Foco 4: processamento de dados e responsabilidades pessoais

O que acontece se comprarmos um produto em um site de comércio eletrônico e no dia seguinte percebermos que nosso cartão de crédito está sem crédito? Como nossas preferências e, portanto, nossos dados são gerenciados quando concordamos em navegar em um site ou blog? E novamente: a quem realmente confiamos informações pessoais após o preenchimento de um formulário de contato? Tentaremos responder a essas e outras perguntas nesta quarta e último insight dedicado à segurança da informação na era digital. Sim, porque o processamento de dados anda de mãos dadas com as responsabilidades pessoais dos administradores do site, ou seja, as pessoas que possuem um site ou um projeto digital. A situação sempre foi fragmentada, pelo menos até alguns anos atrás. A mudança de época veio em 2018, com o advento da Regulamento Geral de Proteção de Dados, Também conhecido como RGPD. Vamos começar a partir deste ponto e ver como configurar uma política de gerenciamento de dados de maneira profissional.

O RGPD EUROPEU E O ESCOPO DE APLICAÇÃO REAL

Impossível nunca ter ouvido falar do Regulamento Geral de Proteção de Dados, oficialmente regulamento (UE) n. 2016/679. Em vigor há dois anos, o RGPD marcou o início de uma nova era, elevando o nível de proteção dos utilizadores no que diz respeito ao tratamento de dados pessoais por sites, blogs, ecommerce e espaços virtuais em geral (fóruns, páginas de destino, plataformas de streaming de vídeo, motores de busca, etc.). Falar em poucas linhas deste instrumento legislativo sem limites e em parte ambíguo é uma missão impossível, não deixa de ser nosso dever fornecer algumas orientações úteis para lançar luz sobre uma questão tão vasta e complexa. Primeiro, vamos ver os destaques do GDPR, porém, procuremos entender qual é o seu real escopo de aplicação.

Quais países são afetados pelo GDPR?

Cada país em que opera uma organização que se dirige a cidadãos da UE através da web e processa determinados dados pessoais é um país em que o RGPD tem o direito de se aplicar. Esta é a conclusão a que se chega ao somar as áreas especificadas pelo GDPR. Daqui se deduz que praticamente todas as empresas e profissionais que se relacionam com a União Europeia, desde a Suíça aos Estados Unidos da América e muitas outras, devem cumprir o regulamento. Para mais informações sobre isso, recomendamos a leitura este guia completo para o RGPD.

Supondo que o GDPR tenha valor legal na Suíça, assim como no restante da Europa, vejamos ponto a ponto i principais aspectos a ter em conta interpretar o regulamento corretamente e aplicá-lo em conformidade.

• cada usuário que visita seu site deve confirmar seu consentimento para o processamento de dados. O consentimento deve ser livre, específico, informado e revogável a qualquer momento
• na falta de consentimento assume-se que os dados NÃO serão recolhidos ou que a visita ao site será impedida
• os consentimentos devem ser arquivados e memorizados, para que possam ser sempre encontrados por quaisquer agentes e autoridades estatais
• o registo de consentimento deve conter uma série de informações essenciais, como o momento em que o consentimento foi dado
• o consentimento não é a única base legal possível, mas uma das 6 fornecidas pelo GDPR. No entanto, em muitas situações e para muitos negócios, o consenso continua sendo o caminho mais fácil

A DIRETIVA DE PRIVACIDADE (LEI DE COOKIES)

O RGPD não é a única referência a observar. A Diretiva 2009/136/EC (também conhecida como Diretiva ePrivacy) é a segunda ferramenta fundamental para o gerenciamento correto de dados pessoais. legislação específica as regras para o uso de cookies de terceiros dentro do seu próprio espaço virtual, ou melhor, os requisitos que permitem a ativação de cookies na primeira visita de um novo usuário. Novamente, o princípio é baseado na proteção máxima, oferecendo ao usuário a opção total de recusar o acesso de cookies aos seus dados com um simples clique. Como veremos no último parágrafo, o administrador e, portanto, o gerente do site deve fornecer ao usuário um sistema, normalmente um banner, para aceitar ou recusar o acesso de cookies.

Alguns cookies estão isentos desse tipo de consentimento, mas é muito provável que um site de demonstração de negócios hospede pelo menos um token digital ou cookie. A política de privacidade deve ser informada em um documento específico, e isso também se aplica à política de cookies. Neste momento está em discussão a diretiva ePrivacy, ou lei dos cookies, porque as intenções dos legisladores visam a transição para o que será o ePrivacy Regulation, operando em concertação com o RGPD. Com toda a probabilidade, no entanto, não haverá mudanças significativas nas disposições, por isso é bom já se adequar e chegar preparado para a aprovação do regulamento, que deve ser oficializado dentro de alguns anos.

A LEI DE PRIVACIDADE DO CONSUMIDOR DA CALIFÓRNIA (CCPA)

A Lei de Privacidade do Consumidor da Califórnia entrou em vigor em 1º de julho de 2020, uma das formas de proteção mais estruturadas atualmente aprovadas nos Estados Unidos, bem como diretriz de linha de base para cada estado dos EUA fora da Califórnia. Assim como na Europa com o GDPR, o CCPA também tem enormes repercussões nos EUA, como ir além das fronteiras do próprio país. Embora não seja tão restritivo, o CCPA também pode ter um impacto real em seus negócios na Suíça ou em qualquer outro país. As condições que você deve atender, além de se dirigir aos cidadãos da Califórnia, incluem:

• ter vendas brutas anuais superiores a $ 25 milhões; ou
• ter pelo menos 50% do seu volume de negócios proveniente da venda de dados pessoais

ou

• comprar, receber, vender ou compartilhar as informações pessoais de 50.000 ou mais consumidores a cada ano para fins comerciais.

Difícil? Não exatamente. Como os endereços IP são dados pessoais, é provável que qualquer site que em um ano, obtenha da Califórnia mais de 50.000 visitantes únicos estão dentro do escopo da CCPA. Este é apenas um exemplo de como a globalização, também e sobretudo a tecnologia da informação, criou conexões e interdependências entre as legislações nacionais.

COMO CUMPRIR AS DIRETIVAS DE DADOS

À luz do que foi escrito até agora, a adaptação às diretivas nacionais, europeias e internacionais certamente não é uma tarefa acessível sem o uso de ferramentas adequadas. Não é por acaso que eles foram desenvolvidos nos últimos anos plataformas inteiras projetadas para gerenciar obrigações do RGPD (e não só) com uma abordagem rápida, prática e parcialmente automática. Ao administrador do site, ou seja, o dono da organização, o web master ou a agência que segue o projeto, basta-lhe registar-se nestas plataformas e preencher os dados solicitados pelo sistema (dono dos dados, url do site, etc). Neste ponto, o software e o plug-in relacionado mostrarão aos usuários o banner que resume os termos e condições de rastreamento de dados e ativação de cookies.

As mesmas plataformas, pelo menos as mais famosas, são capazes de gerar documentos de política de privacidade, políticas de cookies e quaisquer termos e condições, com um texto pré-formatado que você só precisa preencher e personalizar conforme necessário. Entre os nomes das plataformas de maior sucesso, mencionamos sem ordem particular o italiano Iubenda, o americano Quantcast ou o dinamarquês Cookiebot, cada um especializado em um regulamento ou conjunto de regulamentos. As soluções fornecidas são gratuitas mas neste caso eles têm funcionalidade limitada. Nós da Innovando, portanto, recomendamos a escolha do plano que melhor corresponda ao porte e métodos eficazes de coleta de dados da organização, evitando assim qualquer hipótese de crime. Você não mexe com os dados do usuário, até porque as penalidades, em caso de descumprimento, eles podem ser muito, muito salgados.

Esperamos ter fornecido todas as informações necessárias. Se não, entre em contato conosco sem compromisso para um aconselhamento gratuito e personalizado sobre proteção de dados.