A era das leis de privacidade de dados: Um guia completo

Gartner estima que até ao final deste ano, 65% das pessoas em todo o mundo terão os seus dados pessoais protegidos por regulamentos de privacidade. Esta é uma grande notícia para os consumidores, mas um desafio difícil para as empresas que tentam operar utilizando dados.

LA Piper's Data Protection Laws of the World (mapa interactivo)

Existem actualmente mais de 120 regulamentos de protecção de dados e privacidade a nível mundial. E muitos mais estão em obras. Isto pode ser muito confuso para as empresas com operações globais de navegação. É fundamental que os anunciantes compreendam estes regulamentos para garantir que possam permanecer em conformidade e seleccionar com confiança fornecedores e parceiros de dados que respeitem a privacidade.

Este guia abrangente explicará as leis de protecção de dados mais restritivas para que os anunciantes possam compreender melhor o que podem e não podem fazer com os dados de primeira pessoa.

O não cumprimento da Privacidade de Dados Vem a um Preço Elevado

Há dois riscos principais quando se trata de privacidade de dados:

  1. Perda de negócio porque os utilizadores perderam a confiança na forma como lidam com os seus dados.
  2. Ser multado por organismos reguladores por tratamento de dados não conforme.

Ambos estes riscos vêm com custos que podem prejudicar gravemente um negócio. Por exemplo, a lei brasileira de protecção de dados pode exigir 2% das receitas que uma empresa gera no Brasil e o GDPR da União Europeia pode exigir 4% das receitas globais da empresa. Embora muitas destas leis sejam ainda novas, há muitas empresas que já foram multadas em montantes significativos de dinheiro

Factos rápidos sobre as grandes multas do GDPR:

  • A maior multa até à data é a multa de 877 milhões de dólares da Amazónia aplicada ao GDPR em 2021. 
  • Meta (antigo Facebook) foi atingido em 2022 com uma multa de 433 milhões de dólares. 
  • O maiores multas do GDPR incluem também o Google, que foi atingido duas vezes com multas que totalizam 65 milhões de dólares. 
  • O GDPR multou um estimativa: 1.000 empresas nos últimos 2 anos, com multas cumulativas de 1,25 mil milhões de dólares.

Para as empresas que operam apenas nos Estados Unidos, existem regulamentos estatais a serem cumpridos. O primeiro regulamento activo foi o CCPA da Califórnia, que multa $7.500 por cada violação individual da privacidade dos dados dos consumidores. Dez empresas foram multadas até à data, mas os montantes totais não foram divulgados. O que é claro é que regulamentos como o CCPA podem causar um pesadelo de resolução de inquéritos e taxas aditivas, uma vez que os consumidores identifiquem um problema.

As empresas precisam de tomar precauções para evitar sanções por incumprimento. Isto é especialmente verdade para os marqueteiros que fazem publicidade utilizando muitos dados para identificar os públicos-alvo e colocar contratos de publicidade. Isto torna crítico para os anunciantes compreenderem claramente as políticas mais rigorosas e as questões importantes a colocar interna e externamente para assegurar o cumprimento.

Regulamentos notáveis sobre privacidade de dados

Os regulamentos mais falados hoje em dia são os que foram aprovados por lei com períodos de carência ou os que estão a distribuir activamente multas. O Regulamento Geral de Protecção de Dados da União Europeia (GDPR) é um dos mais estritos e mais divulgados. A lei de protecção de dados do Brasil (LGPD) saiu após a GDPR e é a regulamentação mais significativa na América do Sul. Nos Estados Unidos, a Lei de Protecção de Dados do Consumidor (CCPA) da Califórnia foi a primeira a ser aprovada com a Lei de Protecção de Dados do Colorado e a Lei de Protecção de Dados do Consumidor (CDPA) da Virgínia, que ficou logo atrás. Aqui está o desdobramento destes regulamentos activos que estão a estabelecer o precedente para o resto do mundo.

Regulamento Geral de Protecção de Dados (GDPR)

  • Data de aprovação da lei: 14 de Abril, 2016
  • A data entrou em vigor: 25 de Maio de 2018
  • Definição: A GDPR exige que as empresas solicitem algumas permissões para partilhar dados e confere aos indivíduos direitos de acesso, eliminação ou controlo da utilização desses dados. A GDPR permite, de facto, a permissão de opt-in quando o utilizador subscreve activamente para receber e-mails ou newsletters, fornecendo o seu endereço electrónico e, por vezes, o seu nome e outras informações pessoais. Nota: o Reino Unido também tem a sua própria versão da GDPR: PIBR DO REINO UNIDO
  • Aplicação da lei: As autoridades de protecção de dados individuais (APD) dos 27 estados membros da UE fazem cumprir o GDPR. As autoridades de protecção de dados são independentes do governo. O seu papel é investigar queixas, prestar aconselhamento sobre questões de protecção de dados e determinar quando é que a GDPR foi violada.
  • Sanções: Para violações especialmente graves, a multa pode ir até 20 milhões de euros, ou até 4% da sua receita global total do ano fiscal anterior, o que for mais elevado. Para infracções menos graves, há multas até 10 milhões de euros, ou até 2% das suas receitas globais do ano fiscal anterior, o que for mais elevado. 
  • O que isto significa para os anunciantes: A GDPR aplica-se a qualquer empresa que processe os dados pessoais de cidadãos ou residentes da UE, ou que lhes ofereça bens ou serviços. Qualquer empresa que se enquadre nesta descrição precisa de aderir a estes sete princípios:
    1. Legalidade, equidade e transparência - O processamento deve ser lícito, justo e transparente para a pessoa a quem os dados dizem respeito.
    2. Limitação da finalidade - Deve tratar os dados para os fins legítimos especificados explicitamente ao sujeito dos dados quando os recolheu.
    3. Minimização de dados - Deverá recolher e processar apenas a quantidade de dados absolutamente necessária para os fins especificados.
    4. Exactidão - Deve manter os dados pessoais exactos e actualizados.
    5. Limitação de armazenamento - Só pode armazenar dados de identificação pessoal durante o tempo necessário para a finalidade especificada.
    6. Integridade e confidencialidade - O processamento deve ser feito de forma a garantir a segurança, integridade e confidencialidade adequadas (por exemplo, através da utilização de encriptação).
    7. Responsabilidade - O controlador dos dados é responsável por poder demonstrar a conformidade da GDPR com todos estes princípios.

É também importante que os anunciantes estejam cientes das novas regras estritas sobre o que constitui consentimento de uma pessoa em causa para processar a sua informação.

  • O consentimento deve ser "livremente dado, específico, informado e inequívoco".
  • Os pedidos de consentimento devem ser "claramente distinguíveis dos outros assuntos" e apresentados em "linguagem clara e clara".
  • Os titulares dos dados podem retirar o consentimento previamente dado sempre que quiserem, e é preciso honrar a sua decisão. Não pode simplesmente alterar a base legal do processamento para uma das outras justificações.
  • As crianças menores de 13 anos só podem dar o seu consentimento com a permissão de um dos pais.
  • É necessário manter provas documentais de consentimento.

Lei Geral de Protecção de Dados do Brasil (LGPD)

  • Data de aprovação da lei: 14 de Agosto de 2018.
  • A data entrou em vigor: 18 de Setembro de 2020.
  • Definição: A LGPD rege o tratamento de dados pessoais com o objectivo de proteger os direitos fundamentais de liberdade e privacidade dos indivíduos. Qualquer organização, independentemente da sua localização, que tenha clientes ou clientes no Brasil, precisa de estar em conformidade com a LGPD. Isto significa que não são apenas os cidadãos brasileiros cujas informações pessoais são protegidas, mas qualquer indivíduo cujos dados tenham sido recolhidos ou processados no interior do Brasil.
  • Aplicação da lei: Uma parte desta lei incluiu a criação de uma autoridade reguladora federal independente, a Autoridade Nacional de Protecção de Dados (ANPD). O seu papel é interpretar e fazer cumprir a LGPD e agir como autoridade de controlo nacional.
  • Sanções: As sanções administrativas podem ser aplicadas por autoridade em caso de violação da LGPD. Entre as sanções, existem notificações e multas, que podem variar entre 2% do volume de negócios da empresa no Brasil no seu último ano fiscal, limitado no total a 50.000.000,00 (cinquenta milhões de reais) por infracção. Existe também a possibilidade de uma multa diária para obrigar a entidade a cessar as infracções.
  • O que isto significa para os anunciantes: Qualquer empresa que recolha informações sobre os utilizadores enquanto estes se encontram no Brasil precisa de assegurar o cumprimento destas normas, incluindo a obtenção de consentimento inequívoco para utilizar os seus dados pessoais. Se seguir as regras de consentimento opt-in para GDPR, estará em conformidade com a LGPD.

Lei de Privacidade do Consumidor da Califórnia (CCPA & CPRA)

  • Data de aprovação da lei: 28 de Junho de 2018 foi aprovada a CCPA. A CPRA é uma alteração à CCPA e foi aprovada a 3 de Novembro de 2020.
  • A data entrou em vigor: O CCPA entrou em vigor a partir de 1 de Janeiro de 2020. A alteração do CPRA entrou em vigor a 1 de Janeiro de 2023.
  • Definição: Esta lei de referência assegura novos direitos de privacidade aos consumidores da Califórnia, incluindo:
    • O direito de saber sobre as informações pessoais que uma empresa recolhe sobre elas e como são utilizadas e partilhadas;
    • O direito de eliminar informações pessoais recolhidas deles (com algumas excepções);
    • O direito de optar pela não venda ou partilha das suas informações pessoais; e
    • O direito à não discriminação para o exercício dos seus direitos CCPA.

Em Novembro de 2020, os eleitores da Califórnia aprovaram Proposta 24, o CPRAque alterou o CCPA e acrescentou novas protecções adicionais de privacidade que tiveram início em 1 de Janeiro de 2023. A partir de 1 de Janeiro de 2023, os consumidores têm novos direitos para além dos acima referidos, tais como:

  • O direito de corrigir informações pessoais imprecisas que uma empresa tenha sobre elas; e
  • O direito de limitar a utilização e divulgação de informações pessoais sensíveis recolhidas sobre as mesmas.
  • Aplicação da lei: O Procurador-Geral da Califórnia tem autoridade total para fazer cumprir o CCPA. Dito isto, a alteração do CPRA concedeu à Agência de Protecção da Privacidade da Califórnia plenos poderes administrativos, autoridade, e jurisdição para implementar e fazer cumprir a CCPA; o Procurador-Geral manteve os poderes de execução. 
  • Sanções: As violações do CCPA estão sujeitas à execução pela Procuradoria-Geral da Califórnia, que pode pedir sanções civis de $2.500 por cada violação ou $7.500 por cada violação intencional, após notificação e após ter sido dada uma oportunidade de cura de 30 dias.
  • O que isto significa para os anunciantes: As empresas que estão sujeitas ao CCPA têm várias responsabilidades, incluindo responder aos pedidos dos consumidores para exercer estes direitos e dar aos consumidores a certeza avisos que explicam as suas práticas de privacidade

Lei de Protecção de Dados dos Consumidores da Virgínia (VCDPA)

  • Data de aprovação da lei: 2 de Março de 2021
  • A data entrou em vigor: 1 de Janeiro de 2023
  • Definição: The VCDPA  gives os consumidores têm o direito de aceder aos seus dados pessoais e solicitar que estes sejam apagados pelas empresas. Também exige que as empresas realizem avaliações de protecção de dados relacionadas com o processamento de dados pessoais para fins de publicidade e vendas específicas. A lei contém mesmo algumas restrições sobre a utilização de dados não identificados, ou dados modificados para já não identificar directamente os indivíduos de quem os dados foram derivados. 
  • Aplicação da lei: O Procurador-Geral da Virgínia é a única entidade que pode fazer cumprir a VCDPA e procurar obter indemnizações. 
  • Sanções: As violações podem resultar em penalizações civis de até $7.500 por violação individual do consumidor. Além disso, as empresas podem ser responsabilizadas pelo reembolso das despesas razoáveis do escritório, que incluem honorários advocatícios.
  • O que isto significa para os anunciantes: O acto da Virgínia não é muito diferente do CCPA, mas é importante notar que não especifica as receitas da empresa. Ou seja, isto aplica-se a qualquer tamanho de empresa que processe dados.

Pode ser encontrada uma lista completa de regulamentos em países de todo o mundo aqui.

Novos regulamentos de privacidade de dados aprovados em 2023

Mais regulamentos de privacidade de dados estão a ser elaborados, mas aqui estão alguns dos grandes regulamentos que entrarão em vigor num futuro próximo.

A Lei da Privacidade do Colorado (CPA)

  • Data de aprovação da lei: 7 de Julho de 2021
  • A data entra em vigor: 1 de Julho de 2023
  • Definição: A Lei de Privacidade do Colorado dá aos residentes do Colorado o direito de não fazer publicidade direccionada, a venda dos seus dados pessoais, e certos tipos de perfilagem. A partir de 1 de Julho de 2024, os controladores terão de honrar o opt-out universal seleccionado pelo utilizador para publicidade e vendas direccionadas. Os residentes do Colorado também têm o direito de aceder, corrigir e apagar os seus dados pessoais, assim como o direito à portabilidade dos dados. Os responsáveis pelo tratamento terão geralmente 45 dias para responder aos pedidos dos consumidores.
  • Aplicação da lei: O cumprimento da CPA é exclusivamente imposto pelo Procurador-Geral do Colorado ou pelo Procurador Distrital. 
  • Sanções: Nos termos da CPA, as violações estão sujeitas a sanções civis ao abrigo da Lei de Protecção do Consumidor do Colorado, que prevê sanções civis de não mais de $20.000 por cada violação por parte de um consumidor individual.
  • O que isto significa para os anunciantes: Como outra lei de protecção do consumidor, isto será aditivo à actividade da Califórnia e Virgínia. Isto significa que se uma empresa for acusada de uma violação num estado, isso pode rapidamente alastrar a outros estados com regulamentos semelhantes.

A Lei de Privacidade de Dados de Connecticut (CTDPA)

  • Data de aprovação da lei: 10 de Maio de 2022
  • A data entra em vigor: 1 de Julho de 2023
  • Definição: O CTDPA concede aos residentes de Connecticut os seguintes direitos enumerados:
    • O direito de acesso aos dados pessoais que um responsável pelo tratamento tenha recolhido sobre eles.
    • O direito a corrigir inexactidões nos seus dados pessoais.
    • O direito de apagar os seus dados pessoais, incluindo dados pessoais que um responsável pelo tratamento tenha recolhido através de terceiros.
    • O direito de obter uma cópia dos seus dados pessoais num formato portátil e facilmente utilizável que lhes permita transferir os dados para outro controlador com facilidade.
    • O direito de não participar:
      • a venda dos seus dados pessoais;
      • o tratamento de dados pessoais para efeitos de publicidade direccionada; e
      • perfilagem que pode ter impactos legais ou outros impactos significativos.
  • Aplicação da lei: O Procurador-Geral de Connecticut tem autoridade exclusiva para impor a aplicação do CTDPA.
  • Sanções: Até $5.000 por violação. Para além das sanções civis, o Procurador-Geral da República pode também prosseguir com o litígio por danos adicionais.
  • O que isto significa para os anunciantes: As empresas que recolhem e processam dados pessoais dos residentes de Connecticut devem:
    • Fornecer aviso sobre os tipos de dados pessoais que processam, a(s) finalidade(s) do processamento, se e porquê partilham dados pessoais com terceiros e informações sobre como os consumidores podem exercer os seus vários direitos (por exemplo, acesso, eliminação) sobre os seus dados pessoais.
    • Limitar a recolha de dados pessoais ao que é adequado, relevante e razoavelmente necessário para a(s) finalidade(s) específica(s) para a(s) qual(is) os dados são processados (também conhecida como "minimização de dados").
    • Obter o consentimento antes de processar os dados sensíveis de um consumidor.
    • Responder aos pedidos de exercício dos direitos dos consumidores concedidos ao abrigo do CTDPA.
    • Conduzir avaliações antes de processar dados pessoais de uma forma que apresente um risco acrescido de danos para os consumidores (denominadas "Avaliações de Protecção de Dados"). Isto inclui o tratamento de dados pessoais para efeitos de publicidade, venda ou perfil, e o tratamento de dados sensíveis.

Lei de Privacidade do Consumidor de Utah (UCPA)

  • Data de aprovação da lei: 24 de Março de 2022
  • A data entra em vigor: 31 de Dezembro de 2023
  • Definição: São concedidos aos consumidores quatro direitos principais ao abrigo da UCPA:
    • Direito de acesso - o direito de confirmar se um responsável pelo tratamento está a processar os seus dados e o direito de acesso a esses dados pessoais.
    • Direito de apagar - o direito a que a empresa apague os seus dados pessoais que forneceu ao responsável pelo tratamento.
    • Direito à portabilidade dos dados - o direito de obter uma cópia dos seus dados pessoais num formato que seja facilmente utilizável.
    • Direito de não participar em certos tratamentos - o direito de não participar no tratamento dos seus dados pessoais para fins de publicidade direccionada; ou a venda de dados pessoais.
  • Aplicação da lei: O Procurador-Geral de Utah tem autoridade exclusiva para fazer cumprir a UCPA.
  • Sanções: As empresas têm 30 dias uma vez notificadas para reparar a violação. Se não for fixado dentro desse prazo, o Procurador-Geral pode impor sanções e indemnizações até $7.500 por violação.
  • O que isto significa para os anunciantes: Este acto é mais fácil para as empresas do que para as da Califórnia, Virgínia, e Colorado. Desde que um negócio esteja em conformidade com esses regulamentos mais rigorosos, não deverá haver qualquer alteração quando esta lei entrar em vigor.

Federal Data Protections in the US

Embora a privacidade dos dados dos consumidores esteja a ser tratada principalmente a nível estatal nos EUA, existem muitos regulamentos a nível federal que se aplicam a certas indústrias que também precisam de ser cumpridos.

Lei de Protecção da Privacidade Online das Crianças (COPPA)

COPPA impõe certos requisitos aos operadores de sítios Web ou serviços em linha dirigidos a crianças menores de 13 anos, e aos operadores de outros sítios Web ou serviços em linha que tenham conhecimento real de que estão a recolher informações pessoais em linha de uma criança com menos de 13 anos de idade.

Lei da Portabilidade e Contabilidade dos Seguros de Saúde (HIPAA)

A Health Insurance Portability and Accountability Act de 1996, comummente conhecida como HIPAA, é uma série de normas regulamentares que esboçam o uso legal e a divulgação de informações sanitárias protegidas (PHI). O cumprimento da HIPAA é regulamentado pelo Departamento de Saúde e Serviços Humanos (HHS) e aplicado pelo Gabinete dos Direitos Civis (OCR).

Lei Gramm Leach Bliley Act (GLBA)

A Lei Gramm-Leach-Bliley exige que as instituições financeiras (empresas que oferecem aos consumidores produtos ou serviços financeiros como empréstimos, aconselhamento financeiro ou de investimento, ou seguros) expliquem aos seus clientes as suas práticas de partilha de informação e salvaguardem os dados sensíveis.

Fair Credit Reporting Act (FCRA)

O Fair Credit Reporting Act protege informações recolhidas por agências de informação ao consumidor tais como gabinetes de crédito, empresas de informação médica, e serviços de rastreio de inquilinos. A informação contida num relatório de consumidor não pode ser fornecida a ninguém que não tenha um objectivo especificado na Lei. As empresas que fornecem informações a agências de informação ao consumidor também têm obrigações legais específicas, incluindo o dever de investigar informações contestadas. Além disso, os utilizadores da informação para fins de crédito, seguros ou emprego devem notificar o consumidor quando uma acção adversa é tomada com base em tais relatórios. 

Perguntas a fazer aos fornecedores de dados para garantir o cumprimento da privacidade dos dados

Ao trabalhar com fornecedores de dados e parceiros, é agora mais importante do que nunca garantir que estão a tratar os dados pessoais de forma apropriada. Aqui estão as perguntas críticas a fazer para confirmar que os novos fornecedores de dados se manterão em conformidade com os regulamentos actuais e futuros.

  1. Existe uma equipa de privacidade separada na sua empresa que impulsiona o cumprimento da privacidade? Ou a privacidade está incorporada por concepção?
  2. Que documentação mantém sobre os dados que está a recolher, como consentimento, como são utilizados, onde são armazenados, que funcionário é responsável por eles, etc.?
  3. Que medidas de segurança tem em vigor para o seu armazenamento de dados?
  4. Como está a lidar com os requisitos de opt-in vs. opt-out impostos pelos reguladores regionais de privacidade?
  5. O que está a fazer para abordar as recentes leis estatais dos EUA?
  6. O que está a fazer para abordar os recentes regulamentos GDPR?
  7. Como se garante o tratamento de dados sensíveis de uma forma compatível com a privacidade, especialmente dados sensíveis de saúde ou religiosos?
  8. Está a planear obter uma auditoria/revisão de privacidade para uma eventual certificação este ano? Em caso afirmativo, com que organização está a planear trabalhar nesta matéria?

A formulação destas perguntas dará uma imagem clara da seriedade com que o fornecedor de dados se ocupa da protecção e privacidade dos dados, bem como da sua preparação para demonstrar o cumprimento dos regulamentos internacionais. A parceria com fornecedores de dados como a ShareThis, que colocam a privacidade dos dados na vanguarda das suas práticas comerciais, permitirá aos anunciantes preocuparem-se menos com a conformidade da privacidade dos dados e, em vez disso, concentrarem-se no sucesso da publicidade.

Sobre ShareThis

ShareThis has unlocked the power of global digital behavior by synthesizing social share, interest, and intent data since 2007. Impulsionado pelo comportamento do consumidor em mais de três milhões de domínios globais, ShareThis observa acções em tempo real de pessoas reais em destinos digitais reais.

Subscreva a nossa Newsletter

Receba as últimas notícias, dicas e actualizações

Assine

Conteúdo relacionado