Nos últimos dias, cartas de várias empresas, aplicativos, serviços e sites que você já usou ou onde abriu contas caem regularmente no correio. As cartas são praticamente as mesmas - elas relatam uma mudança na política de privacidade e explicam como a empresa processa dados pessoais.
Já escrevemos sobre o que exatamente está mudando nas políticas de processamento de dados de grandes empresas de TI: WhatsApp, Facebook, Instagram e Twitter. Agora entendemos por que dezenas de cartas de muitos serviços começaram a chegar somente agora, após o prazo formal do GDPR, por que nem todas as empresas conseguiram se preparar para a transição em tempo hábil e quais problemas encontraram.
/ foto Dennis van der Heijden CC BYO que está acontecendo
Em 25 de maio, o GDPR - Regulamento Geral de Proteção de Dados - entrou em vigor. Ele regula a proteção de dados pessoais de residentes de países da UE e substitui a Diretiva de proteção de dados, uma diretiva de 1995.
O RGPD afeta a todos, porque se aplica não apenas às empresas registradas na União Europeia, mas a todos que armazenam, processam e usam a DP dos cidadãos da UE.
As empresas começaram a se preparar com antecedência, cujos modelos de negócios são altamente dependentes de trabalhar com a PD - por exemplo, o Facebook antes mesmo da introdução do GDPR
disse o que seria feito para cumprir o novo regulamento: todos os usuários deverão revisar suas configurações de privacidade. Eles também poderão escolher se estão prontos para compartilhar suas informações para fins de publicidade direcionada e, em caso afirmativo, qual. Além disso, a rede social
planejava retornar o reconhecimento facial, que foi desativado por uma decisão judicial de que este kit de ferramentas da rede social viola as leis de dados pessoais.
Mas nem todas as empresas reagiram ao novo regulamento com a mesma atenção aumentada. Em abril, o Instituto Ponemon realizou uma pesquisa entre milhares de empresas, metade das quais
admitiu que não estaria pronta para o prazo. Entre as empresas de TI, havia 60% delas.
Como resultado, muitos realmente não conseguiram atender aos requisitos do regulamento dentro do prazo - embora o prazo já fosse conhecido há muito tempo (a versão final do GDPR foi publicada há dois anos). De acordo com uma pesquisa realizada pela empresa européia TrustArc há um ano entre duzentas empresas de diferentes países e indústrias, 61% das empresas
nem sequer
começaram a se preparar para o RGPD.
Por que é tão difícil igualar
Muitas empresas não tiveram tempo para o prazo, não apenas porque decidiram adiar tudo para o final. Existem várias razões relativamente objetivas.
A lei é muito complicada
E, às vezes, cruza-se com os atos legais locais relacionados ao processamento de dados pessoais. Os advogados dizem que é
realmente difícil entender os requisitos do regulador - e ainda mais reconstruir sua empresa para que ela corresponda a eles.
Por exemplo,
algumas formulações em pontos-chave da lei causaram debates acalorados: o consentimento para o uso de dados pessoais comuns deve ser "inequívoco" (ou seja, inequívoco, compreensível, inequívoco) e o consentimento para o uso de dados pessoais "sensíveis" deve ser "explícito" (claramente indicado exaustivo).
Mas existe uma diferença entre essas duas definições e, como resultado, os dois "consentimentos" e, em caso afirmativo, o que e o que deve ser expresso no aplicativo de prática? A pergunta não é de todo ociosa - depende da resposta correta (do ponto de vista jurídico), por exemplo, como é possível e como é impossível criar assinaturas para caixas de seleção nas interfaces que marcam o consentimento do usuário para o processamento da DP.
/ imagem Giulia Forsythe PDAlém disso, a lei não leva em consideração as especificidades locais: por exemplo, diferentes países têm atitudes diferentes em relação aos dados pessoais. É em parte por isso que muitas partes da lei são deliberadamente simplificadas - o que
cria espaço para diversas interpretações.
E alguns dos pontos do RGPD
contradizem , por exemplo, o russo nº 152-FZ “On Personal Data”, que também cria dificuldades para as empresas russas que de alguma forma coletam e usam DP de cidadãos europeus.
Revisão do processo
E não apenas do ponto de vista da tecnologia, mas também do ponto de vista dos negócios. Algumas empresas têm medo de que, se disserem exatamente aos usuários como eles usam seus dados pessoais, as pessoas nunca os fornecerão.
Portanto, a abordagem que o Facebook introduziu para obter a permissão do usuário foi
criticada : o caminho do usuário inteiro o motiva a concordar rapidamente com as novas regras e continuar a compartilhar suas informações com o serviço.
O botão "Concordo e continue" é o mais bonito e perceptível, e aqui a solução oposta já parece difícil: "Gerenciar configurações de dados". Se você clicar nele, o Facebook primeiro tentará convencer o usuário a deixar tudo como está. Além disso, o Facebook priva o usuário da oportunidade de compartilhar algumas informações pessoais em sua página, mas ao mesmo tempo não permite que as redes sociais usem essas informações para fins publicitários.
Além disso, pequenas e médias empresas geralmente simplesmente
não têm os recursos tecnológicos e humanos para entender os requisitos da lei e fazer todos os preparativos necessários - portanto, para eles, o processo de trazer todos os sistemas de acordo com os requisitos do RGPD se torna muito caro.
A lei não leva mais em conta as novas tecnologias
O regulamento foi desenvolvido e adotado por vários anos; muitas idéias sobre o estado atual da tecnologia já estão desatualizadas: por exemplo, não está claro o que fazer com Big Data e aprendizado de máquina.
Portanto, o GDPR
exige transparência dos algoritmos de aprendizado de máquina - os desenvolvedores devem ser capazes de explicar por que o algoritmo tomou essa ou aquela decisão. Em outras palavras, a lei prescreve que o usuário possa a qualquer momento receber uma explicação detalhada do mecanismo de uso de suas informações pessoais para tomar uma decisão informada - concordando ou não com ela.
No caso de algoritmos de aprendizado de máquina, isso
não é
tão fácil de fazer - por que os sistemas de IA tomam essa decisão específica naquele exato momento, mesmo seus engenheiros às vezes não conseguem explicar. Isso não é regulamentado pelo GDPR. E essas coisas se tornarão cada vez mais - a lei terá que ser constantemente atualizada, mas, na realidade, a lei sempre ficará para trás no desenvolvimento da tecnologia.
O mais difícil foram as empresas que desenvolvem assistentes inteligentes - Google Assistant, Alexa, Siri.
Esses serviços sempre (embora em segundo plano) escutam tudo o que acontece ao seu redor - para "acordar" na hora certa e executar um comando usando uma palavra de código. A tecnologia ainda é imperfeita - por exemplo, não muito tempo atrás, a Amazon enfrentou um
problema inesperado: Alexa periodicamente começou a rir, porque ela podia entender a frase "Alex, ria" no discurso ao seu redor.
Parece ridículo, mas, dentro da estrutura do GDPR, essa situação é uma zona cinzenta, que ainda não está claro como controlar. Formalmente, os assistentes inteligentes não gravam som e não o transmitem a lugar algum - mas um caso recente com o mesmo Alexa, que, devido a um erro técnico,
transmitiu uma gravação de áudio de uma conversa pessoal de moradores de uma casa para um dos contatos da lista telefônica, mostra que as situações podem ser diferentes.
Nesses casos, tudo dependerá se os usuários sofreram ou não: por exemplo, se as informações não foram usadas e o serviço "reagiu" rapidamente e as excluiu. Os próprios desenvolvedores do Alexa
prometeram melhorar os algoritmos de reconhecimento de voz para que um evento tão improvável não aconteça novamente.
/ foto Oliver Henze CC BY-NDAinda não está claro como a operação de tais serviços será regulamentada em termos de conformidade com o RGPD. Especialistas e jornalistas concordam: esses serviços provavelmente terão que obter o consentimento dos usuários de que o assistente inteligente sempre ouve, sempre grava e,
possivelmente , transfere informações para terceiros.
O que será
O que espera as empresas que não tiveram tempo de alinhar os processos de negócios com a lei ou que a violaram? Alguns acreditam que o dia 25 de maio foi um “começo suave” e o regulador não buscará empresas que não conseguiram cumprir o prazo (especialmente se tiverem motivos objetivos para isso). Embora a penalidade por não conformidade com os regulamentos já tenha sido indicada, e seja muito significativa - até 4% da receita anual da empresa.
Há, no entanto, uma dificuldade - nem todo controle agora recai apenas sobre o regulador. Os próprios usuários também têm poder: por exemplo, eles podem exigir que o serviço receba, modifique ou exclua todos os seus PDs. Se esses processos não forem estabelecidos e o serviço for tecnicamente incapaz de atender aos requisitos do usuário, há um risco de litígio, que o usuário poderá vencer.
Muitos especialistas ainda acreditam que o mercado não será capaz de cumprir totalmente os requisitos do RGPD.Pelo menos porque o campo é altamente inexplorado - a lei, embora correta em suas intenções, não afeta muitos casos importantes e maneiras de usar e armazenar dados pessoais. Se tais estudos (detalhados e detalhados) aparecerem, eles se tornarão uma boa base para a finalização da lei.
No entanto, o advento do GPDR é um importante indicador de mudança de prioridade. Se o gerenciamento de dados pessoais anterior era o "componente sombra" de quase todos os negócios, e as empresas podiam gerenciá-lo como quisessem, agora os usuários finalmente conseguiram pelo menos algumas ferramentas para controlar seus próprios dados na Web.
PS O que mais estamos escrevendo sobre o Primeiro blog corporativo de IaaS:
PPS Alguns materiais sobre um assunto do nosso blog em Habré: