Como o GDPR afetará as marcas dos EUA

O uso (e uso indevido) de dados representa um desafio único para legisladores e autoridades policiais. Ao contrário dos bens e serviços tradicionais, os fluxos de dados não respeitam as fronteiras internacionais tradicionais, e a taxa de mudança tecnológica significa que a lei de privacidade de dados é sempre muito ampla ou totalmente desatualizada.

Em particular, os reguladores têm se esforçado para desenvolver práticas de fiscalização eficazes para empresas que têm um grande impacto em seu território, mas estão fisicamente sediadas em outro lugar.

Este é o tema subjacente do atual caso da Suprema Corte dos EUA Estados Unidos v. Microsoft Corp , que levou recentemente à aprovação do Clarifying Lawful Overseas Use of Data (CLOUD) Act, que efetivamente permitirá que as autoridades dos EUA obriguem as empresas a fornecer dados armazenados em servidores, independentemente de estarem localizados nos EUA ou em países estrangeiros.

Da mesma forma, muitos ainda estão se recuperando do escândalo Cambridge Analytica/Facebook, que demonstrou como a manipulação estrangeira de dados de indivíduos pode interferir na política doméstica.

Nesse contexto, talvez não seja surpreendente que a legislação de privacidade de dados de referência da UE, o Regulamento Geral de Proteção de Dados (GDPR), busque aplicar padrões aprimorados de proteção de dados não apenas às empresas sediadas na UE, mas também a muitas fora dela.

Neste post, examino o que o GDPR significa para as marcas dos EUA e quais etapas, se houver, elas devem tomar agora para se preparar:

O que é o GDPR e como a lei da UE se aplica às empresas dos EUA?

Simplificando, o GDPR é uma legislação da UE que visa proteger os dados pessoais dos cidadãos da UE, regulando como as organizações coletam, armazenam e processam esses dados.

Ao contrário de sua antecessora, a Diretiva de Proteção de Dados, que geralmente não regulava empresas sediadas fora da UE, o GDPR se aplica a qualquer processamento de dados pessoais de titulares de dados que estejam na UE, onde as atividades de processamento estejam relacionadas a: oferta de bens ou serviços a esses titulares de dados na UE (independentemente de ser necessário um pagamento do titular dos dados); ou, a monitorização do seu comportamento desde que o seu comportamento ocorra na UE.

Isso significa que o GDPR não é relevante apenas para empresas multinacionais que podem estar sediadas nos EUA ou para empresas americanas que têm operações comerciais diretas na UE, mas também para muitas empresas americanas que não têm. Em um contexto online, o GDPR será relevante se:

• Você tem uma forte presença na Internet na UE (mesmo que não venda diretamente na UE)
• Você é uma empresa de comércio eletrônico que aceita moedas da UE e/ou tem um sufixo de domínio da UE (como .co.uk, .fr, .de, etc.)
• Você tem visitantes da UE e realiza a personalização em seu site.

O custo de errar

Se algum dos itens acima se aplicar à sua organização, você deve revisar cuidadosamente suas práticas de manuseio de dados e determinar se o GDPR provavelmente se aplicará ou não às suas atividades online. Uma das razões pelas quais isso é tão importante é por causa das multas significativas sob o novo regulamento.

O GDPR introduz penalidades graves para empresas que não cumprem as novas regras. As multas podem chegar a € 20 milhões, ou 4% do faturamento mundial de uma organização — o que for maior.

Ainda não está claro como os reguladores da UE imporiam essas penalidades às empresas americanas que não têm presença permanente em nenhum país da UE, mas a escala das possíveis multas deve significar que mesmo as empresas apenas dos EUA devem levar as novas regras a sério.

A conformidade pode ser simples, mas não é apenas um exercício de caixa de seleção

Ao contrário da crença popular, a conformidade com o GDPR pode ser alcançada de forma simples e sem uma enorme quantidade de recursos. No entanto, não é um exercício de caixa de seleção simples e algumas das etapas podem exigir a participação de várias partes interessadas em sua organização.

Para um guia mais detalhado sobre os novos requisitos, o regulador do Reino Unido publicou um resumo do GDPR, que é um ótimo ponto de partida se você estiver chegando a isso. No entanto, para empresas que não estão acostumadas com a lei de proteção de dados da UE, cumprir o GDPR também pode exigir uma mudança fundamental na forma como os dados são conceituados:

1.) Dados pessoais vs PII

A definição de "dados pessoais" sob o GDPR é muito mais ampla do que o conceito semelhante dos EUA de "informações de identificação pessoal" (PII).

PII, conforme entendido nos EUA, normalmente se limita a identificadores como nome, CPF, data e local de nascimento e registros biométricos, médicos, educacionais, financeiros e de emprego. Por outro lado, dados pessoais na UE significam qualquer informação relacionada a uma pessoa física identificada ou identificável, ou "titular dos dados". Isso abrange identificadores incluídos na definição de PII dos EUA e, adicionalmente, identificadores online, como endereço de e-mail, ID de cookie, endereço IP, hábitos de navegação, dados de localização e assim por diante.

Na prática, essa definição ampla de dados pessoais significa que atividades como personalização de sites são capturadas pelo GDPR, mesmo que tal personalização envolva apenas o uso básico de análises com base no ID do cookie ou no endereço IP de um usuário.

2.) Os Princípios de Proteção de Dados e consentimento

O GDPR reconhece que as empresas têm um interesse legítimo em coletar e usar dados pessoais (por exemplo, para entender como os visitantes interagem com o site de uma empresa). No entanto, ao fazê-lo, as empresas são obrigadas a seguir certos "princípios de proteção de dados", como garantir a transparência com o titular dos dados.

Além disso, pode haver momentos em que o consentimento de um visitante seja necessário antes que seus dados possam ser coletados, o que, de acordo com o GDPR, exige mais do que apenas se referir a uma declaração de privacidade online. O GDPR elimina o consentimento implícito e as caixas pré-selecionadas e coloca o ônus das empresas em mostrar que o titular dos dados entendeu e concordou totalmente com o que está sendo solicitado a consentir.

3.) Propriedade

Ao contrário dos EUA, onde todos os dados coletados de um site são normalmente considerados como pertencentes ao proprietário desse site, na UE, os dados pessoais pertencem ao titular dos dados em questão. Assim, esse indivíduo tem o direito de controlar como seus dados são processados, o que se reflete nos amplos direitos dos titulares de dados sob o GDPR de acessar, tirar cópias e exigir que as empresas excluam seus dados. As empresas são obrigadas a cumprir tais solicitações de acordo com prazos estritos, ou enfrentam ações de fiscalização potencialmente severas por parte dos reguladores locais.

Da mesma forma, requisitos muito mais rigorosos também são introduzidos quando terceiros estão envolvidos. Em particular, os titulares dos dados devem ser informados com quais empresas seus dados estão sendo compartilhados, e as organizações só podem contratar terceiros que possam garantir um nível adequado de segurança de dados. Isso deve ser comprovado por documentação contratual específica que atenda aos requisitos de conteúdo do GDPR. Compreender essas diferenças conceituais será fundamental para as empresas que buscam cumprir o GDPR.

Empacotando

O GDPR mudará a maneira como as empresas interagem com os dados – não apenas na UE, mas em todo o mundo. As marcas dos EUA, especialmente aquelas com forte presença na Internet, devem revisar cuidadosamente suas práticas de manuseio de dados e determinar se o GDPR provavelmente se aplicará ou não às suas atividades online. Quaisquer preocupações devem ser discutidas com o advogado bem antes da data efetiva do GDPR para evitar multas consideráveis ​​sob o novo regulamento.