Duas semanas na fase de aplicação do GDPR, e agora?

Finalmente aconteceu. O Regulamento Geral de Proteção de Dados finalmente entrou em sua fase de aplicação em 25 de maio de 2018, com memes e tudo.

Apesar do que muitos anunciantes temiam, o mundo não acabou depois que o GDPR entrou em sua fase de aplicação. Mas mudou. Crédito da ilustração: Ensinar privacidade

A indústria estava preparada? Essas atualizações de política de última hora foram suficientes? O que acontece agora? Nesta postagem do blog, analisamos como os principais players se prepararam para o prazo, o que está por vir com o GDPR em vigor e como sua empresa pode trabalhar para a conformidade daqui em diante.

Primeiros Ataques aos Maiores Jogadores

Não demorou muito para as maiores empresas sentirem a dor do litígio. Apenas alguns minutos após o GDPR entrar em vigor , o ativista de privacidade Max Schrems e sua organização None of Your Business atacaram o Google e o Facebook com processos alegando “consentimento forçado”. Os processos alegam descumprimento das regras do GDPR sobre consentimento particularizado, porque essas empresas dão aos usuários uma opção de tudo ou nada – concordar com esses termos para acessar esse serviço – em vez de permitir que eles concordem com alguns termos e não com outros.

Google e Facebook responderam insistindo que tomaram as medidas adequadas para cumprir o GDPR.

Em seguida, o grupo francês de direitos digitais La Quadrature du Net seguiu o exemplo , apresentando queixas adicionais contra Google, Facebook, Apple, Amazon e LinkedIn. As reclamações são semelhantes às feitas pela Schrems e alegam violações por meio do uso de consentimento forçado. La Quadrature também está planejando apresentar queixas formais contra Android, WhatsApp, Instagram, Skype e Outlook, embora até o momento ainda não tenha tomado medidas oficiais.

Como a Apple, o Facebook e o Google se prepararam

Embora seja difícil dizer se as reclamações realmente surpreenderam alguma dessas empresas, muitas delas comunicaram uma sensação geral de prontidão nos dias que antecederam a aplicação da lei.

A Apple , por exemplo, no final de maio de 2018 lançou um novo site mostrando aos clientes quais dados pessoais são mantidos sobre eles. Os clientes da Apple na UE agora podem solicitar para ver esses dados, desde o histórico de login até contatos, calendário, notas, fotos e documentos. Os clientes também podem corrigir dados, desativar sua conta e excluir todas as informações. (Atualmente, a Apple oferece esse serviço apenas em países da UE, Islândia, Liechtenstein, Noruega e Suíça, mas diz que planeja expandir para outros países ainda este ano.)

Em abril de 2018, o Facebook atualizou seu site com versões mais claras de seus termos de serviço e política de dados , dando aos usuários sete dias para fornecer feedback sobre o novo idioma antes de finalizar e pedir aos usuários que concordem com ele. O Facebook também revelou que estaria reformulando e simplificando os controles do aplicativo para tornar as configurações mais fáceis de encontrar, dizendo que “em vez de ter configurações espalhadas por quase 20 telas diferentes, elas agora são acessíveis em um único lugar”.

O Google foi um dos primeiros atores, pois fez atualizações relacionadas ao GDPR e notificou os usuários mais de seis meses antes do prazo do GDPR. As atualizações mais significativas foram feitas nas alterações de processamento de dados e nos termos de segurança do G Suite e do Google Cloud, que facilitam o entendimento para cumprir a exigência de “aviso claro e transparente” de como os dados serão usados. Outras atualizações incluem novas opções e recursos para exportar dados.

O que está por vir

O impacto total do GDPR ainda não foi determinado e, em parte, dependerá de quão fortemente os clientes e grupos ativistas exercem seus novos direitos. Em uma pesquisa da Forrester em agosto de 2017 com consumidores do Reino Unido, 51% dos entrevistados disseram que tinham pelo menos uma certa probabilidade de exercer seus novos direitos sob o GDPR. No entanto, o exemplo mais comum citado foi a exclusão de dados – muito longe de processos judiciais completos.

Mas a maior vantagem dessa nova regulamentação não é que mais consumidores estão examinando as empresas – é que mais empresas estão examinando outras empresas. Como o GDPR exige responsabilidades compartilhadas para todas as partes que tocam dados pessoais, as empresas estão examinando os processos e as ações de seus parceiros de negócios muito mais profundamente. Esse é o verdadeiro gênio do GDPR, o diretor de conformidade de dados da Europa, Simon McGarr, explica em um artigo recente do Quartz :

“A Europa tem muitas autoridades de proteção de dados, mas não tem o suficiente para bater em todas as portas. Portanto, eles têm uma estrutura de conformidade em vários níveis incorporada à lei, na qual você acaba com grandes empresas impondo conformidade em pequenas empresas e assim por diante.”

As empresas menos preparadas do que esperavam depois de 25 de maio já podem estar sentindo a pressão de seus parceiros de negócios, e o especialista em segurança cibernética Elliot Rose prevê que muitas organizações ainda estarão se atualizando após o prazo. Para aqueles nessa situação, a primeira prioridade é abordar áreas de alto risco que lidam com informações confidenciais. As empresas devem se concentrar na proteção de dados confidenciais, analisando onde estão armazenados e quem tem acesso a eles. O importante é ter um plano em prática e começar o mais rápido (e com precisão) possível.

Ficando Preparado

Em última análise, o GDPR ajudará até mesmo no campo de jogo quando se trata de privacidade e transparência e abrirá as portas para a comunicação onde antes estavam fechadas. Como empresa, aqui estão algumas etapas que você pode seguir para manter a conversa em andamento:

Avalie como os dados são processados ​​legalmente

Você tem o consentimento de seus usuários finais? É específico, inequívoco e dado livremente? Sua experiência de usuário final deixa isso claro? Você tem interesse legítimo em coletar, processar e armazenar os dados? Se você não puder responder a cada pergunta com um “sim”, é hora de dar um passo atrás.

Atualizar todos os avisos necessários

Você revisou suas políticas de privacidade atuais, avisos ou outras informações que você fornece aos usuários finais? Esses avisos importantes estão no ponto de coleta? Uma revisão de todos os avisos de privacidade pode ser necessária para manter sua coleta, uso e armazenamento de dados transparentes para os usuários finais.

Adote Protocolos de Acesso a Dados, Direito à Correção e Direito a Ser Esquecido

Esses princípios permitem que seus usuários finais corrijam dados pessoais desatualizados ou imprecisos e sejam removidos do processamento por completo. Políticas e procedimentos internos devem ser implementados e mantidos para responder adequadamente a tais solicitações.

Usar dados pseudônimos ou anônimos

Considere remover ou limitar identificadores exclusivos por meio da anonimização ou pseudonimização dos dados. Algumas técnicas incluem hashing, salting, criptografia e o uso de tokens. Isso pode ajudar a minimizar o potencial de identificação futura de usuários finais e também pode ajudar a minimizar suas obrigações de conformidade.

Para saber mais sobre o TUNE e o GDPR, leia nossa página aqui .