Definindo a conformidade: para onde a privacidade e a segurança de dados globais estão indo em 2019

Publicados: 2019-01-31

A primavera passada foi mais do que um pouco agitada para profissionais de marketing, profissionais de TI e advogados, graças ao Regulamento Geral de Proteção de Dados da União Europeia (GDPR), que se tornou aplicável em maio de 2018. Essa legislação transformacional abalou a privacidade e a segurança dos dados como conhecíamos - não apenas na UE, mas em todo o mundo - responsabilizando as empresas pela forma como lidam com os dados dos clientes e enfatizando novamente o direito dos indivíduos de controlar suas próprias informações.

Nos meses seguintes, ouvimos casos após casos em que gigantes da tecnologia como Facebook e Google enfrentam multas e outras ações legais por não divulgarem adequadamente como usam dados pessoais e outros lapsos de conformidade. Além disso, o GDPR iniciou uma onda de conversas e ações incrementais sobre privacidade e segurança de dados que deixam claro que o terreno nessa área-chave está longe de ser resolvido.

À medida que 2019 começa, uma das grandes questões que as marcas grandes e pequenas enfrentam em todo o mundo é: o que o novo ano reserva para a privacidade e segurança de dados globais? E embora não tenhamos uma bola de cristal em funcionamento aqui na Braze, temos a próxima melhor coisa: nossa vice-presidente sênior de departamento jurídico, conselheiro geral e secretário corporativo Susan Wiseman e conselheiro geral associado e diretor sênior (EMEA) Marjorie Armitage, que estiveram na linha de frente deste espaço em evolução nos últimos anos. Continue lendo para vê-los mapear suas previsões para o próximo ano:

1) A ênfase nos direitos de privacidade do consumidor se espalhará para fora da UE

Muitas pessoas jurídicas dirão que o GDPR não é particularmente novo quando se trata de seus principais conceitos jurídicos. O regulamento é muitas vezes vago e intencionalmente - parte de um esforço de seus redatores para permitir que a legislação permaneça flexível e relevante à medida que as tecnologias evoluem. (Afinal, a legislação da UE que substitui o GDPR, a Diretiva de Proteção de Dados, estava em vigor há 23 anos, desde quando os smartphones eram apenas um brilho nos olhos de Steve Jobs.) O que faz o GDPR se destacar da multidão é a maneira como que trabalha para proteger os cidadãos dos países da UE. Ao pintar a privacidade e a segurança de dados como uma espécie de direito humano básico, a legislação faz muito para garantir que as organizações de outros países que lidam com dados pessoais de cidadãos da UE levem essas questões – e conformidade – a sério.

Na verdade, a UE e vários outros países do mundo têm leis rigorosas para proteger dados pessoais. A UE permite que as empresas transfiram dados pessoais da UE para outros países que tenham leis igualmente rigorosas. A UE refere-se a esses países como jurisdições “adequadas”. Mas se, por exemplo, você for uma empresa de mídia sediada nos Estados Unidos - que é um país atualmente não reconhecido como adequado pelos padrões da UE - você ainda poderá processar dados pessoais de seus clientes na UE, desde que tenha acordado com o seu cliente que irá proteger os dados pessoais de uma forma que exceda os requisitos da lei dos EUA. Você pode fazer isso autocertificando-se no Privacy Shield ou assinando Cláusulas Modelo com seu cliente. Tanto o Escudo de Privacidade quanto as Cláusulas Modelo servem para validar as transferências de dados pessoais para os EUA; fazê-lo sem um método reconhecido pela UE seria uma violação do direito da UE.

Esses tipos de acordos são cruciais porque pode ser difícil para um país alcançar a adequação. Por exemplo, como os Estados Unidos ainda não possuem leis nacionais abrangentes que se alinhem ao GDPR, as empresas sediadas nos EUA só podem processar dados pessoais da UE se tiverem assinado com seus clientes as Cláusulas Modelo ou se tiverem autocertificado para o EU-US Privacy Shield Framework – que possibilita que empresas da UE transfiram dados pessoais de cidadãos da UE para empresas dos EUA (como Braze, por exemplo!)

2) Os Estados Unidos provavelmente não elaborarão uma lei federal de privacidade de dados em 2019, mas a legislação estadual será retomada

Embora seja verdade que os EUA não tenham leis nacionais que atendam aos padrões exigidos pelas autoridades de proteção de dados da UE, quando se trata de privacidade e segurança de dados do consumidor, estamos lenta mas seguramente começando a ver estado por estado legislação entra em jogo.

No ano passado, a Califórnia se tornou o primeiro estado do país a aprovar uma nova legislação de privacidade de dados com a criação da Lei de Privacidade do Consumidor da Califórnia. Essa lei é inovadora quando se trata de requisitos de privacidade de dados dos EUA, garantindo aos consumidores o direito de acesso e apagamento de dados, além de exigir que as empresas atualizem contratos de processamento de dados de terceiros para garantir a conformidade de maneiras que lembram as regras do controlador/processador estabelecidas no GDPR, entre outros requisitos inéditos nos EUA

Quando a aplicação do GDPR entrou em vigor em maio de 2018, mais do que algumas empresas dos EUA optaram por lidar com esse novo regulamento importante, bem... não lidando com ele. Ou seja, algumas organizações que não tinham clientes na UE optaram por não trabalhar em conformidade com o GDPR porque não tinham clientes na UE; enquanto isso, outras empresas que tinham clientes na UE optaram por excluí-los em vez de tentar seguir a nova lei. Algumas marcas na Califórnia, um importante centro de tecnologia e mídia nos EUA, também caíram nesse barco - lembra quando o Los Angeles Times derrubou seu site completamente na UE, tudo para não precisar cumprir o GDPR? Bem, agora essas mesmas empresas têm menos de um ano para se tornarem compatíveis com a Lei de Privacidade do Consumidor da Califórnia antes que a aplicação comece em 1º de janeiro de 2020.

No geral, caberia muito às empresas sediadas nos EUA – grandes e pequenas, novas e estabelecidas – começar a se mover em direção a uma realidade em que a privacidade dos dados dos clientes e os direitos de segurança são garantidos. Embora a Califórnia tenha sido o primeiro estado a aprovar uma legislação de privacidade de dados totalmente nova após o GDPR, estamos vendo outros estados como Louisiana, Alabama, Colorado e Virgínia tomando medidas para fortalecer as leis existentes sobre privacidade de dados. (Além disso, Vermont aprovou anteriormente uma nova lei endurecendo a regulamentação dos corretores de dados e estabelecendo padrões mínimos de segurança.)

Embora não haja nenhum sinal até agora de que o governo federal dos EUA tomará medidas para redigir uma lei federal no estilo GDPR este ano, a colcha de retalhos em expansão e a legislação nova e reforçada sobre privacidade de dados estado a estado é um sinal importante para as empresas que eles precisam pensar seriamente sobre como estão lidando com os dados atualmente. Se não o fizerem, correm o risco de serem pegos de surpresa quando uma nova lei nacional entrar em vigor ou quando as leis estaduais tornarem impossível fazer negócios nos EUA sem revisar como eles processam e gerenciam os dados do consumidor.

É improvável que este Congresso dos EUA aprove uma lei [de privacidade nacional] tão cedo. No entanto, a privacidade está claramente na mente das pessoas. Mesmo nos EUA, há um impulso e ênfase crescentes nos direitos de privacidade e na necessidade de uma legislação melhor e mais ampla. Acho que, em vez de ver uma nova e abrangente Lei Federal de Privacidade, veremos vários estados promulgando leis semelhantes ao que a Califórnia fez no ano passado com a CCPA.

Susan Wiseman, vice-presidente sênior de Jurídico, Conselheiro Geral e Secretária Corporativa da Braze

3) Privacidade por design se tornará o novo normal

“Privacidade por design” significa garantir que os sistemas sejam construídos desde o início com a intenção de armazenar, proteger, transferir e processar dados pessoais usando práticas de segurança padrão do setor e seguindo os desejos dos consumidores em relação aos seus dados pessoais. Mas, embora o conceito já exista há algum tempo, o GDPR é o primeiro regulamento a incluí-lo como parte de seus requisitos de conformidade. Embora os parâmetros do que se qualifica como privacidade por design no GDPR sejam um tanto vagos, isso garante que as empresas em conformidade estejam tomando medidas para projetar seus sistemas com a segurança dos dados em mente.

Garantir que sua empresa atenda aos padrões de “privacidade desde o design” requer atenção e vigilância quando se trata de gerenciar informações. Você precisa saber de onde os dados estão vindo, quais indivíduos e sistemas estão tocando neles e quando eles podem ou não ser acessados ​​ou usados. Tudo isso é muito mais fácil se você criar sistemas e processos de gerenciamento de dados que integrem conceitos sólidos de privacidade e segurança de dados desde o início.

O GDPR enfatiza dar aos consumidores uma compreensão clara de como seus dados estão sendo usados ​​pelas organizações (sem ter que ler um documento legal enorme), dando-lhes a capacidade de simplesmente alterar suas preferências de dados a qualquer momento e o direito de acessar e solicitar o apagamento de suas informações sempre que desejarem. A privacidade por padrão também se encaixa nesse conceito, o que significa que, se um cliente não atualizou suas preferências, a configuração padrão deve ser os níveis mais altos de proteção e controle de dados. Como os profissionais de marketing bem sabem, esses tipos de restrições às vezes podem afetar negativamente a experiência do cliente – por exemplo, os usuários de um aplicativo de compartilhamento de carona terão uma experiência bastante frustrante se não fornecerem acesso à sua localização. Isso significa que cabe às empresas usar mensagens criativas (e compatíveis!) para fazer com que os consumidores do caso decidam que há valor real em permitir que essas empresas usem seus dados pessoais para oferecer suporte a experiências mais relevantes e impactantes.

O GDPR foi propositalmente amplo em termos de conformidade em um esforço para permitir que a tecnologia evolua. Certos aspectos da Diretiva de Proteção de Dados estavam desatualizados em cerca de cinco anos quando a internet explodiu, então os legisladores tiveram muito cuidado para garantir que o GDPR fosse independente de tecnologia.

Marjorie Armitage, Conselheira Geral Associada e Diretora Sênior (EMEA) da Braze

4) As empresas buscarão cada vez mais a validação de terceiros

A imprecisão intencional e inerente do GDPR é central para a legislação, e essa imprecisão tem sido um grande obstáculo para muitas empresas que procuram cumprir a lei. Mas, felizmente, essa mesma imprecisão também permitiu que as empresas se reunissem para determinar como é o manuseio compatível de dados, ao mesmo tempo em que permite espaço para que a tecnologia cresça e evolua. E como provar que sua empresa está realmente fazendo o que você afirma quando se trata de privacidade de dados é um componente essencial para a conformidade com o GDPR, os sistemas de validação de terceiros se tornarão cada vez mais importantes para as marcas.

O que isso parece? Bem, na Braze, nosso foco em garantir que estamos priorizando a privacidade e a segurança dos dados nos levou a buscar a validação de nossos sistemas e processos por terceiros - mais recentemente, concluímos com sucesso as certificações SOC 2, Tipo 2 e ISO 27001 durante o ano civil de 2018. A certificação ISO afirma que uma organização realizou uma avaliação abrangente dos riscos de segurança e criou um Sistema de Gerenciamento de Segurança da Informação (ISMS) que atende aos requisitos estabelecidos no padrão global de gerenciamento de segurança da informação da ISO, garantindo que a corporação beneficiária tenha alcançado o padrão da indústria protocolos de segurança.

Esses padrões são determinados por partes interessadas de todo o mundo sob o processo global de definição de padrões da ISO. Na verdade, nossa própria Marjorie Armitage está atualmente atuando como co-presidente interina do subgrupo de trabalho do Reino Unido do órgão de padrões europeus que trabalha para determinar os padrões de privacidade do setor relacionados à conformidade com o GDPR. E à medida que o número de padrões associados a novos regulamentos de privacidade de dados aumenta, procure certificações para padrões como esses para se tornarem apostas de mesa para empresas que desejam provar sua conformidade tanto para consumidores quanto para reguladores.

A responsabilidade sempre foi um princípio fundamental da proteção de dados, mas o GDPR finalmente o codificou na lei. Você precisa ser capaz de demonstrar que está em conformidade e que está fazendo tudo o que diz.

Marjorie Armitage, Conselheira Geral Associada e Diretora Sênior (EMEA) da Braze

Pensamentos finais

A tecnologia possibilitou às empresas obter uma visão rica e mais sutil de seus clientes e seus comportamentos do que nunca, mas o uso de dados detalhados de clientes que fortalecem essa compreensão também pode trazer riscos para as marcas e seus usuários. Parte do aproveitamento eficaz dos dados é garantir que você tenha os processos, as ferramentas e o conhecimento necessários para proteger as informações que seus clientes confiaram a você.

Esse é o mundo em que nos encontramos, e os riscos e recompensas só vão aumentar à medida que a tecnologia avança e o comportamento do consumidor muda. Para se aprofundar nas principais considerações sobre GDPR, HIPAA e as últimas informações sobre como a segurança de dados está afetando o envolvimento do cliente, confira o Braze Security Roundup .