre indivíduos que são mantidas em sistemas de registros por agências federais.
O 10 Princípios de Privacidade da PIPEDA
5 Limitação de uso, divulgação e retenção
6 Precisão
8 Abertura
Princípios de Privacidade Australianos
APP 1 — Gestão aberta e transparente de informações pessoais
APP 2 — Anonimato e pseudonimato
APP 3 — Coleta de informações pessoais solicitadas
APP 4 — Lidando com informações pessoais não solicitadas
APP 5 — Notificação da coleta de informações pessoais
APP 6 — Uso ou divulgação de informações pessoais
APP 7 — Marketing direto
APP 8 — Divulgação transfronteiriça de informações pessoais
APP 9 — Adoção, uso ou divulgação de identificadores relacionados ao governo
APP 10 — Qualidade das informações pessoais
APP 11 — Segurança de informações pessoais
APP 12 — Acesso a informações pessoais
APP 13 — Correção de informações pessoais
Ainda assim, embora os princípios possam divergir, a influência do GDPR da UE faz com que as tendências de regulamentação global estejam se unindo em torno de um conjunto de requisitos e considerações comuns:
● Escolha e Consentimento
● Segurança para Proteção de Dados
● Acesso a dados
● Requisitos de Notificação
● Retenção de Dados
● Direito ao Esquecimento
● Divulgação a terceiros
● Responsáveis pela Proteção de Dados
● Transferências transfronteiriças
No entanto, a extensão em que os requisitos são explicitados apresenta uma ampla divergência. Por exemplo, mesmo no contexto do GDPR, a exigência de um encarregado da proteção de dados só é obrigatória quando a organização é uma autoridade pública, realiza "monitoramento sistemático em larga escala" ou "processamento em larga escala de dados pessoais sensíveis". De acordo com a PDPA (Lei de Proteção de Dados Pessoais) de Singapura, cabe à organização decidir se deve nomear um DPO em tempo integral ou transferir a função para outra responsabilidade.
Da mesma forma, a PIPEDA estipula que os dados pessoais devem ser retidos “enquanto forem necessários para cumprir as finalidades pretendidas”, e não por um período de tempo específico.
Então, como uma empresa multinacional gerencia diferentes definições de PII e diferentes requisitos em relação ao acesso do titular, janelas de notificação e rastreabilidade do processamento?
Entrando na mesma página: trazendo a ciência de dados para a privacidade de dados
Já passamos da fase em que não se tratava mais de saber se a privacidade e a proteção de dados deveriam estar na agenda de TI e negócios digitais. A questão, em vez disso, é como conciliar melhor as oportunidades de negócios com um mosaico de requisitos legislativos e regulatórios.
O primeiro passo é o mais óbvio: mapear as operações comerciais para jurisdições de privacidade de dados. É preciso contornar os termos específicos exigidos para atender a requisitos mais rigorosos, como o GDPR da UE ou a PCDA de Singapura. E é importante entender os princípios subjacentes que emolduram a legislação: sejam eles abrangentes, setoriais ou definidos em colaboração com a indústria.
No entanto, a base da proteção da privacidade de dados pessoais depende da aplicação consistente de políticas de privacidade e, mais importante, de informações precisas sobre os dados que estão sendo protegidos. Todos os requisitos regulatórios compartilham a necessidade de saber quais dados você está armazenando, a quem esses dados pertencem, onde estão localizados, quem os acessa, qual consentimento foi aprovado para esses dados e onde estão sendo usados. Sem esse conhecimento fundamental, é impossível determinar com precisão se uma organização está em conformidade com uma regulamentação específica. Também é impossível governar esses dados. Sem informações, não há controle. Sem controle, o risco de penalidades e até mesmo de violações aumenta.
por @stavvmc e @dimitrisirota
Autor
