Se o estado actual da privacidade dos dados se lhe parece um pouco um desastre, não é o único. Nos EUA, parece que estamos a caminho de ter 50 estados com as suas próprias leis de privacidade de dados antes de qualquer coisa ser aprovada a nível federal. Esta falta de decisão está a afectar a adaptação e a inovação na indústria adtech. Muitas empresas do sector tecnológico têm-se sentido frustradas porque há demasiada incerteza e, sem regras e parâmetros precisos, não há um caminho claro a seguir.
Este artigo explica o que poderá estar no horizonte dos regulamentos relativos à privacidade dos dados, as alterações que as empresas de tecnologia estão a fazer e o que os anunciantes podem fazer para se manterem em conformidade durante os próximos anos de incerteza.
O que está a criar incerteza nos regulamentos relativos à privacidade dos dados?
Há cinco factores principais que criam incerteza na direcção da privacidade dos dados.
- Novos regulamentos sobre a privacidade dos dados continuam a ser criados, o que turva a água para as empresas que operam em todos os estados dos EUA e regiões globais. Exemplo: Ebbie Yazdani, directora de política federal da TechNet, falou aos colegas da National Press sobre o custo das regulamentações estatais. "Se permitirmos que se continue a construir uma manta de retalhos de leis estatais e/ou se o Congresso não for capaz de se sobrepor totalmente às leis estatais, haverá um custo tremendo para a economia e a liderança tecnológica dos Estados Unidos", disse Yazdani, citando um estudo que dizia que se 50 estados promulgassem as suas próprias leis de privacidade, isso custaria 1 trilião de dólares à economia em 10 anos.
- Os regulamentos existentes estão a ser alterados para acrescentar mais restrições. A Califórnia já alterou a CCPA com a CPRA e as autoridades federais existentes estão a alargar o seu alcance. Do mesmo modo, à medida que ocorrem acções judiciais, estas acrescentam novas definições aos regulamentos, como aconteceu com as acções judiciais Schrems na UE. Exemplo: O HHS (que regula a HIPAA) forneceu orientações que tornariam os dados pseudónimos PHI ao abrigo da HIPAA quando recolhidos em sítios geridos por entidades abrangidas.
- As acções judiciais estão a começar a causar estragos com o debate adicional sobre a forma de aplicar os regulamentos a nível global. Além disso, o direito de acção privada em determinadas leis estatais sobre privacidade aumenta a probabilidade de litígios de acção colectiva. Exemplo: As acções judiciais e as multas não estão a acontecer apenas em reacção a violações de dados. Em Setembro de 2022, O Comissário para a Protecção de Dados (DPC) da Irlanda multou o Instagram por violar a privacidade das crianças nos termos do RGPD. A queixa de longa data dizia respeito a dados pertencentes a menores, que se tornaram mais públicos quando os utilizadores actualizaram os seus perfis para contas empresariais para aceder a ferramentas de análise. A Meta está a lutar contra a acção judicial, discordando da forma como a coima foi calculada.
- O governo federal dos EUA está a debater-se com o seu papel. Houve tentativas de legislação federal sobre privacidade, mas não foram bem sucedidas. E os organismos federais existentes estão a alargar a sua autoridade para tentar colmatar esta lacuna. Exemplo: O governo federal fez várias tentativas para aprovar leis federais sobre a privacidade. A mais notável é a Lei Americana de Protecção e Privacidade de Dados (ADPPA) que não chegou a ser aprovado devido a preocupações com o conflito com a Lei da Privacidade da Califórnia (CPA).
- A tecnologia não tem um caminho claro para o futuro. As empresas que recolhem dados digitais e criam produtos com base em dados estão a discordar quanto ao caminho a seguir, uma vez que não existe um estado futuro claro para a regulamentação da privacidade. Exemplo: O Google Chrome continua a adiar a descontinuação de cookies e a melhorar a sua abordagem de Tópicos na Sandbox, mesmo com as preocupações de terceiros.
Durante toda esta incerteza, a utilização de dados está a ser analisada pelos Procuradores-Gerais dos Estados e pelos Reguladores de Privacidade da UE. Todas as empresas que recolhem, analisam e utilizam dados estão vulneráveis a serem alvo de uma acção judicial e de taxas de não conformidade.
Será que uma lei federal dos EUA irá em breve usurpar os regulamentos estatais?
No final do primeiro trimestre de 2023, havia cinco estados com leis de privacidade de dados assinadas e outros 19 estão a ser preparados - alguns dos quais têm vários projectos de lei activos. Espera-se que cerca de quatro ou cinco destas leis sejam aprovadas em 2023 e que as restantes sejam aprovadas em 2024 e nos próximos anos.
Houve algumas tentativas a nível federal para estabelecer novos regulamentos sobre a privacidade dos dados. Vários líderes federais, incluindo a Senadora Amy Klobuchar (D-Minn.), apresentaram leis federais sobre privacidade de dados sem sucesso. A Senadora Suzan DelBene (D-Wash.) propôs legislação sobre privacidade dos dados em linha que daria aos consumidores o controlo sobre os seus dados e à Comissão Federal do Comércio o direito de os fazer cumprir.
A tentativa recente mais conhecida foi a Lei Americana de Protecção e Privacidade de Dados (ADPPA). A ADPPA foi uma proposta de lei federal dos Estados Unidos sobre a privacidade em linha que, se fosse transformada em lei, teria regulamentado a forma como as organizações guardam e utilizam os dados dos consumidores. Infelizmente, os defensores da CCPA da Califórnia consideraram que a ADPPA não era suficientemente forte para proteger os californianos. A Presidente da Câmara dos Representantes, Pelosi, alinhou com os defensores californianos, emitir uma declaração que a ADPPA "tem de continuar a proteger os californianos - e os Estados têm de ser autorizados a lidar com as rápidas mudanças tecnológicas".
A Lei Americana de Protecção da Privacidade dos Dados (ADPPA) tem apoio bipartidário e é o mais próximo que os EUA chegaram de aprovar uma lei abrangente sobre a privacidade dos dados dos consumidores. Mas ainda não foi aprovada. Em 2023, espera-se que a deputada Kathy McMorris Rogers reintroduza o projecto de lei.
Caso a ADPPA venha a ser aprovada, é importante compreender as diferenças entre ela e a CCPA. A ADPPA vai significativamente mais longe do que a CCPA ao colocar o ónus da protecção da informação naqueles que a processam e não nos indivíduos que a geram. Eis algumas das principais diferenças:
- Define e limita as utilizações permitidas dos dados.
- Exige avaliações do impacto na privacidade e nos algoritmos.
- Alarga a protecção dos direitos civis em linha, protegendo contra a manipulação.
- Proporciona ao indivíduo um direito de acção judicial muito mais amplo.
A ADPPA seria a primeira legislação abrangente em matéria de privacidade a alargar a protecção dos direitos civis à discriminação na utilização de informações pessoais e a exigir que todas as empresas e organizações sem fins lucrativos incorporem a privacidade desde a concepção ao avaliarem a sua utilização de algoritmos.
Mas será que vai passar em breve?
Existe uma polarização significativa sobre este tema que está a criar uma paralisia. Com mais estados a terem os seus regulamentos em vigor num futuro próximo, parece que o governo federal vai olhar para a experiência que os estados têm para formar um modelo de como isto vai funcionar a nível nacional. Ou seja, podemos estar a anos de ver um regulamento nacional para clarificar e simplificar a conformidade com a privacidade dos dados.
O que é o regulamento relativo à privacidade electrónica em relação ao RGPD?
O Regulamento Geral sobre a Protecção de Dados (RGPD)é o regulamento de privacidade de dados da União Europeia que está em vigor desde 2018 e é amplamente considerado o regulamento mais rigoroso a nível mundial.
O regulamento relativo à privacidade electrónica foi também recentemente proposto na UE. Este regulamento cria uma norma de consentimento para os cookies. O regulamento também oferece algumas regras básicas para quando os dados podem ser processados, com, por exemplo, a utilização de dados pseudónimos ou anónimos. Este regulamento será aplicável aos prestadores de serviços de comunicações electrónicas tradicionais, como os operadores de telefonia móvel e fixa, mas abrangerá também as mensagens instantâneas na Internet e as aplicações VOIP (correio electrónico, aplicações, etc.), bem como as comunicações máquina-a-máquina, como a IoT.
Enquanto o RGPD só se aplica ao tratamento de dados pessoais, a privacidade electrónica regula as comunicações electrónicas, mesmo quando se trata de dados não pessoais. Além disso, no caso dos cookies, a privacidade electrónica tem geralmente precedência. Prevê-se que o regulamento relativo à privacidade electrónica entre em vigor em 2023 e que haja um período de transição de 24 meses.
Os EUA e a UE assinaram um acordo no final de 2022 que regula a recolha de dados entre os governos dos EUA e da UE sobre os cidadãos uns dos outros, designado por Quadro de privacidade de dados UE-EUA. Este acordo substitui os acordos anteriores (Escudo de Protecção da Privacidade e Porto Seguro), que tinham sido anulados pelo Tribunal de Justiça da União Europeia (TJUE) devido a preocupações relacionadas com a vigilância dos governos da UE sobre os titulares de dados da UE sem controlo. O novo acordo impõe limitações e salvaguardas ao acesso aos dados por parte das agências de informação dos EUA e estabelece um mecanismo de recurso independente e imparcial para tratar e resolver as queixas dos europeus relativas à recolha dos seus dados para fins de segurança nacional.
Harness Global Digital Data for Future Marketing Success
Alavancar os dados de interesse em tempo real para aprofundar o envolvimento do cliente e maximizar os resultados para o planeamento, a segmentação, a medição, e muito mais.
Como é que a Adtech está a mudar para ter em conta a privacidade dos dados?
A Google continua a promover a descontinuação dos cookies de terceiros no Chrome. Agora já foi adiada para o segundo semestre de 2024. A Google está a tentar dar a impressão de que o Privacy Sandbox é viável para poder cumprir os seus compromissos com a CMA do Reino Unido.
O O World Wide Web Consortium (W3C) afirmou recentemente que a plataforma de anúncios Topics da Google não é boa para a privacidade, pelo que não estão a trabalhar nisso. O Grupo de Arquitectura Técnica (TAG) do W3C levantou uma série de preocupações da sua análise inicial da concepção da API dos Tópicos. O representante da TAG escreveu que a API de tópicos proposta pela Google não protege os utilizadores de "rastreio e definição de perfis indesejados" e mantém o status quo de "vigilância inadequada na Web". O seu representante comentou: "Não queremos que isto continue".
Os criadores de motores de navegação Webkit e Mozilla também se pronunciaram negativamente sobre a abordagem da Google, alertando para as deficiências em matéria de privacidade. A Mozilla chegou mesmo a dizer que os Tópicos têm "mais probabilidades de reduzir a utilidade da informação para os anunciantes do que de proporcionar uma protecção significativa da privacidade".
Enquanto a Google trabalha para encontrar uma solução viável, as empresas continuam a poder utilizar os cookies de terceiros dos utilizadores do Chrome. Embora esta seja uma boa notícia para alguns, o atraso também está a adiar os esforços de desenvolvimento de soluções alternativas e a manter a privacidade dos dados como uma preocupação contínua para os anunciantes que trabalham com estes dados.
TrustPid
Entretanto, as principais empresas de telecomunicações europeias obtiveram autorização para criar as suas próprias plataformas de publicidade, em vez de perderem o negócio para as grandes empresas tecnológicas. A Orange, a Vodafone, a Telefonica e a Deutsche Telecom estão a criar a TrustPid, uma plataforma de publicidade conjunta. O desenvolvimento da sua própria plataforma de publicidade "privacy first" está a ser trabalhado há dois anos. Esta plataforma permitirá às quatro empresas desenvolver um concorrente para as grandes empresas tecnológicas, incluindo a Amazon, a Apple, a Google e a Meta. Esta plataforma está a ser desenvolvida em conformidade com o RGPD e o futuro Regulamento sobre Privacidade Electrónica, pelo que pode muito bem tornar-se um modelo de privacidade para futuras plataformas de publicidade.
As empresas norte-americanas estão a acompanhar de perto esta situação, uma vez que os reguladores da UE têm vindo a afirmar há anos que a única forma de obter informações do equipamento terminal de um utilizador para segmentação de anúncios é através de consentimento. Mas os regulamentos tornam o consentimento incrivelmente difícil de obter. Se a TrustPid descobriu uma forma de o fazer, o mundo estará interessado em ver o que estão a fazer que agrade aos reguladores da UE.
IDs universais (UID)
Os reguladores de privacidade da UE estão a encorajar as empresas tecnológicas a avançar para a necessidade de consentimento para qualquer UID. No entanto, têm um grande problema com a forma como a Apple está a implementar esta medida. A política de transparência no rastreio de aplicações da Apple obriga os programadores de aplicações a apresentar uma mensagem adicional (concebida pela Apple) para pedir autorização aos utilizadores finais para que o programador possa "rastrear" o utilizador, mesmo que este já tenha consentido na partilha dos seus dados através da ferramenta de consentimento do próprio programador. As preocupações de que esta medida elimina a concorrência baseada em dados e a escolha do consumidor em todo o ecossistema Apple têm desencadeou investigações por parte de várias autoridades europeias.
O resultado final? Para já, a obtenção de consentimento é rei. Mas ainda não há um caminho claro para o futuro.
O que é que os anunciantes podem fazer para se protegerem da incerteza?
Eventualmente, o governo federal dos EUA apresentará uma legislação que esclarecerá a confusão entre as leis estaduais. E, eventualmente, a Google acabará por descontinuar os cookies de terceiros. No entanto, essas duas grandes mudanças ainda devem demorar alguns anos.
Entretanto, os anunciantes devem certificar-se de que estão a trabalhar com fornecedores de dados que cumprem as regulamentos activos sobre a privacidade dos dados. Compreender os principais aspectos dos regulamentos a nível estatal dos EUA é útil para validar se os fornecedores de dados de terceiros estão em conformidade com a privacidade. Procure parceiros de dados que tenham várias opções para lidar com o consentimento (tanto opt-out como opt-in). Terão também planos em vigor para lidar com pedidos de dados e acções judiciais em matéria de privacidade.
Aspectos fundamentais dos fornecedores de dados terceiros que respeitam a privacidade:
- Os regulamentos têm uma definição ampla de informações pessoais que inclui IDs pseudónimos. Os regulamentos têm uma definição ampla de informações pessoais que agora inclui IDs pseudónimos. Nota: Todas as empresas de tecnologia de anúncios têm um ID único que continua a processar dados pessoais, por isso, certifique-se de que estão a tratá-los adequadamente.
- Têm um opt-out claro e opt-ins conforme necessário. Um fornecedor em conformidade com a privacidade fornecerá uma opção de exclusão clara e terá uma opção de inclusão para dados sensíveis, como saúde, religião, etc.
- Têm uma forma de tratar os pedidos de acesso dos titulares dos dados. Os dados pseudónimos são difíceis de verificar quando é apresentado um pedido. Um fornecedor em conformidade com a privacidade já terá descoberto como o está a fazer.
- Têm um plano para lidar com um direito de acção privado. Os procuradores-gerais têm a capacidade de intentar acções judiciais para fazer cumprir as leis e é importante saber que o seu fornecedor de dados tem um plano para resolver e mostrar conformidade antes de ser intentada uma acção judicial formal.
É fundamental garantir que os seus parceiros de dados estão a trabalhar de acordo com os regulamentos de privacidade de dados, hoje e no futuro. É melhor planear agora as restrições mais elevadas antes que seja tarde demais e a única forma de o fazer é não o fazer sozinho, mas trabalhar com um parceiro de dados com prioridade à privacidade como o ShareThis.