Starea GDPR în 2021: actualizări cheie și ce înseamnă acestea

Publicat: 2022-03-10
Rezumat rapid ↬ În calitate de practicieni digitali, GDPR a afectat fiecare aspect al vieții noastre profesionale și personale. Indiferent dacă sunteți dependent de Instagram, trimiteți mesaje familiei dvs. pe WhatsApp, cumpărați produse de pe Etsy sau informații Google, nimeni nu a scăpat de regulile care au fost introduse în 2018.

Directivele UE au afectat practic fiecare profesionist digital, deoarece produsele și serviciile sunt concepute ținând cont de GDPR, indiferent dacă sunteți o companie de design web din Wisconsin sau un agent de marketing din Malta. Implicațiile de anvergură ale GDPR nu afectează doar modul în care ar trebui să fie procesate datele, cum ar trebui să fie construite produsele și modul în care datele sunt transferate în siguranță în cadrul și între organizații. Acesta definește acorduri internaționale de transfer de date precum cel dintre Europa și America.

Kevin Kelly, unul dintre cei mai străluciți futuriști digitali din lume, susține că „Tehnologia este o forță la fel de mare ca natura”. Ceea ce vrea să spună prin asta este că datele utilizatorilor și tehnologia informației provoacă una dintre cele mai profunde perioade din istoria omenirii de la inventarea limbajului. Priviți doar ce se întâmplă în timp ce guvernele și multinaționalele tehnologice se luptă pentru a controla internetul.

Numai săptămâna trecută, pe măsură ce guvernul australian a decis să-i oblige pe proprietarii platformei să plătească editorii pentru conținutul care este distribuit pe platforma lor, Facebook a decis să blocheze știrile pentru utilizatorii australieni, cu un scandal uriaș din partea guvernului australian.

Și asta pe lângă controversele anterioare (organizarea revoltei Capitoliului SUA, scandalul Cambridge Analytica) de la intersecția unde guvernul și tehnologia se întâlnesc.

În acest articol, vom analiza modul în care a evoluat GDPR din 2018. Vom analiza câteva actualizări din UE, câteva evoluții cheie și unde este probabil să evolueze GDPR. Vom explora ce înseamnă asta pentru noi , ca designeri și dezvoltatori. Și ne vom uita la ce înseamnă asta pentru companiile din interiorul și din afara UE.

În articolul următor, ne vom concentra pe consimțământul cookie-urilor și asupra paradoxului în care agenții de marketing se bazează în mare măsură pe datele cookie-urilor Google Analytics, dar trebuie să respecte reglementările. Și apoi ne vom arunca o privire profundă în urmărirea reclamelor primare, pe măsură ce începem să vedem că se îndepărtează de cookie-urile terță parte.

  • Partea 1: GDPR, actualizări cheie și ce înseamnă acestea
  • Partea 2: Consimțământul cookie-urilor pentru designeri și dezvoltatori

O recapitulare rapidă a GDPR

Să începem prin a ne aminti ce este GDPR. GDPR a devenit lege în UE la 25 mai 2018. Se bazează pe 7 principii cheie:

  1. Legalitate, corectitudine și transparență
    Trebuie să procesați datele pentru ca oamenii să înțeleagă ce, cum și de ce le procesați datele.
  2. Limitarea scopului
    Trebuie să colectați date numai în scopuri clare, specificate și legitime. Atunci nu îl puteți procesa în moduri care sunt incompatibile cu scopurile dumneavoastră inițiale.
  3. Minimizarea datelor
    Ar trebui să colectați doar datele de care aveți nevoie.
  4. Precizie
    Datele dumneavoastră trebuie să fie corecte și păstrate la zi. Datele inexacte trebuie șterse sau corectate.
  5. Limitarea stocării
    Dacă datele pot fi legate de persoane fizice, le puteți păstra doar atât timp cât aveți nevoie pentru a îndeplini scopurile pe care le-ați specificat. (Avertismente pentru utilizarea cercetării științifice, statistice sau istorice.)
  6. Integritate și confidențialitate (adică securitate)
    Trebuie să vă asigurați că datele personale pe care le dețineți sunt procesate în siguranță. Trebuie să îl protejați împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorarii accidentale.
  7. Responsabilitate
    Acum sunteți responsabil pentru datele pe care le dețineți și ar trebui să puteți demonstra conformitatea cu GDPR.
Diagramă care arată cele șapte principii ale GDPR: legalitate, integritate, stocare și limitări ale scopului, minimizarea și acuratețea datelor și responsabilitatea - suprapusă cu transparență, confidențialitate și controale
Principiile GDPR se bazează pe transparență, confidențialitate și controlul utilizatorilor. (Credit imagine: Cyber-Duck) (Previzualizare mare)

Câteva definiții

  • CJUE
    Curtea de Justitie a Uniunii Europene. Deciziile acestei instanțe clarifică legile UE precum GDPR.
  • DPA-uri
    Autoritățile Naționale pentru Protecția Datelor. Fiecare țară din UE are câte unul. GDPR este aplicat, iar amenzile sunt emise, la nivel național de către aceste organisme. Echivalentul din Marea Britanie este Biroul Comisarului pentru Informații (ICO). În Statele Unite, confidențialitatea datelor în stil GDPR este în mare măsură reglementată de fiecare stat.
  • Comisia Europeană
    Ramura executivă a Uniunii Europene (în esență, serviciul public al UE). Comisia Europeană elaborează legislație, inclusiv GDPR.
  • GDPR
    Regulamentul general privind protecția datelor din 2018.

Actualizări cheie din UE

GDPR nu a stat pe loc din mai 2018. Iată o scurtă prezentare a ceea ce s-a întâmplat de când a intrat în vigoare.

Cum au implementat UE și statele sale membre GDPR?

Comisia Europeană raportează că GDPR este implementat aproape pe deplin în întreaga UE, deși unele țări – care face numele Slovenia – și-au târât picioarele. Cu toate acestea, profunzimea implementării variază. UE spune, de asemenea, că țările sale membre își folosesc, în opinia sa, noile puteri în mod echitabil.

Cu toate acestea, și-a exprimat, de asemenea, îngrijorarea că se strecoară unele divergențe și fragmentare. GDPR poate funcționa eficient pe piața unică a UE numai dacă statele membre sunt aliniate . Dacă legile diverge, apa înnebunește.

Cum dorește UE să se dezvolte GDPR?

Știm că UE dorește să fie mai ușor pentru indivizi să își exercite drepturile conform GDPR. Aceasta înseamnă colaborare transfrontalieră și procese colective . Vrea să vadă portabilitatea datelor pentru consumatori, dincolo de serviciile bancare și de telecomunicații.

De asemenea, dorește să le faciliteze pentru întreprinderile mici și mijlocii ( IMM -uri) respectarea GDPR. Este posibil ca acest lucru să vină sub formă de asistență suplimentară și instrumente, cum ar fi clauze contractuale mai standard – în esență un șablon legal pe care IMM-urile le pot copia/lipi în contracte – deoarece UE nu dorește să încalce regulile pentru ele.

Dezvoltare mare #1: Definiția neașteptat de largă a „controllerului comun”

Corect, iată prima mare schimbare de când GDPR a devenit lege. În două cazuri test care implică Facebook, Curtea de Justiție a Uniunii Europene a definit o interpretare mult mai amplă a „controlorului comun” decât se aștepta.

O situație de controlor comun apare atunci când doi sau mai mulți controlori au ambii responsabilitatea de a îndeplini termenii GDPR. (Iată un explicator bun de la ICO despre controlorii comune.) În esență:

  • Atunci când procesați datele clienților, decideți împreună cu coleg(ii) controlor(i) care va gestiona fiecare pas, astfel încât să respectați GDPR.
  • Cu toate acestea, toți aveți întreaga responsabilitate de a vă asigura că întregul proces este conform . Fiecare dintre voi este pe deplin răspunzător în fața autorității de protecție a datelor din țara care gestionează orice reclamații.
  • O persoană poate depune o plângere împotriva fiecărui controlor comun.
  • Sunteți cu toții responsabili pentru orice daune cauzate – cu excepția cazului în care puteți dovedi că nu aveți nicio legătură cu evenimentul care a cauzat daunele.
  • O persoană poate solicita compensații de la orice controlor comun. Este posibil să puteți recupera o parte din această compensație de la colegii tăi controlori.

În primul dosar Facebook, CJUE a confirmat că o companie care deținea o pagină de fani Facebook a fost considerată controlor comun alături de Facebook. În a doua, CJUE a confirmat, de asemenea, că o companie care a încorporat un buton Facebook Like pe site-ul său web deținea statutul de controlor comun cu rețeaua de socializare.

Aceste cazuri au generat unde de șoc în comunitatea de confidențialitate, deoarece, în esență, îi responsabiliză pe editorii de rețele sociale, operatorii de site-uri web și moderatorii paginilor de fani pentru datele utilizatorilor alături de platforme precum Facebook.

Cu toate acestea, CJUE a clarificat și faptul că responsabilitatea comună nu înseamnă responsabilitate egală . În ambele cazuri, responsabilitatea revine în primul rând Facebook - numai Facebook avea acces la date și numai Facebook le putea șterge. Deci impactul acestei decizii poate fi mai puțin sever decât pare la început - dar este totuși extrem de important.

Și acesta ar putea fi motivul pentru care unele site-uri - cum ar fi site-ul web pentru președinția Germaniei în 2020 a UE - blochează în mod implicit conținutul social încorporat, până când ați optat în mod specific:

Captură de ecran a eu2020.de care arată conținutul feedului social blocat până când urmărirea terță parte este activată
Unele site-uri încep să blocheze fluxurile sociale încorporate să nu apară pe site-urile lor în mod prestabilit, oferind utilizatorilor posibilitatea de a se înscrie cu urmărire. (Previzualizare mare)

Dezvoltare mare #2: Adio Scutul de confidențialitate, Bună ziua CPRA

A doua mare schimbare a fost mai previzibilă: Privacy Shield , mecanismul care a făcut ca întreprinderile americane să proceseze mai ușor datele clienților europeni, a fost respins de instanțe.

Iata de ce.

UE dorește să protejeze datele personale ale cetățenilor săi. Cu toate acestea, vrea să încurajeze și comerțul internațional, plus colaborarea transfrontalieră în domenii precum securitatea.

UE se consideră – pe bună dreptate – un pionier în protecția datelor. Așa că își folosește mușchiul politic pentru a încuraja țările care doresc să facă comerț cu blocul comunitar să se conformeze standardelor sale de confidențialitate a datelor.

Intră în Statele Unite. Filozofiile europene și americane privind confidențialitatea datelor sunt diametral opuse . (În esență, viziunea europeană este că datele cu caracter personal sunt private dacă nu acordați permisiunea explicită. Viziunea americană este că datele dvs. sunt publice, cu excepția cazului în care solicitați în mod expres ca acestea să fie păstrate private.) Dar, fiind cele două cele mai mari piețe de consum din lume, trebuie să comerţul. Așa că UE și SUA au dezvoltat Privacy Shield.

Privacy Shield a fost conceput pentru a permite companiilor americane să prelucreze datele cetățenilor UE, atâta timp cât acele companii s-au înscris la standardele sale de confidențialitate mai înalte.

Dar, în conformitate cu legislația SUA, guvernul SUA ar putea încă monitoriza aceste date. Acest lucru a fost contestat într-un caz introdus de avocatul austriac al confidențialității Max Schrems. CJUE a fost de partea lui: Scutul de confidențialitate a fost anulat, iar celor 5.300 de IMM-uri americane care au folosit Scutul de confidențialitate nu au avut de ales decât să adopte clauzele contractuale standard prescrise de UE.

Evident, este în interesul tuturor ca Privacy Shield să fie înlocuit – și va fi. Dar experții spun că înlocuirea sa va fi anulată din nou în timp util, deoarece abordările europene și americane ale vieții private sunt în esență incompatibile.

Între timp, în California, California Consumer Privacy Act (CCPA) inspirat de GDPR din 2018 a fost consolidat în noiembrie 2020, când a fost adoptată California Privacy Rights Act (CPRA).

Legea privind confidențialitatea consumatorilor din California (CCPA)

CCPA, care a intrat în vigoare în ianuarie 2020, oferă cetățenilor din California dreptul de a renunța la vânzarea datelor lor . De asemenea, pot cere dezvăluirea oricăror date care au fost colectate și pot cere ca datele respective să fie șterse. Spre deosebire de GDPR, CCPA se aplică numai companiilor comerciale:

  • Cine prelucrează datele a peste 50.000 de rezidenți din California pe an, SAU
  • Care generează venituri brute de peste 25 de dolari pe an, SAU
  • Care realizează mai mult de jumătate din veniturile lor anuale din vânzarea datelor personale ale rezidenților din California

Legea privind drepturile la confidențialitate din California (CPRA)

CPRA, care intră în vigoare în ianuarie 2023, depășește CCPA . Punctele sale cheie includ:

  • Acesta ridică ștacheta companiilor care prelucrează datele a 100.000 de rezidenți din California pe an
  • Oferă mai multă protecție datelor sensibile ale californienilor , cum ar fi rasa, religia, orientarea sexuală și datele de sănătate și ID-ul guvernamental.
  • Se triplează amenzile pentru încălcarea datelor privind minorii
  • Oferă californienilor dreptul de a solicita ca datele lor să fie corectate
  • Obliga companiile să ajute cu investigațiile CPRA
  • Și înființează o agenție de protecție a confidențialității din California pentru a aplica CPRA
Grafic care rezumă CPRA
California își înăsprește legislația privind confidențialitatea cu CPRA, care va veni în 2023. (Previzualizare mare)

În alte state au loc eforturi suplimentare către legi privind confidențialitatea și, împreună, acestea pot întări necesitatea măsurilor federale de confidențialitate sub noua administrație Biden.

Marea dezvoltare #3: Consimțământul cookie-urilor

În mai 2020, UE și-a actualizat ghidul GDPR pentru a clarifica mai multe puncte, inclusiv două puncte cheie pentru consimțământul pentru cookie-uri:

  • Pereții cookie-urilor nu oferă utilizatorilor o alegere reală, deoarece dacă respingeți cookie-urile vi se blochează accesul la conținut. Confirmă faptul că pereții cookie-urilor nu trebuie folosiți.
  • Derularea sau glisarea prin conținut web nu echivalează cu consimțământul implicit . UE reiterează că consimțământul trebuie să fie explicit.

Voi aprofunda acest lucru în al doilea articol săptămâna viitoare.

Notificare privind cookie-urile Cyber-Duck cu urmărirea anunțurilor activată în mod prestabilit
UE și-a actualizat ghidul privind consimțământul pentru cookie-uri. (Previzualizare mare)

Dezvoltare mare #4: Google și Apple încep să treacă de la urmărirea terță parte

Pe măsură ce marii jucători digitali își dau seama cum să îndeplinească GDPR – și cum să transforme legislația privind confidențialitatea în avantajul lor – unii au fost deja criticați.

Atât Google, cât și Apple se confruntă cu procese antitrust , în urma plângerilor din partea companiilor de tehnologie și a editorilor.

În ambele cazuri, reclamanții spun că marile companii de tehnologie își exploatează poziția dominantă pe piață.

Din nou, mai multe despre asta data viitoare.

Mai multe după săritură! Continuați să citiți mai jos ↓

Dezvoltare mare #5: Amenzi mari GDPR vin aici

Desigur, multe organizații au sărit să respecte GDPR pentru că se temeau de amenzile pe care le-ar putea aplica autoritățile de reglementare. Aceste amenzi au început să apară:

Autoritatea franceză de reglementare a datelor a aplicat Google o amendă de 50 de milioane de euro pentru „lipsa de transparență, informații inadecvate și lipsa consimțământului valid cu privire la personalizarea reclamelor”, declarând că utilizatorii „nu erau suficient de informați” despre cum și de ce Google și-a colectat datele.

Echivalentul său din Marea Britanie, ICO, a amendat conglomeratul hotelier din SUA Marriott International Inc. 18,4 milioane de lire sterline pentru că nu a păstrat în siguranță evidențele a 339 de milioane de oaspeți. Atacul cibernetic din 2014 asupra Starwood Hotels and Resorts Worldwide, Inc., pe care Marriott l-a achiziționat în 2016, a fost descoperit abia în 2018.

De asemenea, ICO din Marea Britanie a amendat British Airways cu un record de 20 de milioane de lire sterline pentru o încălcare a datelor în 2018 a datelor personale și ale cardurilor de credit ale a 400.000 de clienți.

Apoi mai este preferatul meu personal, o încălcare șocantă a încrederii angajaților de către H&M, care a dus la o penalizare de 35 de milioane de euro.

Deci acolo ne aflăm astăzi.

Ce înseamnă asta pentru tine?

În calitate de designeri și dezvoltatori, GDPR are – și va continua să aibă – un impact mare asupra produselor pe care le proiectăm și construim și asupra modului în care proiectăm pentru date.

Iată ce ar trebui să știm noi, ca designeri

  • GDPR este esențial pentru dvs., deoarece veți proiecta punctele în care utilizatorii își împărtășesc datele , ce date sunt colectate și cum sunt procesate.
  • Urmați cele mai bune practici de confidențialitate prin proiectare. Nu încercați să reinventați roata - dacă ați creat un banner pentru cookie-uri compatibil, utilizați modelul dvs. de design dovedit.
  • Colaborați cu echipele dvs. de conformitate și dezvoltare pentru a vă asigura că proiectele respectă GDPR și pot fi implementate. Cereți doar datele de care aveți nevoie.
  • În cele din urmă, întreabă-ți utilizatorii ce date sunt confortabil să partajeze și cum ar dori să le folosești. Dacă li se pare înfiorător, revizuiește-ți abordarea.

Iată ce ar trebui să știm noi, ca dezvoltatori

  • GDPR este esențial pentru dvs., deoarece permiteți procesarea datelor , partajarea și integrările.
  • Ca regulă generală cu GDPR, luați o abordare care necesită acces . Începeți prin a implementa totul fără acces, apoi acordați echipei dvs. acces la date numai atunci când este necesar (de exemplu, oferiți dezvoltatorilor acces la consola Google Analytics). Auditează și documentează-te pe măsură ce mergi.
  • Respectați principiile confidențialității prin proiectare și securității prin proiectare. Șabloanele robuste și sigure pentru implementarea infrastructurii sunt esențiale.
  • Asigurați-vă că sunteți implicat din timp cu privire la aspectele tehnice, de exemplu, consimțământul cookie/urmărirea conversațiilor, astfel încât ceea ce este decis să poată fi implementat.
  • Maparea proceselor arată unde datele sunt partajate cu diferite părți ale afacerii.
  • Automatizarea oferă o manipulare sigură a datelor care reduce erorile umane. De asemenea, ajută la prevenirea accesării datelor de către persoanele greșite.
  • Listele de verificare GDPR și, desigur, cărțile de rulare vă vor ajuta să vă gestionați procesul. Din nou, auditați și documentați pe măsură ce mergeți.

Acum să vedem cum va evolua GDPR în viitorul apropiat. Ne vom concentra pe trei domenii.

Trei domenii în care GDPR evoluează rapid

1. Cum implementează UE GDPR

În primul rând, să vedem cum va fi încorporat în continuare GDPR în peisajul legislativ.

UE dorește să -și mențină statele membre aliniate , pentru că asta va facilita procesele transfrontaliere și colaborarea internațională. Așadar, a întărit faptul că țările nu ar trebui să se abată de la GDPR și nici să nu depășească. Unele state membre, așa cum am spus, sunt de acord cu regulamentul. Alții doresc să depășească standardele GDPR.

În schimbul alinierii lor, UE va impune conformitatea , va lucra pentru a permite acțiunile colective și procesele transfrontaliere mai ieftine și, de asemenea, va promova confidențialitatea și standardele coerente în afara UE. Pe lângă suport suplimentar și instrumente pentru IMM-uri, este posibil să vedem și certificare pentru securitate și protecția datelor prin proiectare.

În cele din urmă, acest lucru ar putea ridica unele sprâncene în Silicon Valley: UE a sugerat că ar putea lua în considerare interzicerea procesării datelor pentru a încuraja conformitatea . Amenzile de 50 de milioane de euro nu sunt sfârșitul lumii pentru Google și prieteni. Dar timpul pe pasul obraznic - și PR-ul prost rezultat - este un lucru foarte diferit.

2. Cum funcționează GDPR cu inovația

GDPR a fost conceput pentru a fi neutru din punct de vedere tehnologic și pentru a sprijini, nu a împiedica, inovația. Acest lucru a fost cu siguranță testat în ultimele 12 luni, iar UE subliniază lansarea rapidă a aplicațiilor COVID-19 ca dovadă că legislația sa funcționează.

Ne putem aștepta să vedem coduri de conduită pentru categorii sensibile de date (sănătate și cercetare științifică). Acestea vor fi binevenite.

Cu toate acestea, ei urmăresc cu atenție inovatorii. UE și-a exprimat îngrijorarea cu privire la confidențialitatea datelor în video, dispozitive IoT și blockchain. Aceștia sunt preocupați în special de recunoașterea facială (și probabil a vocii) și de evoluția AI.

În special, Comisia este profund îngrijorată de ceea ce numește „companii multinaționale de tehnologie”, „platforme digitale mari” și „publicitate online și micro-targeting”. Da, încă o dată se uită la tine, Facebook, Amazon, Google și prieteni.

3. Cum promovează UE standardele GDPR dincolo de UE

Economia noastră digitală este globală, așa că impactul GDPR se răspândește dincolo de granițele UE – și nu doar în ceea ce privește conformitatea. UE stabilește standardul pentru legislația privind protecția datelor la nivel mondial. Dincolo de CCPA din California, vezi LGPD din Brazilia, plus evoluțiile din Canada, Australia, India și un grup de state americane.

Desigur, este în interesul UE dacă alte țări și blocuri comerciale se potrivesc standardelor lor. Prin urmare, promovează GDPR prin mai multe căi :

  • Prin „decizii de adecvare reciprocă” cu Japonia și în scurt timp Coreea de Sud
  • Încorporat în acordurile comerciale bilaterale, de exemplu cu Noua Zeelandă, Australia, Marea Britanie
  • Prin forumuri precum OCDE, ASEAN, G7 și G20
  • Prin Academia de protecție a datelor pentru autoritățile de reglementare din UE și internaționale

Este deosebit de dornic să împuternicească inovarea prin fluxuri de date de încredere și să permită cooperarea internațională între autoritățile de aplicare a legii și operatorii privați.

UE este lider mondial în protecția datelor. Unde merge, vor urma și alții. Deci, chiar dacă nu proiectați/dezvoltați pentru un public din UE, trebuie să fiți conștienți de ceea ce se întâmplă.

Ce înseamnă toate acestea pentru companiile din UE?

Companiile care operează în UE trebuie să respecte GDPR sau riscă să fie amendate. Acele amenzi pot fi destul de mari, după cum am văzut. Așadar, trebuie să puteți demonstra că respectați cele 7 principii ale GDPR și la îndrumările specifice din partea autorității naționale pentru protecția datelor.

Cu toate acestea, acest lucru nu este atât de simplu pe cât pare și puteți alege să vă evaluați riscul în unele cazuri. Vă voi prezenta un exemplu în acest sens data viitoare.

Ce înseamnă acest lucru pentru companiile cu sediul în afara UE?

Implicațiile pentru companiile cu sediul în afara UE sunt exact aceleași cu cele pentru țările UE , dacă prelucrează date cu caracter personal din UE. Asta pentru că GDPR se aplică datelor cu caracter personal ale persoanelor cu sediul în UE. Dacă doriți să o procesați, de exemplu să vindeți clienților din UE, trebuie să respectați regulile. Altfel, riști să fii amendat, precum Facebook și Google.

Iată cum se aplică : dacă aveți o prezență în UE, așa cum o fac multe multinaționale, și nu plătiți o amendă GDPR, activele dvs. din UE pot fi confiscate. Dacă nu aveți prezență, sunteți obligat, conform GDPR, să numiți un reprezentant în UE. Orice amenzi vor fi percepute prin intermediul reprezentantului respectiv. Alternativ, vă puteți confrunta cu un proces internațional complex și costisitor .

Și iată unde devine complex pentru toată lumea:

Dacă baza dvs. de clienți include persoane din UE și cetățeni din alte locuri cu legi privind confidențialitatea, cum ar fi statul California, trebuie să respectați atât Legea privind confidențialitatea consumatorilor din California (CCPA), cât și GDPR. Aceste loturi de legislație se aliniază în general, dar nu se potrivesc.

Luați prăjiturile, de exemplu. Conform GDPR, trebuie să obțineți consimțământul activ de la un utilizator înainte de a plasa un cookie pe dispozitivul său, cu excepția celor strict necesare pentru ca site-ul dvs. să funcționeze.

Cu toate acestea, conform CCPA, trebuie să dezvăluiți datele pe care le colectați și să permiteți clientului să vă refuze permisiunea de a-și vinde datele. Dar nu trebuie să fie de acord în mod activ că îl puteți colecta.

De aceea, UE face eforturi pentru standarde internaționale care să simplifice conformitatea globală.

NB Dacă vă aflați în Statele Unite și așteptați cu nerăbdare înlocuirea Scutului de confidențialitate, s-ar putea să doriți să luați o pagină din cartea Microsoft - ei și alții au declarat că vor respecta GDPR, mai degrabă decât să depind de orice mecanism bilateral care să le permită procesarea datelor.

Ce lecții pot învăța designerii și dezvoltatorii web din GDPR?

Reglementările privind confidențialitatea sunt aici pentru a rămâne și ne afectează toate prioritățile și fluxurile de lucru. Iată șase lecții de reținut când lucrați cu datele clienților:

  1. A trebuit să sprintăm pentru a ne conforma GDPR. Acum este un maraton.
    Știm că GDPR va continua să evolueze alături de tehnologia pe care își propune să o reglementeze. Asta înseamnă că cerințele față de noi nu vor rămâne aceleași. Nu numai asta, dar GDPR a inspirat legislație similară – dar nu identică – în întreaga lume. Aceste cerințe legale sunt stabilite pentru a continua să evolueze.
  2. Conformitatea creează un avantaj competitiv.
    În timp ce primele amenzi majore ale GDPR au fost uimitoare, de fapt, publicitatea negativă este cea mai dăunătoare despre care mulți spun. Cine beneficiază de o scurgere mare de date? Concurenții companiei. Pe de altă parte, dacă încorporați conformitatea GDPR pe măsură ce vă consolidați procesele de proiectare și dezvoltare, veți fi mai capabil să vă adaptați pe măsură ce reglementările evoluează.
  3. Conformitatea GDPR și rezultatele mai bune ale COVID-19 sunt legate de un design centrat pe utilizator.
    Știm că companiile care și-au început transformarea digitală au fost mai capabile să se adapteze la criza COVID-19. Designul centrat pe utilizator acceptă și GDPR. Are procesul și concentrarea asupra clienților de care aveți nevoie pentru a construi produse care se aliniază cu ideea că datele clienților sunt prețioase și trebuie protejate. Acest lucru va face mai ușor să vă evoluați produsele în conformitate cu legislația viitoare.
  4. Puteți construi conformitatea în produsele dvs. digitale.
    Confidențialitatea prin design este aici pentru a rămâne. Dacă utilizați deja designul serviciului, puteți include informații despre clienți ca strat de date în planurile dvs. de servicii. Dacă nu, acum este un moment grozav pentru a începe. Cartografierea unde datele sunt colectate, procesate și stocate evidențiază punctele slabe în care pot apărea posibile încălcări. Instrumentele automate de conformitate vor ajuta la reducerea poverii companiilor și au potențialul de a face procesarea datelor mai sigură.
  5. GDPR sprijină inovația – dacă o faci corect.
    Unii avertizează că GDPR sufocă inovația prin restrângerea fluxurilor de date și, mai ales, prin descurajarea companiilor de a inove cu date. Alții indică oportunitățile de a inova cu blockchain, IoT și AI într-un mod care este sigur și unde datele sunt protejate. Adevărul? Da, bineînțeles, poți să inovezi și să fii în conformitate cu GDPR. Dar etica în inteligența artificială este vitală: trebuie să vă respectați clienții și datele acestora.
  6. Fii cu ochii pe partenerii tăi terți.
    Acest lucru se întoarce la decizia controlorilor comuni de mai sus. Companiile împărtășesc acum responsabilitatea pentru datele clienților cu orice terță parte care le prelucrează și acea prelucrare trebuie să fie documentată. Vă puteți aștepta ca verificările terților, monitorizarea și obligațiile contractuale să fie de acum înainte o prioritate pentru companii.

Iată cum s-ar putea dezvolta GDPR

Uf. Este mult de luat în considerare. Dar privind în viitor, iată unde pariez că vom vedea schimbarea.

  1. GDPR va continua să evolueze , claritatea provenind din cazurile de testare și, eventual, legislație ulterioară, inclusiv Regulamentul privind confidențialitatea electronică.
  2. UE va continua să promoveze adoptarea internațională a legii privind confidențialitatea datelor. Vom vedea că mai multe țări adoptă protecția datelor, adesea inclusă în acorduri comerciale și de securitate.
  3. Dacă avem noroc, s-ar putea să începem să vedem o convergență internațională a legislației privind confidențialitatea datelor – mai ales dacă SUA implementează confidențialitatea datelor la nivel federal.
  4. Dar vom vedea și mai multe ciocniri între UE și SUA, din cauza abordărilor lor opuse față de confidențialitate.
  5. Întrucât „datele sunt noul ulei”, am putea vedea mai multe situații în care utilizatorii primesc produse și servicii gratuite, oferind date prin cookie-uri.
  6. Companiile se vor deplasa de la cookie-urile terță parte și vor trece la urmărirea și automatizarea pe partea serverului, pentru a rămâne în conformitate.
  7. Companiile vor adopta instrumente și procese de confidențialitate prin proiectare (PdB) și de proiectare a serviciilor, pentru a le ajuta să respecte mai multe seturi de legi privind confidențialitatea.
  8. Și, în sfârșit - și acesta este unul definitiv - vom vedea mai multe procese de confidențialitate și mai mari . Cine vor deveni câștigători – marii susținători ai tehnologiei sau a confidențialității? Asta nu știu, dar putem fi siguri de un lucru: avocații de confidențialitate vor câștiga mulți bani.

Un ultim cuvânt despre încredere

Tema care stă la baza atât comunicărilor Comisiei Europene, cât și comentariilor experților din industrie este încrederea . Agențiile digitale precum a noastră trebuie acum să ofere dovezi ale securității datelor și conformității GDPR – chiar și până la politicile de formare a personalului pentru protecția datelor. Asta e nou. Prioritatea UE este sprijinirea fluxurilor de date sigure și securizate și a inovației, atât în ​​interiorul UE, cât și în afara acesteia. Respectarea standardelor este soluția lor pentru aceasta. Și noi, ca designeri și dezvoltatori, avem un rol crucial de jucat.

  • Partea 1: GDPR, actualizări cheie și ce înseamnă acestea
  • Partea 2: Consimțământul cookie-urilor pentru designeri și dezvoltatori

Lectură suplimentară

  • Protecția datelor, site-ul UE
  • Ghidul ICO al Regatului Unit privind cookie-urile
  • GDPR Enforcement Tracker, înregistrează amenzile aplicate conform GDPR
  • Lista de verificare GDPR, de Cyber-Duck (un loc minunat de a începe)
  • Prezentare generală a legii privind protecția datelor în Statele Unite, de ICLG
  • Ghid de comparare GDPR și CCPA, de DataGuidance și Forumul Viitorul confidențialității
  • CCPA vs CPRA, de la IAPP
  • Securitate prin proiectare (Amazon)
  • Cum să vă protejați utilizatorii cu Cadrul de confidențialitate prin design, Heather Burns, Smashing Magazine