Geekly articles weekly

Negócios em dados pessoais: como ter sucesso e não violar a lei?

imagem

“Os dados são o óleo da economia digital” é uma expressão que já se tornou um aforismo. De fato, no mundo de hoje, os dados do usuário se tornaram um dos recursos mais valiosos e procurados. Assim, de acordo com a PwC, em 2018, a receita global com o uso de dados do usuário chegará a US $ 300 bilhões.Quanto à Rússia, de acordo com a revista RBC em 2017, a rotatividade do mercado para venda e compra de dados pessoais na Rússia totalizou pelo menos 3,3 bilhões de rublos. Além disso, os especialistas prevêem um crescimento intensivo adicional desse mercado.

No entanto, o uso de dados pessoais nos negócios ainda não possui regulamentação legal adequada. A legislação atual deixa em aberto a questão da rotatividade de dados e a possibilidade de sua monetização. Além disso, na prática judicial, ainda não foram formados critérios universais que permitam encontrar um equilíbrio entre a necessidade de proteger a privacidade dos usuários e as necessidades da comunidade empresarial em uma economia digital.

Dados: Personal, Large ou Large Custom?
  • Dados pessoais

A pedra angular para entender o termo "dados do usuário" é o conceito normativamente fixo de "dados pessoais" (doravante - PD). O conceito de DP é de natureza "borracha", o que não nos permite determinar inequivocamente quais dados específicos se referem a dados pessoais. Ao mesmo tempo, a tendência geral agora é uma abordagem extremamente ampla para o conceito de DP - qualquer informação relacionada a uma pessoa identificada ou identificável. Pode ser um endereço IP, ID, número de telefone celular ou número de cartão de crédito.

Ao mesmo tempo, não é segredo para ninguém que essas informações são processadas ativamente na World Wide Web e se tornam a base para o sucesso de muitos projetos de negócios (publicidade, marketing, pontuação). E não há critérios inequívocos que permitam traçar uma linha entre PD e Big Data.

  • Big data

Por sua vez, o conceito de "big data" (big data) é ainda mais discutível por natureza e geralmente é divulgado por suas características:

  • grande volume (volume);
  • grande variedade (variedade);
  • alta velocidade de acumulação e processamento (velocidade);
  • precisão (veracidade);
  • variabilidade (variabilidade);
  • valor
  • visualização
  • vitalidade (viabilidade).

O famoso advogado e professor A. I. Savelyev escreve que “big data pode ser definido como um conjunto de informações que muda dinamicamente, valioso por causa de seus grandes volumes e pela possibilidade de processamento rápido e eficiente por meios automatizados, que, por sua vez, oferecem a possibilidade de use para análise, previsão e automação de processos de negócios ".

Sarkis Darbinyan, sócio-gerente do Center for Digital Rights, falando no fórum BIG DATA 2018 , explica sua natureza: “Big data é um fluxo volumoso de informações de dados heterogêneos que são constantemente gerados por usuários de dispositivos eletrônicos e serviços online ou dispositivos técnicos, e também processados ​​no modo tempo real ".

Até agora, na Rússia, não existe um entendimento e abordagem únicos para a regulamentação do Big Data. Além disso, continuam as discussões sobre quem deve possuir o Big Data e como usá-lo para não violar os direitos de várias categorias de dados protegidas por lei (DP, segredo comercial, informações confidenciais, direitos autorais do banco de dados).

  • Big data do usuário

A "interseção" de PDs e Big Data às vezes é chamada de Big User Data. Esse termo não tem fixação legal, no entanto, o chefe da Roskomnadzor Alexander Zharov definiu Big data para os usuários como “todos os dados coletados por sistemas e dispositivos de informação, perfis de usuários nos recursos da Internet, dados de geolocalização, dados sobre o comportamento do usuário nos sites”.

Contencioso de projetos de negócios em dados pessoais

Projetos de negócios que utilizam Big Data de dados enfrentam inevitavelmente o problema de conformidade com a legislação sobre proteção de dados pessoais. Portanto, os seguintes processos judiciais são exemplos vívidos: Roskomnadzor vs. NBCH , Roskomnadzor vs. MGTS , "HeadHunter" vs. Vera Robot , HeadHunter vs. FriendWork e VKontakte vs. "Dados duplos" .

Ainda não foi desenvolvida uma abordagem única para o uso de Big Data, incluindo os publicados por usuários nas redes sociais, e as posições de vários tribunais ainda são caóticas. Além disso, as partes nem sempre operam com a legislação de proteção de dados pessoais, mas se referem aos direitos intelectuais do banco de dados. Por exemplo, as regras sobre a proteção dos direitos intelectuais ao banco de dados foram usadas nos casos nas reivindicações da empresa HeadHunter, bem como no caso ressonante da VKontakte contra a Double Data.

A empresa Double Data coletou e usou para fins comerciais dados de usuários postados em uma rede social (sobrenomes, nomes, locais de trabalho e estudos). A empresa não recebeu nenhuma permissão adicional. A Vkontakte mantém a posição de que tais ações violam o direito exclusivo vizinho ao banco de dados que surgiu em Vkontakte como o fabricante desse banco de dados com dados do usuário. A Double Data, por outro lado, insiste na abertura dos dados, na incapacidade de proibir a reutilização de informações e na falta dos direitos da Vkontakte no banco de dados criado pelos próprios usuários. Até a data (outubro de 2018), o caso chegou ao SIP (instância de cassação). O SIP concordou com a conclusão do tribunal de apelação de que "os materiais do caso mostram tanto a existência de um objeto de direitos relacionados (um banco de dados de usuários de uma rede social) quanto a existência do direito exclusivo da sociedade Vkontakte a esse objeto". O argumento dos réus sobre o banco de dados como um "subproduto" da atividade de Vkontakte não foi reconhecido pelo tribunal como razoável. No entanto, o SIP enviou o caso para um novo julgamento ao tribunal de primeira instância (a data da reunião é 19 de dezembro de 2018) e, portanto, a batalha entre VKontakte e Double Data ainda está em andamento. Parece que após a resolução final deste caso se tornará prática e será um marco decisivo para o desenvolvimento de negócios em dados de usuários na Rússia.

Além disso, o caso Roskomnadzor vs. é importante para o destino futuro dos projetos de negócios nos dados do usuário. MGTS, em que o tribunal tentou encontrar um equilíbrio entre o direito dos usuários e os interesses dos negócios. O tribunal levou o MGTS à responsabilidade administrativa, tendo estabelecido que transações para a "revenda" de dados sobre assinantes sem seu consentimento violam o direito à privacidade.

Também interessante é o caso de Roskomnadzor vs. NBCH, que, embora tenha terminado com um acordo, mas no âmbito do qual as Forças Armadas da RF concluíram que os dados após serem publicados pelos usuários em uma rede social não se tornam acessíveis ao público de acordo com o significado do art. 8 Lei Federal "Sobre Dados Pessoais".

Como uma empresa baseada em dados pessoais é implementada na prática?

Devido à falta de abordagens legais claras e inequívocas (“regras do jogo”) sobre o uso de big data, há muitos anos há serviços “cinzentos” para a venda de dados pessoais. Por exemplo, a Dark Web, que vende uma variedade de tipos de dados pessoais: de dados de passaporte a informações médicas e senhas de cartões de crédito. De acordo com os resultados do estudo “Black Database Market” do centro analítico da MFI Soft para 2016, o mercado de bancos de dados ilegais na Rússia é superior a 30 milhões de rublos. E esse número está crescendo apenas.

No entanto, não se deve presumir que uma empresa baseada em dados pessoais seja a priori ilegal. Projetos jurídicos voltados à monetização de usuários de DP estão se desenvolvendo rapidamente: Opiria, Handshake, Datacoup, GoodData, Pillar Project, Personal e outros serviços.

Além disso, exemplos de projetos offline usando dados pessoais como pagamento são conhecidos na prática mundial. Por exemplo, no café americano Shiru, você pode pagar a conta com seus dados pessoais (nomes, números de telefone, endereços de email, datas de nascimento e informações sobre interesses).

No entanto, muitas empresas estão interessadas não tanto na obtenção de DP de um assunto específico, mas na obtenção de um conjunto de dados que refletem certos sinais de vários assuntos. Portanto, o valor obtido de outras empresas bancos de dados PD, Big user data.

Freqüentemente, as empresas incluem cláusulas de transferência de dados em contratos de serviço ou similares. Além disso, os projetos de troca de PD implementados por meio de acordos entre empresas sobre interação de informações no campo da transferência de dados pessoais ou outro conteúdo semelhante são vistos como interessantes. Por exemplo, esses acordos são comuns no campo da medicina.

Também descrevendo projetos que funcionam com Big User Data, não podemos deixar de mencionar o projeto Double Data e similares (Clever Data, Scorista, Scorto, FICO, Equifax Credit Bureau, National Credit Bureau). Esses projetos, na maioria das vezes, usam dados para revenda subsequente, bem como para pontuação e personalização de anúncios. Eles se posicionam como trabalhando com dados abertos, afirmando perante o NBCH e o Double Data em tribunal seus direitos de processar Big Data de usuário sem permissão adicional de usuários e empresas que processam PDs inicialmente.

Separadamente, vale a pena observar a infame empresa Cambridge Analytica, que coletou usuários de DP para analisar preferências políticas dos eleitores sem o seu consentimento, incluindo usuários de PD da rede social do Facebook. Como resultado de tais ações, não apenas um escândalo político eclodiu, mas inevitavelmente houve consequências legais para a Cambridge Analytica e o Facebook. A Cambridge Analytica, o Facebook declarou falência e o Facebook foi multado em 500 mil libras (cerca de US $ 600 mil) por não observância dos direitos dos titulares de dados pessoais: falta de proteção adequada dos dados pessoais dos usuários e transparência insuficiente de seu processamento.

Em geral, o escândalo Cambridge Analytica-Facebook tem consequências de longo alcance, inclusive para a Rússia. Assim, o Facebook começou a bloquear o acesso a serviços "suspeitos", cujas atividades permitem os riscos de violação da legislação de DP. Por exemplo, recentemente (no início de outubro de 2018), o Facebook bloqueou mais de 66 contas, perfis, páginas e aplicativos da startup russa, Social Data Hub, que costumava se comparar com a Cambridge Analytica, e agora se posiciona como "especializada no desenvolvimento de sistemas de inteligência artificial" . No entanto, de acordo com relatos da mídia, o projeto também está envolvido na análise comercial de dados do usuário para o estado.

Curiosamente, no site do Social Data Hub , você pode encontrar a resposta de Roskomnadzor sobre a legalidade da operação de um serviço desse tipo. No entanto, isso não impediu o Facebook de ver a violação do contrato do usuário do Facebook e sinais de uso ilegal de DP na atividade do Hub de Dados Sociais. O Facebook excluiu as contas da startup e de seus funcionários e também enviou uma carta com os requisitos:

  • interrompa imediatamente o processamento dos dados dos usuários do Facebook e destrua esses dados;
  • Forneça ao Facebook uma lista completa de todos os dados usados ​​pela empresa e pelas organizações que têm acesso a eles;
  • Forneça aos representantes do Facebook acesso a data warehouses para verificar se eles foram realmente excluídos.

O representante da Vkontakte também observou que a empresa enviou uma carta de reclamação ao Social Data Hub. Por sua vez, os gerentes de projeto negam qualquer violação da legislação de DP, alegando que estão "desenvolvendo software, não vendendo dados".

Base jurídica para fazer negócios com dados pessoais

Do ponto de vista jurídico, projetos de negócios baseados em dados do usuário são implementados usando várias ferramentas legais. De várias maneiras, esse estado de coisas é explicado pela falta de regulamentação regulatória dos processos de monetização dos dados do usuário. A lei apenas prescreve requisitos e condições obrigatórios sob os quais a PD pode ser coletada e processada.

A base mais comum para o processamento da DP é a presença do consentimento do sujeito. A obtenção desse consentimento, sua "compra", é precisamente a base da maioria dos projetos comerciais legais, com base nos dados do usuário. É importante entender que a implementação dessa compra está longe do entendimento clássico do direito civil do contrato de venda. Além de obter diretamente o consentimento para uma certa compensação de propriedade, o PD pode ser processado na execução de acordos concluídos com usuários associados ao fornecimento de quaisquer bens e serviços (na maioria dos casos, fornecer acesso ao conteúdo na Internet).

Além disso, projetos, incluindo projetos da OIC, cujo principal objetivo é garantir a monetização legal de dados pessoais, ganharam popularidade recentemente. Por exemplo, a plataforma Opiria . Este projeto permite que os usuários dêem consentimento ao processamento de seus dados pessoais em troca de tokens PDATA. Segundo os desenvolvedores, essa plataforma é "um mercado global descentralizado, no qual as empresas podem comprar dados pessoais diretamente de consumidores sem intermediários". Ao mesmo tempo, o Opiria garante aos usuários a capacidade de controlar e gerenciar seus dados pessoais, de acordo com os requisitos da legislação sobre dados pessoais.

Ao mesmo tempo, a intermediação nos negócios em dados pessoais não perde sua relevância. Muitas empresas estão tentando revender PDs ou fazer sua troca. Porém, esses projetos cumprirão a lei somente quando o consentimento relevante tiver sido obtido para a transferência da DP para terceiros e seu processamento subsequente.

O caso do serviço DeepMind , que concluiu um acordo sobre o intercâmbio de dados pessoais com o Serviço Nacional de Saúde da Grã-Bretanha, é indicativo. No entanto, as partes não deram consentimento à transferência e processamento de dados do paciente pelo serviço DeepMind e, portanto, foi encontrada uma violação da legislação sobre DP. Embora este caso seja baseado nas normas da lei estrangeira, suas conclusões são aplicáveis ​​nas realidades russas. Observamos uma posição semelhante, por exemplo, no caso mencionado anteriormente do MGTS que vende dados sobre seus assinantes.

Em geral, na Rússia, para todos os projetos de negócios em DP, é extremamente importante cumprir os requisitos gerais da legislação sobre DP. Em particular, é necessário:

  • limitar o processamento de PD a objetivos específicos e pré-determinados;
  • limitar a quantidade de dados processados ​​à quantidade mínima necessária para a implementação dos objetivos declarados de seu processamento;
  • não combinar bancos de dados contendo PDs, cujo processamento é realizado para fins incompatíveis entre si;
  • Destruir ou despersonalizar a DP após o cumprimento das metas de processamento ou em caso de perda da necessidade de atingir essas metas (exceto conforme expressamente previsto em lei);
  • determinar a base legal para o tratamento de dados pessoais (na maioria dos casos, será o consentimento do sujeito dos dados pessoais, mas também pode haver um contrato, norma legislativa, disponibilidade geral de dados pessoais, outros );
  • cumprir com os requisitos do formulário de consentimento para o processamento da DP;
  • interromper o processamento ou garantir o término do processamento por outra pessoa de dados pessoais em caso de retirada pelo sujeito do consentimento para o processamento de dados pessoais.

Quanto aos projetos no campo de Big Data, existem questões jurídicas ainda mais controversas.

  • Primeiro, não existe uma abordagem única para entender o Big Data.
  • Em segundo lugar, a legislação regula o processamento de Big Data apenas parcialmente.
  • Em terceiro lugar, não foi desenvolvida uma posição inequívoca sobre a questão do uso de PDs de domínio público e PDs anônimos.
  • Quarto, é difícil determinar o valor real dos grandes dados do usuário.
  • Em quinto lugar, a agregação de grandes dados do usuário por qualquer empresa pode gerar os direitos intelectuais dessa empresa no banco de dados. Como resultado, surge um conflito de direitos. E as relações comerciais nessa área se tornam imprevisíveis como uma loteria.

, «» «Double data» / - (, , , ).

, , . , (. 783.1). . , « » , .



, , -, . , , . , — , . , , , :

  • ;
  • ;
  • ;
  • .

imagem

Source: https://habr.com/ru/post/pt427233/

More articles:


All Articles