O que as marcas podem aprender com um ano de GDPR na preparação para a Lei de Privacidade do Consumidor da Califórnia

O seguinte é um post convidado de Jack Carvel, conselheiro geral da Qubit.

Maio de 2019 marca o aniversário de um ano da implementação do Regulamento Geral de Proteção de Dados (​GDPR), a mudança mais substancial no regulamento de privacidade de dados em décadas. Embora o GDPR tenha feito um bem significativo ao aumentar a conscientização sobre os direitos dos indivíduos quando se trata de dados, a história da aplicação foi totalmente diferente.

A surpreendente falta de grandes multas e o uso indevido contínuo de dados de terceiros, que muitos pensavam que deixariam de existir completamente, foram gritantes no ano passado. No entanto, isso ainda pode mudar com a implementação de nova legislação, como o componente ePrivacy antecipado - o próximo elemento do regime de proteção de dados da UE que deverá entrar em vigor em breve - e um grande desenvolvimento de privacidade de dados chegando aos EUA em janeiro 2020: a Lei de Privacidade do Consumidor da Califórnia (CCPA). Neste post, discutirei as lições aprendidas com o GDPR após um ano e dicas de como se preparar melhor para a CCPA e outras legislações mais rigorosas previstas para o futuro próximo.

GDPR: "A+" para conscientização, "D" para aplicação

Primeiro, vamos dar o crédito onde é devido: o GDPR tem sido muito bom para as empresas que o levaram a sério. Isso levou a bancos de dados de clientes mais saudáveis, com uma compreensão mais clara dos clientes e uma melhor percepção de seu comportamento.

A primavera passada foi um pouco como aplicar o Método Kondo ou limpeza de primavera aos dados, já que empresas em todo o mundo estavam passando pelo processo de entender onde seus dados estão armazenados e o que está acontecendo com eles. Todos se concentraram na proteção de dados por apenas alguns meses, tornando o mundo online mais seguro e protegido. E, o escrutínio melhorou tremendamente. Houve um punhado de multas, e entre elas uma significativa para o Google de 50 milhões de euros. No início, muitos na indústria presumiram que essas multas se tornariam a norma, mas ainda não vimos isso.

Uma área em que o GDPR tem sido particularmente fraco é em suas negociações com corretores de dados de terceiros. Há muitas más práticas por aí com empresas cujo modelo de negócios inteiro depende da venda de dados de segunda ou terceira mão. Esses dados podem ser facilmente copiados, divulgados e fornecidos a terceiros sem que o consumidor saiba – e provavelmente foram obtidos sem consentimento ou compreensão de quais dados estavam sendo coletados e por quê. Com o GDPR, muitos esperavam que isso acabasse, mas os reguladores não foram atrás dessas práticas abusivas de dados.

Existem também empresas menores nos EUA (e em outras jurisdições fora da UE) que não estão em conformidade com os padrões. Eles não têm recursos para cumprir os diferentes regimes de dados e não têm advogados internos para monitorar a conformidade, então eles simplesmente assumem o risco. Com essas empresas, quando há uma violação, há muito pouca transparência, pois os reguladores não conseguem verificar a precisão das declarações. No entanto, a não conformidade é uma estratégia muito arriscada. Os consumidores estão se tornando muito mais conscientes de seus direitos de dados e do valor de seus dados, portanto, embora uma empresa possa evitar multas, está arriscando o patrimônio e a reputação de sua marca caso sofra uma violação de dados – e isso pode ser ainda pior do que multas.

Aplicação mais rigorosa pode estar chegando

Existem regulamentos de privacidade de dados que são antecipados que podem mudar o jogo com a aplicação. Um desenvolvimento significativo que está por vir é o ePrivacy Regulation, que define políticas sobre cookies, qual consentimento é necessário, para quem as empresas podem enviar e-mail e por quais motivos, rastreamento e assim por diante, adicionando uma camada mais definitiva ao conceito mais amplo de dados pessoais. É provável que isso acione mais fiscalização, porque os reguladores usarão o regulamento GDPR e ePrivacy em conjunto, embora ainda demore meses.

Outra lei no horizonte que mudará a forma como as empresas operam é a CCPA. O importante aqui é que este é o primeiro desse tipo de legislação que está enraizado nos EUA. Podemos não estar vendo tanto burburinho em torno deste próximo regulamento, talvez porque não seja uma lei federal, mas as empresas que não se preparam para isso podem se surpreenda desagradavelmente com multas, como até US$ 7.500 por violação da CCPA e US$ 750 por cada registro comprometido — o que pode somar uma quantia considerável e pode ser devastador para uma empresa menor.

Algumas dicas para varejistas

Os varejistas, especialmente aqueles nos EUA que não passaram pelo rigoroso processo de preparação para o GDPR que as empresas globais têm, devem considerar a preparação antecipada significativa necessária para cumprir as próximas políticas. A Califórnia provavelmente será mais rigorosa na imposição de pesadas multas por não conformidade do que observamos com o GDPR. Grandes marcas globais já podem estar preparadas para a CCPA devido, em parte, às suas preparações para o GDPR e ao minucioso escrutínio de dados que existe na Europa há algum tempo. No entanto, as empresas menores podem ser pegas de surpresa pelas rigorosas investigações de privacidade e conformidade de dados que estão por vir. Aqui estão algumas dicas que podem ajudar as empresas americanas e aquelas que desejam continuar a fazer negócios na Califórnia ajudam a se preparar para a próxima legislação:

1. Mesmo que não seja um requisito firme da CCPA, criar um "registro de processamento" deve ser o primeiro passo: identificar quais dados você está coletando e exatamente o que você está fazendo com eles. Ao passar por esse processo, você entenderá em que escopo se enquadra no CCPA. Você deve entrar no processo com uma compreensão completa de tudo isso.
2. É claro que os dados são valiosos, mas mais dados não significam necessariamente mais valor. Se você não sabe por que está coletando, livre-se dele. Dados que não são úteis para sua empresa estão apenas custando dinheiro em custos de armazenamento e estão aumentando sua exposição a violações de dados. A exclusão de dados pode parecer assustadora, mas é uma etapa incrivelmente poderosa e, em última análise, tornará sua tomada de decisão orientada por dados mais eficiente. Muitas empresas viram taxas de conversão aumentadas e segmentação mais eficaz ao usar conjuntos de dados limpos.
3. De acordo com o GDPR, há um requisito para um responsável pela proteção de dados em alguns casos. Esta é uma boa ideia em geral: responsabilizar alguém pela privacidade dos dados e por preparar a empresa para cumprir suas obrigações sob os regimes legais aplicáveis. Além disso, certifique-se de que esse indivíduo tenha alta visibilidade. Com a CCPA, não há exigência de que essa pessoa se reporte à alta administração, como no GDPR; no entanto, seria uma boa ideia garantir que a alta administração esteja bem ciente do que o auditor interno encontra.
4. Entre em contato proativamente com seus fornecedores e parceiros para entender o que acontece em cenários específicos; eles seriam capazes de ajudá-lo com os requisitos dentro de prazos específicos? Fale sobre o processo. Quando você iniciar essa conversa com as outras partes com as quais sua empresa trabalha, ficará rapidamente claro se elas poderão ajudar e cumprir.
5. Entenda os benefícios positivos das leis de privacidade de dados para o seu negócio. Essas políticas capacitam as empresas a tornar seus bancos de dados de clientes mais saudáveis ​​e ativos, reduzir custos relacionados ao armazenamento de dados e desenvolver comunicações mais pessoais para os indivíduos que desejam recebê-los.
6. Torná-lo divertido. É muito mais provável que os usuários finais entendam e concordem com suas práticas de manipulação de dados se você usar uma linguagem clara e simples e mostrar a eles os benefícios do que está fazendo. Se você não pode justificar a coleção, talvez valha a pena reconsiderar se você realmente precisa dela!

Pode não ser fácil desenvolver e executar processos de compliance, mas quando isso for feito, o mundo será um lugar melhor. E para empresas bem preparadas, pode até significar um impulso para seus negócios.