Aprenda a Ganhar Dinheiro do seu Jeito na Internet!

CCPA, GDPR e além: o futuro da legislação sobre privacidade de dados

Estás a ler: CCPA, GDPR e além: o futuro da legislação sobre privacidade de dados

Dados privados

O conceito básico de regular como os dados são armazenados, protegidos e processados ​​não é exclusivo da década passada. Desde inícios como o Data Act da Suécia de 1973 a regulamentos como a Diretiva de Proteção de Dados da Europa de 1995 – um antecessor do Regulamento Geral de Proteção de Dados (GDPR) de 2018 – a privacidade de dados provou ser uma consideração para os consumidores e os órgãos de governo. Avançando para os tempos modernos, a demanda e a implementação da legislação de privacidade de dados estão se espalhando e evoluindo rapidamente, na tentativa de melhor se adaptar à maneira como as tecnologias e os setores de hoje abordam a coleta, uso, armazenamento e proteção de nossos dados pessoais.

Embora o futuro exato da legislação sobre privacidade de dados possa ser especulado apenas, existem tendências e pontos em comum entre as legislações recentes sobre privacidade, como o GDPR da Europa, o CCPA da Califórnia e outras leis relacionadas, como a Carta Digital do Canadá / PIPEDA, que as organizações devem considerar ao criar políticas e práticas que possam suportar melhor os avanços futuros da legislação de privacidade de dados. Uma visão geral do GDPR e do CCPA é fornecida na parte inferior deste artigo para referência.

Temas Principais da Legislação sobre Privacidade de Dados

Embora cada legislação de privacidade de dados seja adaptada às necessidades de seus respectivos contextos, há considerações importantes que os legisladores fizeram no desenvolvimento de sua legislação de privacidade, muitas das quais se sobrepõem a outras legislações de privacidade de dados.

Intenção

Em sua essência, a intenção das leis de privacidade de dados novas e recentemente revisadas é atualizar os padrões existentes para refletir as necessidades modernas de privacidade. Com o rápido aumento do “big data” como uma indústria, consumidores e cidadãos preocupados com a privacidade estão exigindo uma maior agência pessoal sobre como seus dados e identidades estão sendo usados.

Responsabilidade e Transparência

As recentes leis de privacidade exigem um aumento de responsabilidade e transparência em relação ao uso e armazenamento de dados pessoais. As empresas que possuem informações de identificação pessoal (PII) são responsáveis ​​por manter a segurança desses dados, para que somente aqueles que têm acesso aos dados possam acessá-los. Em um contexto moderno, a responsabilidade de proteção de dados inclui medidas de segurança cibernética para impedir violações de dados de ameaças internas e malware (como ransomware) de criminosos cibernéticos, entre outras considerações.

As organizações que exigem a coleta e / ou o uso de dados para operar precisam garantir que eles tenham uma política de privacidade de fácil acesso que divulgue exatamente como eles usam e coletam dados do consumidor.

Além de estarem preparadas para a conformidade com a legislação futura, as organizações que vão além dos padrões estabelecidos na legislação atual se beneficiarão das melhorias na confiança do consumidor que vêm de priorizar a responsabilidade e a transparência dos dados.

Proteção do consumidor

A legislação de privacidade de dados é normalmente projetada para proteger os consumidores, fornecendo a eles direitos adicionais ou reforçados no contexto de seus dados pessoais.

Legislação sobre privacidade de dados e definição de informações pessoalmente identificáveis ​​(PII)

Embora a definição exata de PII varie um pouco de legislação para legislação, é seguro supor que qualquer informação que possa ser viável de forma viável a um determinado indivíduo ou família pode e se enquadra na definição de PII para legislação futura. As PII também costumam ser distinguidas como uma variante “sensível” ou “não sensível”.

À medida que as organizações trabalham para desenvolver padrões e infraestrutura de privacidade de dados preparados para o futuro da legislação sobre privacidade de dados, é importante perceber que “não sensível” não significa “não importante”, pois os dados contidos na categoria “não sensível” ainda são dados do consumidor que justificam cuidadosa consideração e consideração por sua proteção e ainda podem estar vinculados ao consumidor. À medida que a inteligência artificial se torna mais sofisticada e difundida, dados aparentemente não vinculáveis ​​também podem ser vinculados, dependendo dos dados relacionados disponíveis.

Exemplos de PII sensíveis incluem:

  • Nome completo
  • Número de Segurança Social (SSN)
  • Carteira de motorista
  • Endereço de correspondência
  • Informação do cartão de crédito
  • Informações sobre passaporte
  • Informação financeira
  • Registros médicos

Exemplos de PII não sensíveis incluem:

  • Código postal
  • Raça
  • Gênero
  • Data de nascimento (DOB)
  • Local de nascimento
  • Religião

Como se preparar para o futuro da privacidade de dados

Mudando para Soluções Primárias

Atualmente, a responsabilidade das organizações de proteger os dados do consumidor está presente e, com considerações de responsabilidade de falhas de terceiros já existentes no GDPR, é seguro assumir que a legislação futura provavelmente considerará as organizações com culpa por violações e conformidade sem brilho de os terceiros que eles usam.

Para se preparar melhor para o futuro, as organizações precisarão priorizar o uso e desenvolvimento de soluções primárias sempre que possível. Quando uma solução de terceiros deve ser implementada, a organização que usa o terceiro deve considerá-lo uma extensão de sua própria organização e estar preparado para ser o culpado caso esse terceiro não cumpra os padrões de privacidade de dados.

Focado no consentimento

As organizações que coletam e usam dados devem errar bastante ao obter permissão explícita (opt-in) para a coleta e o uso de dados do consumidor, independentemente de serem ou não exigidos no momento. Além do potencial de conformidade, as empresas que usam práticas de adesão se beneficiarão de um grupo principal de consumidores que quer estar lá em vez de ficar sobrecarregado com grandes quantidades de dados de consumidores que não estão tão dispostos a se envolver.

Escreva uma Política de Privacidade

Embora seja altamente improvável que uma determinada organização não possua uma política de privacidade, ela merece ser mencionada aqui. Se sua organização já possui uma política de privacidade, vale a pena revisá-la para ver onde você pode avançar, implementando seções que atualmente não são necessárias. As políticas de privacidade devem estar prontamente acessíveis a qualquer pessoa que solicitar, em um site, normalmente é um link no rodapé.

Auditoria de dados

Se uma organização depende muito dos dados do consumidor, é provável que esta etapa considere incrivelmente muitos recursos. Durante uma auditoria de dados, uma organização precisa determinar exatamente como eles coletam dados, como eles são armazenados e quem controla ou tem acesso aos dados. Como legislações semelhantes à CCPA são desenvolvidas, as organizações também precisarão estar preparadas para identificar exatamente a quem pertence um determinado conjunto de dados, como verificar se o solicitante é quem eles dizem que são e estar preparado para responder em tempo hábil às solicitações de direitos do sujeito (SRR) maneira.

Com relação a ações semelhantes aos SRRs da CCPA, as organizações que se preparam para o futuro devem considerar fortemente um método automatizado para processar essas solicitações. O ônus de analisar dados repetidamente e verificar solicitantes se torna incrivelmente difícil de atender em escala sem recursos significativos.

Minimalismo de Dados

comece a se livrar dos dados pessoais para os quais eles não têm um uso comercial razoável. Eles também precisam localizar todos os repositórios de dados que não estão documentados – pense em DevOps, Shadow IT – bem como cópias de dados pessoais em qualquer lugar em que residam

Para muitas organizações do setor de “big data”, é prática comum simplesmente acumular dados à medida que eles chegam, caso possam ser úteis para insights no futuro. À medida que as regulamentações de privacidade de dados continuam a se desenvolver, as organizações que usam dados devem considerar a prática do “minimalismo de dados” – a prática de apenas processar e armazenar dados que são imediatamente necessários para as operações de negócios e excluir dados depois que eles excederem seu uso imediato.

Documentação proativa

À medida que a prevalência de solicitações de direitos dos sujeitos, auditorias externas e ações judiciais aumenta, uma organização que pratica documentação meticulosa de seus processos, políticas e fornecedores é aquela que estará melhor preparada para o futuro da legislação de privacidade de dados. As organizações devem documentar pesadamente seu inventário de dados, realizar avaliações de privacidade de si mesmas e de terceiros com as quais estão envolvidas e estar preparadas para responder prontamente a demandas específicas em relação aos dados que usam e armazenam.

Legislação existente sobre privacidade de dados

Para começar a criar uma estratégia de conformidade de privacidade de dados que esteja melhor preparada para desenvolvimentos futuros, ajuda a entender o que está atualmente em andamento. Embora não pretenda ser um guia definitivo sobre a legislação existente, uma visão geral da legislação recentemente estabelecida sobre privacidade de dados ajudará a servir de estrutura para o futuro planejamento estratégico de alto nível.

A Lei de Privacidade do Consumidor da Califórnia (CCPA)

  • Data de adoção: 1 de janeiro de 2020
  • Data de execução: O primeiro de seis meses após a publicação dos regulamentos finais ou 1º de julho de 2020
  • Legislação Precedente / Similar: A Constituição da Califórnia, a Lei de Proteção à Privacidade Online da Califórnia (CalOPPA)
  • Execução: Exigida pela Procuradoria Geral da República, opção por ações judiciais de US $ 100 a US $ 750 para cada evento de consumidores individuais. Pena máxima de US $ 7.500 por violações intencionais, multa máxima de US $ 2.500 por violações acidentais.
  • Quem é impactado: O CCPA pode potencialmente se aplicar a qualquer empresa com fins lucrativos ou entidade associada na Califórnia, residindo ou não fisicamente na Califórnia, desde que essa empresa colete e controle o processamento das informações pessoais de um consumidor e atenda a QUALQUER um dos critérios abaixo:
    • Coleta ou vende as informações pessoais de residentes da Califórnia
    • Possui uma receita anual bruta superior a 25 milhões de dólares (US $ 25.000.000)
    • Anualmente compra, recebe, vende ou compartilha as informações pessoais de mais de 50.000 consumidores, famílias ou dispositivos da Califórnia
    • Deriva 50% ou mais de sua receita anual da venda de informações pessoais dos consumidores
  • Visão geral dos requisitos:
      • O direito dos residentes da Califórnia solicitarem:
        • A capacidade de acessar, excluir e desativar a venda de suas informações pessoais.
        • Divulgação das categorias e informações específicas que uma empresa coleta sobre o consumidor
        • As categorias de fontes das quais suas informações são coletadas
        • Por que suas informações foram coletadas ou vendidas
        • As categorias de terceiros que têm acesso aos seus dados
        • Exclusão de seus dados pessoais
      • A capacidade dos californianos de optarem por não coletar dados pessoais sem penalidade
      • “Ativação” necessária para consumidores menores de 16 anos

Regulamento Geral de Proteção de Dados da Europa (RGPD)

  • Data de adoção: 14 de abril de 2016
  • Data de execução: 25 de maio de 2018
  • Legislação Precedente / Similar: O GDPR é uma atualização da Diretiva de proteção de dados de 1995
  • Execução: Aplicada pelo Gabinete do Comissário da Informação, multas máximas de até 4% da receita anual mundial ou € 20 milhões.
  • Quem é impactado: Indivíduos e organizações que são considerados controladores ou processadores dos dados pessoais de residentes na UE.
  • Visão geral dos requisitos:
    • O GDPR contém 99 artigos, nem todos mencionados aqui
    • Direitos dos indivíduos de ter acesso mais fácil aos seus dados pessoais armazenados em uma empresa de dados
    • As organizações são responsáveis ​​por obter consentimento para a coleta de dados
    • As organizações são responsáveis ​​pela segurança dos dados que coletam, usam e armazenam. A falta de proteção razoável de violação de dados pode constituir negligência sob o RGPD
    • As organizações devem relatar qualquer violação dentro de 72 horas após a descoberta

Legislação sobre privacidade de outros dados relacionados:

As leis de privacidade e proteção de dados foram promulgadas globalmente de várias formas. Para uma leitura mais detalhada, os seguintes links podem fornecer um contexto adicional:

  1. Lei de Proteção de Informações Pessoais e Documentos Eletrônicos do Canadá (PIPEDA)
  2. Lei de Privacidade de Dados das Filipinas de 2012
  3. Mistura de leis federais, estaduais e territoriais da Austrália

~~~~~~~~📱~~~~~~~~

PCtg.net é o lugar perfeito para encontrar as últimas notícias e análises sobre gadgets e aplicativos de tecnologia, bem como dicas e truques sobre como tirar o máximo proveito de sua tecnologia.