Intensificando suas práticas de informações justas

Na semana passada, o Facebook realizou [email protected], uma conferência de privacidade com um foco único – o usuário final.

Atualmente, a agenda da maioria dos eventos de privacidade está quase sempre focada na incerteza legal ou regulatória – teremos uma lei de privacidade nos Estados Unidos? O regulamento da UE proposto será aprovado?

Para crédito do Facebook, [email protected] concentrou-se no que as empresas podem ou devem fazer agora sobre a privacidade do usuário final, independentemente de toda essa incerteza regulatória. E durante a conferência, tivemos vislumbres de como as empresas continuam inovando em torno das práticas de informações justas ou “FIPs” – aviso, consentimento, acesso, segurança e aplicação.

Por exemplo, as empresas que fabricam carros conectados não estão debatendo se devem ou não ter uma política de privacidade; em vez disso, a discussão mudou para como devem ser os avisos de privacidade, se sons ou ícones podem desempenhar um papel na ativação de políticas baseadas em texto e o que acontece se a tela do dispositivo for muito pequena ou inexistente.

O que são os FIP?

Os FIPs são os blocos de construção importantes de qualquer programa de privacidade. Eles foram articulados pela primeira vez em um relatório do governo dos EUA de 1973 intitulado “Registros, Computadores e os Direitos dos Cidadãos”. Foi a primeira vez que um relatório do governo se concentrou nos efeitos do “processamento automatizado de dados” nos cidadãos dos EUA. Agora, na era pós-Snowden, a introdução de Caspar Weinberger parece incrivelmente presciente e até um pouco sinistra:

“Computadores ligados entre si por meio de redes de telecomunicações de alta velocidade estão destinados a se tornar o principal meio para fazer, armazenar e usar registros sobre pessoas…”

Os FIPs nunca se tornaram a base de uma lei de coleta de dados comerciais nos EUA (os EUA ainda carecem dessa lei hoje), mas formaram a base dos requisitos de várias leis específicas do setor dos EUA, incluindo a Lei de Privacidade de 1974, que obriga o governo federal a governo para proteger as informações pessoais coletadas de cidadãos dos EUA. E, curiosamente, a maioria das estruturas globais e de proteção de dados de hoje incorporam e expandem os FIPs, por exemplo, a lei de proteção de dados da União Européia expande o “aviso” em dois requisitos adicionais – especificação de propósito e limitação de uso.

Aumente seus FIPs!

Com esse histórico em mente, você deve “aumentar seus FIPs?” Absolutamente. A FTC adotou formalmente os FIPs em um relatório de 2000, e a agência continua a desenvolver essa implementação para decidir como avaliar os danos à privacidade do usuário final. Dessa forma, os anunciantes e profissionais de marketing de aplicativos devem estar cientes de cada FIP e como eles estão sendo implementados na experiência do produto ou aplicativo, bem como nos processos de back-end.

Aviso – Seja transparente e certifique-se de que as políticas de privacidade forneçam um aviso “significativo” sobre a coleta e o uso de dados. Não faça promessas que não está cumprindo. A FTC processou o Snapchat com base nos avisos de privacidade da empresa e outras declarações que alegavam que as mensagens dos usuários “desapareceriam” após um determinado período de tempo. Na realidade, as mensagens eram armazenadas nos logs do Snapchat e podiam ser acessadas por aplicativos de terceiros.

Consentimento – Também conhecido como escolha e controle. Obter o consentimento do usuário final para coleta e uso de dados é essencial – incluindo obter consentimento expresso para coleta de categorias de dados “sensíveis”, como a localização precisa do dispositivo do usuário final.

Acesso – Forneça uma maneira de alterar ou até mesmo excluir os dados que você possui sobre os usuários finais. Isso inclui honrar as solicitações de desativação do usuário final, como a FTC nos mostrou em sua recente ação contra as tecnologias Nomi, uma empresa de rastreamento de varejo que não excluiu os usuários finais quando solicitado.

Segurança – Proteja todos os dados pessoais valiosos com as medidas organizacionais e técnicas corretas para impedir o acesso ou divulgação não autorizados. A FTC moveu ações contra a Credit Karma e a Fandango por deturpar as práticas de segurança e por não proteger as informações pessoais confidenciais dos consumidores.

Aplicação – Isso inclui tanto a regulamentação governamental quanto as estruturas autorreguladoras e co-regulatórias, como as diretrizes móveis da Digital Advertising Alliance (DAA) ou o código da Network Advertising Alliance (NAI). Além disso, é importante não deturpar ou deturpar sua participação em uma estrutura regulatória ou porto seguro. Este ponto foi feito mais recentemente pela FTC, que acabou de finalizar duas ações contra empresas por deturpar seu status de participação UE-EUA Safe Harbor.

Preste atenção ao DAA, NAI e outros requisitos autorregulatórios

Este último ponto é especialmente digno de reflexão. Nos últimos dois meses, vimos dois anúncios autorregulatórios significativos:

• O DAA começará a aplicar suas diretrizes móveis do DAA em setembro de 2015 para todas as entidades envolvidas em publicidade baseada em interesses e coleta de dados entre aplicativos. Essas diretrizes se baseiam nos Princípios de autorregulamentação da DAA para publicidade comportamental online ou “OBA”. Os Princípios DAA são um importante programa de auto-regulamentação e baseado em parte nos princípios OBA de 2009 da FTC Staff.

• A NAI divulgou diretrizes para o uso de tecnologias não baseadas em cookies (por exemplo, impressão digital digital), com base no código NAI. A NAI categoriza as empresas em primeiras partes (que coletam e usam dados em seu nome) ou terceiros (empresas envolvidas em “publicidade de dados cruzados” ou “entrega e relatórios de anúncios” em nome de outras empresas).

É importante determinar se você se enquadra no escopo de um desses programas de autorregulação. Por exemplo, o DAA declarou que seus princípios abrangem “ todas as empresas envolvidas em [publicidade baseada em interesses] e atividade de coleta de dados em vários sites e aplicativos para uso permitido”, independentemente de você ser membro do DAA ou não.

Ao encerrar…

É um bom momento para rever como você está incorporando os FIPs em seu programa de privacidade e na experiência do aplicativo. Como inúmeras ações da FTC nos mostraram, incorporar esses requisitos é um passo importante para atender aos seus requisitos legais e de conformidade. Mas os FIPs também são uma peça fundamental para garantir a confiança – porque mostra aos usuários finais que você respeita seus direitos de privacidade e é um administrador confiável de seus dados pessoais.

E, à medida que mais empresas seguem esse modelo de adoção de práticas baseadas em uma estrutura comum, a autorregulação torna-se uma alternativa mais viável à aprovação de exigências legais. Ao contrário de uma lei, a autorregulação pode acompanhar a evolução da tecnologia. Portanto, essa é uma abordagem que as empresas inovadoras devem adotar para permanecer em conformidade, mas também inovadoras.

Quer saber mais sobre como aumentar seus FIPs? Então não se esqueça de participar do Workshop “FIPs for Apps” da TUNE no Postback deste ano.

Gostou deste artigo? Inscreva-se para receber nossos e-mails de resumo do blog.