A última Data Privacy Week apresentou insights de especialistas e destacou as questões de privacidade que provavelmente mais preocuparão reguladores e equipes de privacidade em 2023.
Entre as questões mais urgentes em 2023, as seguintes causarão impacto:
1 – Dados Sensíveis
Tornando-se mais rigoroso e mais amplo
O uso de biometria (como impressões digitais e reconhecimento facial), Dados de saúde e a geolocalização para fins de identificação e segurança está se tornando mais prevalente em vários setores, incluindo financiar, assistência médica, e aplicação da lei.
Essas tecnologias têm o potencial de melhorar a segurança e a conveniência, mas também levantam preocupações significativas com a privacidade. Em resposta a essas preocupações, governos em todo o mundo estão implementando regulamentações e leis mais rígidas para reger o uso de dados biométricos, de saúde e de informações de geolocalização.
Estamos observando medidas mais rigorosas, regulamentações mais precisas e um número maior de projetos de lei. Portanto, em 2023, podemos esperar mais esforços para controlar a coleta, o armazenamento e o uso desses dados, bem como para proteger os direitos de privacidade dos indivíduos.
2 – Dados de crianças
Fique por dentro da COPPA
Lei de Proteção à Privacidade Online de Crianças é uma lei federal nos Estados Unidos que regulamenta a coleta de informações pessoais de crianças menores de 13 anos — e isso está ganhando força!
A execução de COPPA vem aumentando nos últimos anos, com multas pesadas sendo impostas às empresas que violam a lei, como a Multa de $170 milhões emitido ao Google pela FTC.
Além da COPPA, a Califórnia também introduziu a Código de design apropriado para a idade, que deve entrar em vigor em 2024. Essa lei exige que as empresas implementem medidas específicas de proteção de dados quando souberem que seus serviços provavelmente serão acessados por crianças menores de 18 anos.
Isso inclui fornecer políticas de privacidade fáceis de entender para as crianças, obter consentimento parental verificável antes de coletar informações pessoais e fornecer uma maneira para os pais revisarem e excluírem as informações pessoais de seus filhos. Como resultado, podemos esperar ver mais projetos de lei sendo apresentados em 2023, com o objetivo de proteger a privacidade das crianças online.
Esses projetos de lei podem incluir gatilhos como "provavelmente acessado por uma criança menor de 18 anos" para garantir que as empresas implementem medidas de proteção de dados adequadas quando crianças utilizam seus serviços. As leis também visam garantir que os dados pessoais de crianças não sejam utilizados indevidamente pelas empresas que os coletam.
3 – Dados do Funcionário
Os direitos dos funcionários sobre os dados estão ganhando força na legislação estadual
Na Califórnia, os funcionários recebem direitos específicos como consumidores, e outros estados estão seguindo o exemplo implementando leis que protegem os dados dos funcionários em diversas áreas, como o uso de IA no local de trabalho e o acesso a contas pessoais.
No entanto, é crucial estar ciente dos possíveis usos não intencionais de dados de funcionários e tomar as medidas necessárias para proteger informações confidenciais e evitar o uso ilegal delas, como a venda de dados de funcionários.
As empresas devem garantir que estejam em conformidade com essas leis e implementar medidas de segurança robustas para proteger os dados dos funcionários.
Informar ativamente os funcionários
Além disso, os funcionários devem ser informados sobre seus direitos e como seus dados estão sendo coletados, usados e armazenados pela empresa.
Isso inclui transparência sobre quais dados estão sendo coletados e por quê, bem como o direito dos funcionários de acessar, corrigir e excluir seus dados pessoais.
4 – Minimização de Dados
Minimize os dados, maximize a privacidade
A minimização de dados é uma preocupação crescente entre reguladores nos EUA e na Europa.
A FTC tomou medidas contra empresas como CafePress e Chuvoso por não seguir práticas de minimização de dados, o que poderia ter reduzido significativamente o impacto do violações que sofreram (1) (2).
Retire agora, notifique e escolha depois?
Pense novamente.
Até 34 procuradores-gerais estaduais concordaram que a abordagem de coletar informações agora e fornecer notificações e opções posteriormente não é mais aceitável. Este foi o caso da JUUL Labs — a fabricante da popular marca de cigarros eletrônicos foi acusada de violar diversas leis de privacidade de dados, especificamente, "A coleta de informações pessoais de seus clientes, incluindo seus nomes, endereços e datas de nascimento, sem a obtenção do devido consentimento".
Além disso, a JUUL foi acusada de usar esses dados para direcionar campanhas de marketing a jovens, apesar de os produtos da empresa serem destinados apenas a adultos maiores de 21 anos.
5 – Divulgação e Padrões Obscuros
A conformidade com a sua privacidade online está em risco devido a padrões obscuros?
Os reguladores de ambos os lados do Atlântico estão se concentrando em melhorar a transparência nas divulgações online e proteger os consumidores de “padrões obscuros”.
Espere um minuto, o que exatamente são “padrões escuros”?
Padrões escuros são interfaces de usuário projetadas para enganar ou induzir os usuários a fazer certas escolhas ou compartilhar informações pessoais sem sua total compreensão ou consentimento.
Alguns exemplos de padrões obscuros incluem o uso de "pode" em vez de "irá" para fazer com que uma solicitação pareça menos definitiva, o uso de listas com marcadores para ocultar informações importantes e a criação de experiências enganosas para o usuário, que dificultam a compreensão das implicações de suas escolhas.
Aprenda como identificar e evitar essas armadilhas em sua experiência online
Para evitar padrões obscuros de privacidade, é importante estar ciente das práticas comuns usadas para manipular indivíduos para que compartilhem suas informações pessoais ou concordem com termos que eles podem não entender completamente.
Alguns exemplos desses métodos incluem:
- Tornando difícil encontrar ou entender a opção de exclusão
- Pré-selecionar opções que favoreçam os interesses da empresa em detrimento dos do usuário
- Usar linguagem difícil de entender ou enganosa
- Disfarçar o verdadeiro propósito de uma solicitação de informações pessoais
Os reguladores estão trabalhando para garantir que essas práticas não sejam usadas para enganar os consumidores e fornecer a eles as informações necessárias para tomar decisões informadas sobre suas informações pessoais.
6 – Consent
O consentimento no estilo GDPR veio para ficar
As leis de privacidade estaduais atuais, bem como novas propostas, estão adotando o consentimento no estilo GDPR (que exige consentimento específico, dado livremente, informado e inequívoco).
Isso significa que as empresas não podem mais condicionar o uso de seus serviços à coleta e ao uso de dados que não sejam necessários para a prestação do serviço.
Em vez disso, as empresas agora precisam obter uma autorização explícita dos indivíduos para o uso de seus dados pessoais.
Isso representa uma mudança significativa na maneira como as empresas devem abordar a privacidade de dados e exigirá uma mudança em suas práticas comerciais.
7 – Indo além da “Divulgação”
Alinhamento com as "expectativas do consumidor"
A expectativa do consumidor e a especificação da finalidade são aspectos essenciais das regulamentações de privacidade e estão intimamente ligadas ao conceito de divulgação. No entanto, vão além de simplesmente informar os consumidores sobre como suas informações pessoais serão usadas.
Envolve também garantir que os usos secundários de informações pessoais sejam compatíveis com as expectativas do consumidor. Isso significa que as empresas devem alinhar o uso de informações pessoais com o que os consumidores razoavelmente esperariam.
Não abuse de um uso secundário
A Comissão de Proteção de Dados da Irlanda tomou medidas no sentido de Casos meta, onde foi constatado que empresas estavam utilizando informações pessoais para finalidades que não estavam alinhadas às expectativas dos consumidores.
Da mesma forma, a Lei de Privacidade da Califórnia tem uma lista detalhada de regulamentações que regem a compatibilidade de usos secundários de informações pessoais.
É importante observar que os consumidores têm o direito de saber como suas informações pessoais estão sendo usadas e de esperar que elas sejam usadas de uma forma compatível com suas expectativas.
As empresas devem ser transparentes sobre suas políticas de coleta e uso de dados e não devem usar informações pessoais para nenhuma finalidade inesperada ou indesejada.
8 – IA
A aplicação da IA está em ascensão
Ainda na fase de proposta, a proposta da UE Lei da IA espera-se que estabeleça o padrão para a regulamentação da IA na UE e possa ter um impacto significativo na forma como a IA é desenvolvida e usada em todo o continente.
França, Holanda e Noruega
Estão sendo formadas forças-tarefa na França e na Holanda:
- Na França, a força-tarefa é chamada de “Conselho Nacional de IA” e será responsável por criar uma estrutura legal para o desenvolvimento e uso da IA.
- Na Holanda, a “Coalizão de IA” se concentrará em garantir que a IA seja desenvolvida e usada de maneira responsável e ética.
- Espera-se que ambas as forças-tarefa trabalhem em estreita colaboração com a indústria, a academia e o governo para desenvolver regulamentações e diretrizes para o uso seguro e responsável da IA.
A Noruega publicou uma lei sobre IA em transparência. A proposta de lei adota uma abordagem baseada em risco para o uso de IA, aplicando diferentes níveis de requisitos com base no risco associado ao uso específico do sistema de IA em questão.
Nova York e Nova Jersey
Ambos os estados introduziram contas para regulamentar a IA no processo de contratação. Esses projetos de lei visam abordar preocupações sobre o potencial de viés e discriminação no uso de ferramentas de contratação baseadas em IA, bem como garantir transparência e responsabilização no uso dessas tecnologias — protegendo os candidatos a emprego contra discriminação e viés.
9 – Avaliações de Risco, DPIAs
Comece agora e repita depois
É importante começar a conduzir uma Avaliação de Impacto à Proteção de Dados (DPIA) o mais rápido possível, mesmo que as regulamentações para isso ainda não estejam em vigor.
Embora a CPRA atualmente não tenha regulamentações para DPIAs, O Colorado tem projetos de regulamentação.
É melhor começar a trabalhar em um DPIA agora e fazer ajustes conforme as regulamentações evoluem.
10 – Cruzando Fronteiras
Ainda não está livre
É importante rever a Princípios da Estrutura de Privacidade de Dados UE-EUA para garantir a conformidade e compreender as etapas necessárias para a certificação ou recertificação, independentemente da Caso Schrems.
Aqui em BigID, monitoraremos de perto esses desafios contínuos à medida que continuamos a ajudar as organizações a se adaptarem ao cenário de privacidade de dados em constante mudança.
Enquanto isso – veja BigID em açãoe agende uma demonstração para falar com nossos especialistas em privacidade que ajudarão você a atender aos requisitos de privacidade de dados, proteger informações altamente confidenciais e continuar a construir a confiança do consumidor.
Autores Colaboradores:
Shiko Genossar, Gerente Sênior de Produtos
Heather Federman, Diretora de Privacidade
Tomer Elias, Diretor de Gestão de Produtos
Autor
