Estado do GDPR em 2021: principais atualizações e o que elas significam

Publicados: 2022-03-10
Resumo rápido ↬ Como profissionais digitais, o GDPR impactou todas as facetas de nossas vidas profissionais e pessoais. Seja você viciado em Instagram, mande mensagens para sua família no WhatsApp, compre produtos do Etsy ou informações do Google, ninguém escapou das regras que foram introduzidas em 2018.

As diretivas da UE afetaram praticamente todos os profissionais digitais, pois os produtos e serviços são projetados com o GDPR em mente, independentemente de você ser uma empresa de web design em Wisconsin ou um profissional de marketing em Malta. As implicações de longo alcance do GDPR não afetam apenas como os dados devem ser processados, como os produtos devem ser criados e como os dados são transferidos com segurança dentro e entre as organizações. Ele define acordos internacionais de transferência de dados como aquele entre a Europa e a América.

Kevin Kelly, um dos futuristas digitais mais brilhantes do mundo, afirma que “a tecnologia é uma força tão grande quanto a natureza”. O que ele quer dizer com isso é que os dados do usuário e a tecnologia da informação estão causando um dos períodos mais profundos da história humana desde a invenção da linguagem. Basta olhar para o que está acontecendo enquanto os governos e as multinacionais de tecnologia lutam para controlar a Internet.

Somente na semana passada, quando o governo australiano se moveu para forçar os proprietários de plataformas a pagar aos editores pelo conteúdo compartilhado em sua plataforma, o Facebook decidiu bloquear notícias para usuários australianos com um grande alvoroço do governo australiano.

E isso se soma às controvérsias anteriores (a organização do motim do Capitólio dos EUA, o escândalo da Cambridge Analytica) na interseção onde o governo e a tecnologia se encontram.

Neste artigo, veremos como o GDPR evoluiu desde 2018. Analisaremos algumas atualizações da UE, alguns desenvolvimentos importantes e onde o GDPR provavelmente evoluirá. Vamos explorar o que isso significa para nós , como designers e desenvolvedores. E veremos o que isso significa para as empresas dentro e fora da UE.

No próximo artigo, vamos nos concentrar no consentimento de cookies e no paradoxo em que os profissionais de marketing dependem muito dos dados de cookies do Google Analytics, mas precisam cumprir os regulamentos. E, em seguida, mergulharemos profundamente no rastreamento de anúncios primários à medida que começarmos a ver mudanças em relação aos cookies de terceiros.

  • Parte 1: GDPR, principais atualizações e o que elas significam
  • Parte 2: Consentimento de cookies para designers e desenvolvedores

Uma rápida recapitulação do GDPR

Vamos começar nos lembrando do que é GDPR. O GDPR tornou-se lei na UE em 25 de maio de 2018. É baseado em 7 princípios fundamentais:

  1. Legalidade, justiça e transparência
    Você deve processar dados para que as pessoas entendam o que, como e por que você está processando seus dados.
  2. Limitação de propósito
    Você só deve coletar dados para fins claros, especificados e legítimos. Você não pode processá-lo de maneiras incompatíveis com seus propósitos originais.
  3. Minimização de dados
    Você deve coletar apenas os dados necessários.
  4. Precisão
    Seus dados devem ser precisos e mantidos atualizados. Dados imprecisos devem ser apagados ou corrigidos.
  5. Limitação de armazenamento
    Se os dados puderem ser vinculados a indivíduos, você só poderá mantê-los pelo tempo necessário para realizar as finalidades especificadas. (Ressalvas para uso em pesquisa científica, estatística ou histórica.)
  6. Integridade e confidencialidade (ou seja, segurança)
    Você deve garantir que os dados pessoais que você possui sejam processados ​​com segurança. Você deve protegê-lo contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental.
  7. Responsabilidade
    Agora você é responsável pelos dados que possui e deve poder demonstrar sua conformidade com o GDPR.
Diagrama mostrando os sete princípios do GDPR: legalidade, integridade, limitações de armazenamento e finalidade, minimização e precisão de dados e responsabilidade - sobrepostos a transparência, privacidade e controles
Os princípios do GDPR são baseados em transparência, privacidade e controle do usuário. (Crédito da imagem: Cyber-Duck) (Visualização grande)

Algumas Definições

  • TJUE
    Tribunal de Justiça da União Europeia. As decisões deste tribunal esclarecem as leis da UE, como o GDPR.
  • DPAs
    Autoridades Nacionais de Proteção de Dados. Cada país da UE tem um. O GDPR é aplicado e multas são emitidas em nível nacional por esses órgãos. O equivalente no Reino Unido é o Information Commissioner's Office (ICO). Nos Estados Unidos, a privacidade de dados no estilo GDPR é amplamente legislada por cada estado.
  • Comissão Europeia
    O poder executivo da União Europeia (essencialmente a função pública da UE). A Comissão Europeia elabora legislação, incluindo o GDPR.
  • GDPR
    O Regulamento Geral de Proteção de Dados de 2018.

Principais atualizações da UE

O GDPR não parou desde maio de 2018. Aqui está um rápido resumo do que aconteceu desde que entrou em vigor.

Como a UE e seus Estados Membros implementaram o GDPR?

A Comissão Europeia relata que o GDPR está quase totalmente implementado em toda a UE, embora alguns países – ele verifica a Eslovênia – tenham arrastado os pés. No entanto, a profundidade de implementação varia. A UE também diz que seus países membros estão, em sua opinião, usando seus novos poderes de forma justa.

No entanto, também expressou preocupação de que algumas divergências e fragmentações estejam surgindo. O GDPR só pode funcionar de forma eficaz em todo o mercado único da UE se os estados membros estiverem alinhados . Se as leis divergem, turva a água.

Como a UE quer que o GDPR se desenvolva?

Sabemos que a UE quer que seja mais fácil para os indivíduos exercerem os seus direitos ao abrigo do RGPD. Isso significa colaboração transfronteiriça e ações judiciais coletivas . Ela quer ver a portabilidade de dados para os consumidores além de bancos e telecomunicações.

Também quer tornar mais fácil para as pequenas e médias empresas ( PMEs ) cumprirem o GDPR. Isso provavelmente virá na forma de suporte e ferramentas extras, como cláusulas contratuais mais padronizadas – essencialmente legalês modelo que as PMEs podem copiar/colar em contratos – já que a UE não está interessada em dobrar as regras para eles.

Grande desenvolvimento nº 1: a definição inesperadamente ampla de 'controlador conjunto'

Certo, aqui está a primeira grande mudança desde que o GDPR se tornou lei. Em dois casos de teste envolvendo o Facebook, o Tribunal de Justiça da União Europeia definiu uma interpretação muito mais ampla de 'controlador conjunto' do que o esperado.

Uma situação de controlador conjunto surge quando dois ou mais controladores têm a responsabilidade de cumprir os termos do GDPR. (Aqui está um bom explicador da ICO sobre controladores conjuntos.) Essencialmente:

  • Ao processar os dados do cliente, você decide com seus colegas controladores conjuntos quem gerenciará cada etapa para que você esteja em conformidade com o GDPR.
  • No entanto, todos vocês têm total responsabilidade de garantir que todo o processo esteja em conformidade . Cada um de vocês é totalmente responsável perante a autoridade de proteção de dados no país que trata de quaisquer reclamações.
  • Um indivíduo pode apresentar uma reclamação contra todos os controladores conjuntos.
  • Todos vocês são responsáveis ​​por qualquer dano causado – a menos que você possa provar que não tem nenhuma conexão com o evento que causou o dano.
  • Um indivíduo pode buscar compensação de qualquer controlador conjunto. Você pode recuperar parte dessa compensação de seus colegas controladores.

No primeiro caso do Facebook, o TJUE confirmou que uma empresa que administrava uma página de fãs no Facebook contava como controladora conjunta ao lado do Facebook. No segundo, o TJUE também confirmou que uma empresa que incorporou um botão Curtir do Facebook em seu site detinha o status de controlador conjunto com a rede social.

Esses casos causaram ondas de choque na comunidade de privacidade, pois essencialmente tornam os editores sociais, operadores de sites e moderadores de páginas de fãs responsáveis ​​​​pelos dados do usuário ao lado de plataformas como o Facebook.

No entanto, o TJUE também esclareceu que responsabilidade compartilhada não significa responsabilidade igual . Em ambos os casos, a responsabilidade era principalmente do Facebook – apenas o Facebook tinha acesso aos dados e somente o Facebook poderia excluí-los. Portanto, o impacto dessa decisão pode ser menos grave do que parece à primeira vista, mas ainda é extremamente importante.

E pode ser por isso que alguns sites – como o site da presidência da UE na Alemanha em 2020 – bloqueiam conteúdo social incorporado por padrão, até que você tenha optado especificamente por:

Captura de tela de eu2020.de mostrando conteúdo de feed social bloqueado até que o rastreamento de terceiros seja ativado
Alguns sites estão começando a bloquear a exibição de feeds sociais incorporados em seus sites por padrão, oferecendo aos usuários a opção de optar pelo rastreamento. (Visualização grande)

Grande Desenvolvimento #2: Bye Bye Privacy Shield, Olá CPRA

A segunda grande mudança foi mais previsível: o Privacy Shield , o mecanismo que tornou mais fácil para as empresas americanas processar dados de clientes europeus, foi derrubado pelos tribunais.

Aqui está o porquê.

A UE quer proteger os dados pessoais dos seus cidadãos. No entanto, também quer incentivar o comércio internacional, além da colaboração transfronteiriça em áreas como segurança.

A UE se vê — com razão — como pioneira em proteção de dados. Por isso, está usando sua força política para incentivar os países que desejam negociar com o bloco a cumprir seus padrões de privacidade de dados.

Entre nos Estados Unidos. As filosofias europeias e americanas sobre privacidade de dados são diametralmente opostas . (Em essência, a visão europeia é que os dados pessoais são privados, a menos que você dê permissão explícita. A visão americana é que seus dados são públicos, a menos que você solicite expressamente que sejam mantidos privados.) Mas como os dois maiores mercados consumidores do mundo, eles precisam troca. Assim, a UE e os EUA desenvolveram o Privacy Shield.

O Privacy Shield foi projetado para permitir que empresas dos EUA processem dados de cidadãos da UE, desde que essas empresas se inscrevam em seus padrões de privacidade mais altos.

Mas sob a lei dos EUA, o governo dos EUA ainda pode monitorar esses dados. Isso foi contestado em um caso apresentado pelo defensor da privacidade austríaco Max Schrems. O TJUE ficou do lado dele: o Privacy Shield foi derrubado e as 5.300 PMEs americanas que usaram o Privacy Shield não tiveram escolha a não ser adotar as Cláusulas Contratuais Padrão prescritas pela UE.

Obviamente, é do interesse de todos que o Privacy Shield seja substituído – e será. Mas especialistas dizem que sua substituição provavelmente será derrubada novamente no devido tempo, porque as abordagens europeias e americanas de privacidade são essencialmente incompatíveis.

Enquanto isso, na Califórnia, a Lei de Privacidade do Consumidor da Califórnia (CCPA) inspirada no GDPR de 2018 foi reforçada em novembro de 2020, quando a Lei de Direitos de Privacidade da Califórnia (CPRA) foi aprovada.

A Lei de Privacidade do Consumidor da Califórnia (CCPA)

A CCPA, que entrou em vigor em janeiro de 2020, dá aos cidadãos da Califórnia o direito de optar por não vender seus dados . Eles também podem solicitar que quaisquer dados coletados sejam divulgados e podem solicitar que esses dados sejam excluídos. Ao contrário do GDPR, o CCPA se aplica apenas a empresas comerciais:

  • Que processam os dados de mais de 50.000 residentes da Califórnia por ano, OU
  • Que geram receita bruta de mais de US$ 25 milhões por ano, OU
  • Que ganham mais da metade de sua receita anual com a venda de dados pessoais de residentes da Califórnia

A Lei de Direitos de Privacidade da Califórnia (CPRA)

O CPRA, que entra em vigor em janeiro de 2023, vai além do CCPA . Seus pontos-chave incluem:

  • Eleva o padrão para empresas que processam os dados de 100.000 residentes da Califórnia por ano
  • Dá mais proteção aos dados confidenciais dos californianos , como raça, religião, orientação sexual e dados de saúde e identidade do governo
  • Triplica as multas por violação de dados de menores
  • Dá aos californianos o direito de solicitar que seus dados sejam corrigidos
  • Obriga as empresas a ajudar nas investigações do CPRA
  • E estabelece uma Agência de Proteção de Privacidade da Califórnia para fazer cumprir o CPRA
Gráfico resumindo o CPRA
A Califórnia está apertando sua legislação de privacidade com o CPRA, chegando em 2023. (Pré-visualização grande)

Outros esforços para leis de privacidade estão acontecendo em outros estados e, juntos, podem reforçar a necessidade de medidas federais de privacidade sob o novo governo Biden.

Grande Desenvolvimento #3: Consentimento de Cookies

Em maio de 2020, a UE atualizou suas orientações do GDPR para esclarecer vários pontos, incluindo dois pontos principais para o consentimento de cookies:

  • As paredes de cookies não oferecem aos usuários uma escolha genuína, porque se você rejeitar os cookies, você será impedido de acessar o conteúdo. Confirma que as paredes de cookies não devem ser usadas.
  • Rolar ou passar o dedo pelo conteúdo da web não equivale a consentimento implícito . A UE reitera que o consentimento deve ser explícito.

Eu vou aprofundar isso no segundo artigo na próxima semana.

Aviso de cookie Cyber-Duck com rastreamento de anúncios ativado por padrão
A UE atualizou suas orientações sobre consentimento de cookies. (Visualização grande)

Grande desenvolvimento nº 4: Google e Apple começam a mudar do rastreamento de terceiros

À medida que os grandes players digitais descobrem como atender ao GDPR – e como tirar proveito da legislação de privacidade – alguns já foram criticados.

Tanto o Google quanto a Apple estão enfrentando processos antitruste , após reclamações de empresas e editoras de adtech.

Em ambos os casos, os reclamantes dizem que as grandes empresas de tecnologia estão explorando sua posição dominante no mercado.

Novamente, mais sobre isso na próxima vez.

Mais depois do salto! Continue lendo abaixo ↓

Grande desenvolvimento nº 5: grandes multas do GDPR chegando por aqui

É claro que muitas organizações pularam para cumprir o GDPR porque temiam as multas que os reguladores poderiam aplicar. Essas multas começaram a rolar:

O regulador de dados francês aplicou uma multa de € 50 milhões ao Google por “falta de transparência, informações inadequadas e falta de consentimento válido em relação à personalização de anúncios”, dizendo que os usuários “não estavam suficientemente informados” sobre como e por que o Google coletou seus dados.

Seu equivalente no Reino Unido, o ICO, multou o conglomerado hoteleiro norte-americano Marriott International Inc. em £ 18,4 milhões por não manter os registros de 339 milhões de hóspedes seguros. O ataque cibernético de 2014 à Starwood Hotels and Resorts Worldwide, Inc., que a Marriott adquiriu em 2016, não foi descoberto até 2018.

A ICO do Reino Unido também multou a British Airways em um recorde de £ 20 milhões por uma violação de dados de 400.000 dados pessoais e de cartão de crédito de clientes em 2018.

Depois, há o meu favorito pessoal, uma violação chocante da confiança dos funcionários pela H&M que levou a uma multa de € 35 milhões.

Então é aí que estamos hoje.

O que isso significa para você?

Como designers e desenvolvedores, o GDPR tem – e continuará a ter – um grande impacto nos produtos que projetamos e construímos e na maneira como projetamos os dados.

Aqui está o que nós, como designers, devemos saber

  • O GDPR é fundamental para você porque você projetará os pontos em que os usuários compartilham seus dados , quais dados são coletados e como são processados.
  • Siga as práticas recomendadas de privacidade por design. Não tente reinventar a roda – se você criou um banner de cookie compatível, use seu padrão de design comprovado.
  • Trabalhe com suas equipes de conformidade e desenvolvimento para garantir que os projetos atendam ao GDPR e possam ser implementados. Peça apenas os dados que você precisa.
  • Por fim, pergunte aos usuários quais dados eles gostariam de compartilhar e como eles gostariam que você os usasse. Se eles acharem assustador, revise sua abordagem.

Aqui está o que nós, como desenvolvedores, devemos saber

  • O GDPR é fundamental para você porque você habilita o processamento , o compartilhamento e as integrações de dados.
  • Como regra geral com o GDPR, adote uma abordagem de necessidade de acesso . Comece implementando tudo sem acesso e, em seguida, dê à sua equipe acesso aos dados apenas quando necessário (por exemplo, dando aos desenvolvedores acesso ao console do Google Analytics). Audite e documente à medida que avança.
  • Siga os princípios de privacidade por design e segurança por design. Modelos robustos e seguros para implementação de infraestrutura são fundamentais.
  • Certifique-se de estar envolvido desde o início sobre os aspectos técnicos, por exemplo, consentimento de cookies/conversas de rastreamento, para que o que for decidido possa ser implementado.
  • O mapeamento de processos mostra onde os dados estão sendo compartilhados com diferentes partes do negócio.
  • A automação oferece manuseio seguro de dados que reduz o erro humano. Também ajuda a evitar que pessoas erradas acessem os dados.
  • As listas de verificação do GDPR e, é claro, os livros de execução ajudarão você a gerenciar seu processo. Mais uma vez, audite e documente à medida que avança.

Agora vamos ver como o GDPR vai evoluir no futuro próximo. Vamos nos concentrar em três áreas.

Três áreas em que o GDPR está evoluindo rapidamente

1. Como a UE está implementando o GDPR

Primeiro, vamos ver como o GDPR será ainda mais incorporado no cenário legislativo.

A UE quer manter seus estados membros alinhados , porque isso facilitará os processos transfronteiriços e a colaboração internacional. Portanto, reforçou que os países não devem se desviar nem ultrapassar o GDPR. Alguns Estados-Membros, como já disse, estão a falar da boca para fora do regulamento. Outros querem exceder os padrões do GDPR.

Em troca de seu alinhamento, a UE fará cumprir a conformidade , trabalhará para permitir ações coletivas e ações transfronteiriças mais baratas e também promoverá privacidade e padrões consistentes fora da UE. Além de suporte e ferramentas extras para PMEs, também podemos ver a certificação de segurança e proteção de dados por design.

Finalmente, isso pode levantar algumas sobrancelhas no Vale do Silício: a UE deu a entender que pode considerar proibir o processamento de dados para incentivar a conformidade . As multas de € 50 milhões não são o fim do mundo para o Google e seus amigos. Mas o tempo limite no passo impertinente - e o mau PR resultante - é uma coisa muito diferente.

2. Como o GDPR funciona com a inovação

O GDPR foi projetado para ser neutro em termos de tecnologia e para apoiar, não impedir, a inovação. Isso certamente foi testado nos últimos 12 meses, e a UE aponta o rápido lançamento de aplicativos COVID-19 como prova de que sua legislação funciona.

Podemos esperar ver códigos de conduta para categorias sensíveis de dados (saúde e pesquisa científica). Estes serão bem-vindos.

No entanto, eles estão observando os inovadores de perto. A UE expressou preocupação com a privacidade de dados em vídeo, dispositivos IoT e blockchain. Eles estão particularmente preocupados com o reconhecimento facial (e presumivelmente de voz) e os desenvolvimentos em IA.

Mais notavelmente, a Comissão está profundamente preocupada com o que chama de “empresas de tecnologia multinacionais”, “grandes plataformas digitais” e “publicidade online e micro-segmentação”. Sim, mais uma vez está olhando para você, Facebook, Amazon, Google e amigos.

3. Como a UE está promovendo padrões GDPR fora da UE

Nossa economia digital é global, então o impacto do GDPR se espalha além das fronteiras da UE – e não apenas em termos de conformidade. A UE está a definir o padrão para a legislação de proteção de dados em todo o mundo. Além da CCPA da Califórnia, veja a LGPD do Brasil, além de desenvolvimentos no Canadá, Austrália, Índia e vários estados americanos.

Claro, é do interesse da UE que outros países e blocos comerciais correspondam aos seus padrões. Portanto, está promovendo o GDPR por várias vias :

  • Através de “decisões de adequação mútua” com o Japão e em breve com a Coreia do Sul
  • Incorporado em acordos comerciais bilaterais, por exemplo, com a Nova Zelândia, Austrália, Reino Unido
  • Através de fóruns como a OCDE, ASEAN, G7 e G20
  • Através da sua Data Protection Academy para reguladores da UE e internacionais

Está particularmente interessada em capacitar a inovação por meio de fluxos de dados confiáveis ​​e permitir a cooperação internacional entre autoridades policiais e operadores privados.

A UE é líder mundial em proteção de dados. Aonde ele vai, outros o seguirão. Portanto, mesmo que você não esteja projetando/desenvolvendo para um público da UE, você precisa estar ciente do que está acontecendo.

O que tudo isso significa para as empresas na UE?

As empresas que operam na UE precisam cumprir o GDPR ou correm o risco de serem multadas. Essas multas podem ser bem pesadas, como vimos. Portanto, você precisa demonstrar que está aderindo aos 7 princípios do GDPR e às orientações específicas de sua autoridade nacional de proteção de dados.

No entanto, isso não é tão simples quanto parece, e você pode optar por avaliar seu risco em alguns casos. Vou levá-lo através de um exemplo disso da próxima vez.

O que isso significa para empresas sediadas fora da UE?

As implicações para as empresas sediadas fora da UE são exatamente as mesmas que para os países da UE , se processarem dados pessoais da UE. Isso porque o GDPR se aplica aos dados pessoais de pessoas sediadas na UE. Se você quiser processá-lo, por exemplo, para vender para clientes na UE, você deve cumprir as regras. Caso contrário, você corre o risco de ser multado, como Facebook e Google.

Veja como isso é aplicado : se você estiver presente na UE, como muitas multinacionais fazem, e não pagar uma multa do GDPR, seus ativos da UE poderão ser apreendidos. Se você não estiver presente, é obrigado pelo GDPR a nomear um representante na UE. Quaisquer multas serão aplicadas através desse representante. Alternativamente, você pode enfrentar um processo internacional complexo e caro .

E aqui é onde fica complexo para todos:

Se sua base de clientes inclui pessoas na UE e cidadãos de outros lugares com leis de privacidade, como o Estado da Califórnia, você deve cumprir tanto a Lei de Privacidade do Consumidor da Califórnia (CCPA) quanto o GDPR. Esses lotes de legislação geralmente se alinham – mas não combinam.

Tome cookies, por exemplo. Sob o GDPR, você deve obter o consentimento ativo de um usuário antes de colocar um cookie em seu dispositivo, exceto aqueles estritamente necessários para o funcionamento do seu site.

No entanto, de acordo com a CCPA, você deve divulgar quais dados está coletando e permitir que seu cliente negue permissão para vender seus dados. Mas eles não precisam concordar ativamente que você pode coletá-lo.

É por isso que a UE está pressionando por padrões internacionais para simplificar a conformidade global.

NB Se você estiver nos Estados Unidos e aguardando ansiosamente a substituição do Privacy Shield, talvez queira ler o livro da Microsoft - eles e outros declararam que cumprirão o GDPR em vez de depender de quaisquer mecanismos bilaterais para habilitar processamento de dados.

Que lições os web designers e desenvolvedores podem aprender com o GDPR?

A regulamentação da privacidade veio para ficar e afeta todas as nossas prioridades e fluxos de trabalho. Aqui estão seis lições a serem lembradas ao trabalhar com dados de clientes:

  1. Tivemos que correr para cumprir o GDPR. Agora é uma maratona.
    Sabemos que o GDPR continuará a evoluir junto com a tecnologia que pretende regular. Isso significa que as demandas sobre nós não permanecerão as mesmas. Não apenas isso, mas o GDPR inspirou uma legislação semelhante – mas não idêntica – em todo o mundo. Esses requisitos legais são definidos para continuar evoluindo.
  2. A conformidade cria vantagem competitiva.
    Embora as primeiras grandes multas do GDPR tenham sido de dar água nos olhos, na verdade é a publicidade negativa que muitos dizem ser a mais prejudicial. Quem se beneficia de um grande vazamento de dados? Os concorrentes da empresa. Por outro lado, se você incorporar a conformidade com o GDPR ao fortalecer seus processos de design e desenvolvimento, poderá se adaptar melhor à medida que os regulamentos evoluem.
  3. A conformidade com o GDPR e os melhores resultados do COVID-19 estão vinculados ao design centrado no usuário.
    Sabemos que as empresas que iniciaram sua transformação digital conseguiram se adaptar melhor à crise do COVID-19. O design centrado no usuário também suporta o GDPR. Ele tem o processo e o foco no cliente de que você precisa para criar produtos que se alinhem à ideia de que os dados do cliente são preciosos e devem ser protegidos. Isso facilitará a evolução de seus produtos de acordo com a legislação futura.
  4. Você pode criar conformidade em seus produtos digitais.
    A privacidade por design veio para ficar. Se você já usa o design de serviço, pode incluir informações do cliente como uma camada de dados em seus blueprints de serviço. Se você não fizer isso, agora é um ótimo momento para começar. O mapeamento de onde os dados são coletados, processados ​​e armazenados destaca os pontos fracos onde podem ocorrer violações em potencial. As ferramentas de conformidade automatizadas ajudarão a diminuir a carga das empresas, além de terem o potencial de tornar o processamento de dados mais seguro.
  5. O GDPR apoia a inovação – se você fizer certo.
    Alguns alertam que o GDPR está sufocando a inovação ao restringir os fluxos de dados e, especialmente, ao impedir as empresas de inovar com dados. Outros apontam para oportunidades de inovação com blockchain, IoT e IA de maneira segura e onde os dados estejam protegidos. A verdade? Sim, claro, você pode inovar e estar em conformidade com o GDPR. Mas a ética na IA é vital: você deve respeitar seus clientes e seus dados.
  6. Fique de olho em seus parceiros terceirizados.
    Isso remonta à decisão dos controladores conjuntos acima. As empresas agora compartilham a responsabilidade pelos dados do cliente com terceiros que os processam e esse processamento deve ser documentado. Você pode esperar que verificações de terceiros, monitoramento e obrigações contratuais sejam uma prioridade para as empresas a partir de agora.

Veja como o GDPR pode se desenvolver

Ufa. Isso é muito para absorver. Mas olhando para o futuro, é aqui que aposto que veremos mudanças.

  1. O GDPR continuará a evoluir , com clareza proveniente de casos de teste e legislação potencialmente adicional, incluindo o Regulamento de privacidade eletrônica.
  2. A UE continuará a promover a adoção internacional da lei de privacidade de dados. Veremos mais países adotarem a proteção de dados, geralmente incorporada a acordos comerciais e de segurança.
  3. Se tivermos sorte, podemos começar a ver a convergência internacional da legislação de privacidade de dados – especialmente se os EUA implementarem a privacidade de dados em nível federal.
  4. Mas também veremos mais confrontos entre a UE e os EUA, por causa de suas abordagens opostas à privacidade.
  5. Como 'dados são o novo petróleo', podemos ver mais situações em que os usuários recebem produtos e serviços gratuitos, fornecendo dados por meio de cookies.
  6. As empresas deixarão de usar cookies de terceiros para o rastreamento e automação do lado do servidor, a fim de permanecer em conformidade.
  7. As empresas adotarão o Privacy by Design (PdB) e ferramentas e processos de design de serviço, para ajudá-los a permanecer em conformidade com vários conjuntos de leis de privacidade.
  8. E finalmente – e este é definitivo – veremos mais e maiores ações judiciais de privacidade . Quem emergirá como os vencedores – grandes defensores da tecnologia ou da privacidade? Isso eu não sei, mas podemos ter certeza de uma coisa: advogados de privacidade vão ganhar muito dinheiro.

Uma palavra final sobre confiança

O tema subjacente às comunicações da Comissão Europeia e aos comentários de especialistas da indústria é a confiança . Agências digitais como a nossa agora precisam fornecer evidências de segurança de dados e conformidade com GDPR – até mesmo para políticas de treinamento de funcionários para proteção de dados. Essa é nova. A prioridade da UE é apoiar fluxos de dados seguros e protegidos e inovação, tanto dentro como fora da UE. A conformidade com os padrões é a solução para isso. E nós, como designers e desenvolvedores, temos um papel crucial a desempenhar.

  • Parte 1: GDPR, principais atualizações e o que elas significam
  • Parte 2: Consentimento de cookies para designers e desenvolvedores

Leitura adicional

  • Proteção de dados, o site da UE
  • Orientação da ICO do Reino Unido sobre cookies
  • Rastreador de aplicação do GDPR, registra as multas aplicadas sob o GDPR
  • Checklist GDPR, da Cyber-Duck (um ótimo lugar para começar)
  • Visão geral da lei de proteção de dados nos Estados Unidos, pelo ICLG
  • Guia de comparação GDPR e CCPA, por DataGuidance e o Future of Privacy Forum
  • CCPA vs CPRA, do IAPP
  • Segurança por design (Amazon)
  • Como proteger seus usuários com a estrutura de privacidade por design, Heather Burns, Smashing Magazine