Privacidade de dados: o custo de errar

Publicados: 2022-10-12

Quando o Regulamento Geral de Proteção de Dados da Europa (GDPR) entrou em vigor em maio de 2018, estabeleceu uma base para uma nova geração de leis de privacidade de dados que oferecem maior proteção aos consumidores. Princípios fundamentais, como consentimento inequívoco, minimização de dados, limitação de finalidade e o direito de se opor, efetivamente transformaram as melhores práticas de dados estabelecidas em lei.

Desde então, a legislação de privacidade no estilo GDPR foi adotada em todo o mundo. A CCPA da Califórnia deu o pontapé inicial nos EUA, com muitos outros estados seguindo (Colorado, Connecticut, Utah e Virgínia) ou em processo de seguir (Michigan, Nova Jersey, Ohio e Pensilvânia). Em todo o mundo, também vimos a introdução da LGPD no Brasil e da PIPL na China, para citar apenas duas.

Um desafio agora enfrentado pelos controladores e processadores de dados é a ambiguidade. Ou seja, o que realmente significam as cláusulas-chave desses novos atos legislativos? Muitas vezes, eles precisam ser testados em tribunais para esclarecer sua verdadeira intenção e estabelecer um precedente legal. Isso está acontecendo agora na Europa, e os profissionais de outros lugares podem aprender com esses casos e aplicar os resultados antes que eles entrem em conflito com eles em seus próprios países.

A Europa está reprimindo a privacidade de dados

Os reguladores europeus definitivamente mostraram seus dentes em 2022.

A Clearview AI, uma empresa de reconhecimento facial, foi multada em € 20 milhões pela agência de proteção de dados da Itália e mais € 9 milhões pelo Information Commissioner's Office (ICO) do Reino Unido por processamento ilegal de dados pessoais biométricos e de geolocalização.

O regulador irlandês impôs € 17 milhões à Meta (Facebook) por não ter implementado medidas técnicas e organizacionais apropriadas.

Na Espanha, o Google foi multado em € 10 milhões por forçar os usuários a aceitar a transferência de solicitações de remoção de conteúdo para terceiros.

Mais recentemente, como resultado de não proteger a privacidade das crianças ao usar a plataforma, o TikTok pode enfrentar uma multa de £ 27 milhões após uma possível violação das leis de proteção de dados do Reino Unido.

Um tema comum nesses casos são os princípios fundamentais de “legalidade, justiça e transparência”, o que significa que as empresas devem ser claras com os indivíduos sobre como seus dados pessoais serão processados ​​e que uma base legal apropriada foi estabelecida para isso.

No Reino Unido, a ação de fiscalização em 2022 se concentrou principalmente no envio não autorizado de mensagens de marketing. Novas leis de privacidade de dados, como o GDPR, exigem uma base legal – normalmente consentimento ou interesse legítimo – para o processamento de dados pessoais, o que inclui atividades de marketing.

Casos recentes* mostram que esse requisito ainda não é claramente entendido (ou é intencionalmente ignorado!):

  • Finance Giant Ltd ( £ 60.000 ): Instigou o envio de um total confirmado de 505.759 mensagens de marketing direto não solicitadas.
  • Bizfella Limited ( £ 30.000 ): Instigou o envio de 224.550 mensagens SMS de marketing direto não solicitadas.
  • H&L Business Consulting Limited ( £ 80.000 ): Instigou o envio de 451.705 mensagens SMS não solicitadas para fins de marketing direto.

*Os leitores podem obter os textos completos de todos os julgamentos no site da OIC e também podem se inscrever para receber o boletim informativo “Enforcement Actions” da OIC.

Os consumidores querem saber como seus dados estão sendo usados

Um tema importante que permeia todos esses casos (e outros) é que eles foram originalmente trazidos à luz por reclamações de consumidores. Os consumidores agora têm uma maior compreensão de seus direitos de privacidade de dados e estão preparados para exercer esses direitos se acreditarem que seus dados pessoais estão sendo usados ​​indevidamente.

Ao lidar com dados do consumidor, é importante lembrar:

  • O consentimento válido exige que os indivíduos tenham escolha e controle reais.
  • Os indivíduos devem ser explicitamente informados de que receberão mensagens de marketing.
  • O consentimento deve ser separado de outras políticas de privacidade e/ou termos e condições dos remetentes.
  • O consentimento indireto só pode ser válido se for suficientemente claro e específico.
  • Deve haver um meio simples para os indivíduos recusarem o uso de seus detalhes de contato.

Algumas empresas caíram em outras armadilhas de privacidade

Após uma migração para um novo sistema de CRM, a Reed Online agendou inadvertidamente e-mails de marketing para clientes que haviam sido cancelados/suprimidos anteriormente.

A Tuckers Solicitors sofreu um ataque de ransomware, resultando em uma violação de dados pessoais. A ICO decidiu que a falha da empresa em implementar medidas técnicas e organizacionais apropriadas a tornou vulnerável a ataques.

O Gabinete do governo do Reino Unido divulgou os endereços postais dos destinatários do Ano Novo de 2020 on-line – uma falha em impedir a divulgação não autorizada de informações das pessoas.

Muitos incidentes de privacidade de dados não chegam às manchetes

Embora as violações de alto perfil sejam manchetes, muitos incidentes são muito mais mundanos.

A ICO publica um relatório trimestral de segurança de dados, com os mais recentes problemas “não cibernéticos” (ou seja, autoinfligidos), incluindo:

  • Dados enviados por e-mail para destinatário incorreto ( 22% )
  • Acesso não autorizado ( 14 por cento )
  • Dados postados ou enviados por fax para destinatário incorreto ( 13% )
  • Perda/roubo de documentos ou dados deixados em local inseguro ( 8% )
  • Falha na redação ( 6 por cento )

Essas tendências apontam em grande parte para erro humano e/ou treinamento inadequado, e apresentam um argumento convincente em favor da implementação de práticas de “privacidade desde o projeto” onde processos robustos minimizam as oportunidades de não conformidade.

Ainda não estamos vendo as multas de “quatro por cento da receita global” que teoricamente podem ser cobradas, embora não seja para dizer que isso não acontecerá. A multa da British Airways (BA) – conforme proposta – chegou perto antes de ser reduzida por uma série de fatores atenuantes, incluindo o impacto da crise do Covid-19 nas finanças da BA. Embora nenhuma empresa queira lidar com uma violação de privacidade, existem fatores atenuantes que serão considerados se isso acontecer, incluindo:

  • Se foi uma violação pela primeira vez
  • Gravidade da violação
  • Se foi deliberado ou acidental
  • Notificação proativa à autoridade supervisora
  • Ações tomadas para reduzir o impacto sobre os titulares dos dados

Os reguladores geralmente serão mais tolerantes com as empresas que são transparentes sobre o que deu errado, cooperam em auxiliar a investigação e se movem rapidamente para implementar medidas que impeçam uma nova ocorrência.

Este é apenas o começo…

Há muito mais a ser dito sobre este tema. Quer saber mais sobre a legislação de privacidade de dados em todo o mundo? Confira nosso Guia de Leis Globais de Privacidade e Conformidade .

Baixe o Guia