A última Semana de Privacidade de Dados apresentou as perspectivas de especialistas e destacou as questões de privacidade que provavelmente mais preocuparão os reguladores e as equipes de privacidade em 2023.
Entre as questões mais prementes em 2023, as seguintes causarão grande impacto:
1 – Dados Sensíveis
Tornando-se mais rigoroso e mais abrangente.
O uso de biometria (como impressões digitais e reconhecimento facial), Dados de saúde A geolocalização para fins de identificação e segurança está se tornando cada vez mais comum em diversos setores, incluindo... financiar, assistência médicae aplicação da lei.
Essas tecnologias têm o potencial de melhorar a segurança e a conveniência, mas também levantam preocupações significativas com a privacidade. Em resposta a essas preocupações, governos em todo o mundo estão introduzindo regulamentações e leis mais rigorosas para governar o uso de dados biométricos, dados de saúde e informações de geolocalização.
Estamos observando medidas mais rigorosas, regulamentações mais exatas e um número maior de projetos de lei. Portanto, em 2023, podemos esperar mais esforços para controlar a coleta, o armazenamento e o uso desses dados, bem como para proteger os direitos de privacidade dos indivíduos.
2 – Dados das Crianças
Fique por dentro da COPPA
Lei de Proteção da Privacidade Online das Crianças É uma lei federal nos Estados Unidos que regulamenta a coleta de informações pessoais de crianças menores de 13 anos — e está se espalhando rapidamente!
A aplicação de COPPA tem aumentado nos últimos anos, com multas elevadas sendo impostas a empresas que violam a lei, como a Multa de 170 milhões de $ emitida ao Google pela FTC.
Além da COPPA, a Califórnia também introduziu a Código de design apropriado para a idade, que entrará em vigor em 2024. Esta lei exige que as empresas implementem medidas específicas de proteção de dados quando souberem que seus serviços provavelmente serão acessados por crianças menores de 18 anos.
Isso inclui fornecer políticas de privacidade fáceis de entender para as crianças, obter o consentimento verificável dos pais antes de coletar informações pessoais e oferecer aos pais uma maneira de revisar e excluir as informações pessoais de seus filhos. Como resultado, podemos esperar a apresentação de mais projetos de lei em 2023, com o objetivo de proteger a privacidade das crianças online.
Esses projetos de lei podem incluir gatilhos como "provavelmente será acessado por uma criança menor de 18 anos" para garantir que as empresas estejam implementando medidas adequadas de proteção de dados quando crianças estiverem usando seus serviços. As leis também terão como objetivo garantir que os dados pessoais das crianças não sejam usados indevidamente pelas empresas que os coletam.
3 – Dados dos Funcionários
Os direitos dos funcionários em relação aos seus dados estão ganhando força na legislação estadual.
Na Califórnia, os funcionários têm direitos específicos como consumidores, e outros estados estão seguindo o exemplo, implementando leis que protegem os dados dos funcionários em diversas áreas, como o uso de IA no ambiente de trabalho e o acesso a contas pessoais.
No entanto, é crucial estar ciente dos possíveis usos não intencionais dos dados dos funcionários e tomar as medidas necessárias para proteger informações sensíveis e evitar seu uso ilegal — como a venda desses dados.
As empresas devem garantir que estejam em conformidade com essas leis e implementar medidas de segurança robustas para proteger os dados dos funcionários.
Informar ativamente os funcionários
Além disso, os funcionários devem ser informados sobre seus direitos e sobre como seus dados estão sendo coletados, usados e armazenados pela empresa.
Isso inclui transparência sobre quais dados estão sendo coletados e por quê., assim como o Direito dos funcionários de acessar, corrigir e excluir seus dados pessoais.
4 – Minimização de Dados
Minimize os dados, maximize a privacidade.
A minimização de dados é uma preocupação crescente entre os órgãos reguladores nos EUA e na Europa.
A FTC tomou medidas contra empresas como CafePress e Drizly por não seguirem as práticas de minimização de dados, o que poderia ter reduzido significativamente o impacto do violações que sofreram (1) (2).
Recolha agora, notifique e escolha mais tarde?
Pense novamente.
Até 34 procuradores-gerais estaduais Concordamos que a abordagem de coletar informações agora e fornecer notificações e opções posteriormente não é mais aceitável. Este foi o caso da JUUL Labs — a fabricante da popular marca de cigarros eletrônicos foi acusada de violar diversas leis de privacidade de dados, especificamente, “a coleta de informações pessoais de seus clientes, incluindo nomes, endereços e datas de nascimento, sem obter o devido consentimento”.
Além disso, a JUUL foi acusada de usar esses dados para direcionar campanhas de marketing a jovens, apesar de os produtos da empresa serem destinados apenas a adultos com mais de 21 anos.
5 – Revelação e Padrões Obscuros
Sua conformidade com a privacidade online está em risco devido a práticas antiéticas?
Órgãos reguladores de ambos os lados do Atlântico estão se concentrando em melhorar a transparência nas divulgações online e em proteger os consumidores de "padrões obscuros".
Espere um minuto, o que exatamente são "padrões obscuros"?
Os padrões obscuros são interfaces de usuário projetadas para enganar ou induzir os usuários ao erro, levando-os a fazer determinadas escolhas ou a compartilhar informações pessoais sem seu pleno conhecimento ou consentimento.
Alguns exemplos de padrões obscuros incluem o uso de "pode" em vez de "irá" para fazer com que uma solicitação pareça menos definitiva, o uso de listas com marcadores para ocultar informações importantes e a criação de experiências de usuário enganosas que dificultam a compreensão das implicações das escolhas dos usuários.
Aprenda a identificar e evitar essas armadilhas em sua experiência online.
Para evitar práticas obscuras em relação à privacidade, é importante estar ciente das práticas comuns usadas para manipular indivíduos a compartilhar suas informações pessoais ou a concordar com termos que talvez não compreendam totalmente.
Alguns exemplos desses métodos incluem:
- Dificultando a localização ou compreensão da opção de desativação.
- Pré-selecionar opções que priorizam os interesses da empresa em detrimento dos do usuário.
- Usar linguagem difícil de entender ou enganosa
- Disfarçar o verdadeiro propósito de uma solicitação de informações pessoais.
Os órgãos reguladores estão trabalhando para garantir que essas práticas não sejam usadas para enganar os consumidores e para fornecer a eles as informações necessárias para que tomem decisões conscientes sobre seus dados pessoais.
6 – Consent
O consentimento ao estilo do RGPD veio para ficar.
As leis de privacidade estaduais atuais, bem como novas propostas, estão adotando o consentimento no estilo do GDPR (que exige consentimento específico, livre, informado e inequívoco).
Isso significa que as empresas não podem mais condicionar o uso de seus serviços à coleta e ao uso de dados que não sejam necessários para a prestação do serviço.
Em vez disso, agora as empresas precisam obter o consentimento explícito dos indivíduos para o uso de seus dados pessoais.
Isso representa uma mudança significativa na forma como as empresas devem abordar a privacidade de dados e exigirá uma alteração em suas práticas comerciais.
7 – Indo além da 'Divulgação'
Alinhando-se às 'expectativas do consumidor'
A especificação das expectativas e finalidades do consumidor é um aspecto essencial das normas de privacidade e está intimamente ligada ao conceito de divulgação. No entanto, vai além de simplesmente informar os consumidores sobre como suas informações pessoais serão utilizadas.
Isso também envolve garantir que os usos secundários de informações pessoais sejam compatíveis com as expectativas do consumidor. Isso significa que as empresas devem alinhar o uso de informações pessoais com o que os consumidores razoavelmente esperariam.
Não faça mau uso de um recurso de uso secundário.
A Comissão de Proteção de Dados da Irlanda tomou medidas no âmbito da Casos Meta, onde se descobriu que as empresas estavam usando informações pessoais para fins que não estavam alinhados com as expectativas do consumidor.
Da mesma forma, a Lei de Privacidade da Califórnia possui uma lista detalhada de regulamentos que regem a compatibilidade dos usos secundários de informações pessoais.
É importante ressaltar que os consumidores têm o direito de saber como suas informações pessoais estão sendo usadas e de esperar que sejam usadas de maneira compatível com suas expectativas.
As empresas devem ser transparentes quanto às suas políticas de coleta e uso de dados e não devem usar informações pessoais para qualquer finalidade inesperada ou indesejada.
8 – IA
A aplicação da lei por IA está em ascensão.
Embora ainda esteja em fase de proposta, a UE Lei de IA Espera-se que estabeleça o padrão para a regulamentação da IA na UE e poderá ter um impacto significativo na forma como a IA é desenvolvida e utilizada em todo o continente.
França, Países Baixos e Noruega
Estão sendo formados grupos de trabalho na França e na Holanda:
- Na França, o grupo de trabalho se chama "Conselho Nacional de IA" e será responsável por criar um arcabouço legal para o desenvolvimento e uso da IA.
- Nos Países Baixos, a “Coligação de IA” terá como foco garantir que a IA seja desenvolvida e utilizada de forma responsável e ética.
- Espera-se que ambas as forças-tarefa trabalhem em estreita colaboração com a indústria, a academia e o governo para desenvolver regulamentos e diretrizes para o uso seguro e responsável da IA.
A Noruega publicou uma lei sobre IA e transparência. A lei proposta adota uma abordagem baseada em riscos para o uso da IA, aplicando diferentes níveis de requisitos de acordo com o risco associado ao uso específico do sistema de IA em questão.
Nova Iorque e Nova Jersey
Ambos os estados introduziram contas Regulamentar a IA no processo de recrutamento. Esses projetos de lei visam abordar as preocupações sobre o potencial de viés e discriminação no uso de ferramentas de recrutamento baseadas em IA, bem como garantir transparência e responsabilidade no uso dessas tecnologias — protegendo os candidatos a emprego contra discriminação e preconceito.
9 – Avaliações de Risco, DPIAs
Comece agora, itere mais tarde.
É importante começar a realizar um Avaliação de Impacto sobre a Proteção de Dados (AIPD) o mais breve possível, mesmo que ainda não existam regulamentações para tal.
Embora a CPRA atualmente não possua regulamentações para DPIAs, O Colorado possui um projeto de regulamentação.
É melhor começar a trabalhar em uma DPIA agora e fazer ajustes conforme as regulamentações evoluem.
10 – Cruzar Fronteiras
Ainda não está livre de problemas.
É importante revisar o Princípios do Quadro de Proteção de Dados UE-EUA para garantir a conformidade e compreender os passos necessários para a certificação ou recertificação, independentemente do Caso Schrems.
Aqui em BigIDAcompanharemos de perto esses desafios contínuos, enquanto seguimos ajudando as organizações a se adaptarem ao cenário de privacidade de dados em constante mudança.
Entretanto – veja BigID em ação, e Agende uma demonstração para conversar com nossos especialistas em privacidade. Isso ajudará você a cumprir os requisitos de privacidade de dados, proteger informações altamente confidenciais e continuar a construir a confiança do consumidor.
Autores Colaboradores:
Shiko Genossar, Gerente Sênior de Produto
Heather Federman, Diretora de Privacidade
Tomer Elias, Diretor de Gestão de Produtos
Autor
