Em nosso blog, já conversamos sobre o processamento de dados pessoais
na Bielorrússia , regulamentação nos
EUA e
Europa . Discutiremos outro projeto de lei europeu, que será uma espécie de acréscimo ao RGPD e endurecerá as regras para trabalhar com cookies e PD.
/ Flickr / robmadeo / CC BYOrigem e objetivo do regulamento ePrivacy
Agora na Europa (além do GDPR), a diretiva Diretiva ePrivacidade (
PDF ) (adotada em 2002) é responsável pela descrição dos mecanismos para trabalhar com os dados pessoais dos usuários. É por isso que os proprietários de sites começaram a solicitar que os visitantes consentissem com o uso de cookies. No entanto, esta diretiva
é apenas um conjunto de regras básicas que os Estados-Membros da UE podem modificar a seu critério. Isso foi
feito , por exemplo, na Itália, alterando as multas por ocultar vazamentos de dados (decreto nacional Decreto Legislativo nº 69/2012,
PDF ).
No entanto, o Parlamento Europeu decidiu fazer ajustes na situação atual e tornar os requisitos da Diretiva ePrivacy uniformes e imutáveis para os países da UE. Por esse motivo, o projeto de
Regulamento ePrivacy apareceu.
O novo projeto de lei
visa complementar e fortalecer os requisitos estabelecidos pelo RGPD. Ao mesmo tempo, o principal objetivo do Regulamento ePrivacy, de acordo com os parlamentares, é proteger os usuários de serviços de TI contra spam e publicidade intrusiva e fortalecer seu controle sobre dados pessoais (isso é afirmado no
capítulo dois, artigos 6 a 11 ).
Anteriormente, a Diretiva ePrivacy regulava apenas os operadores de telecomunicações. A lei os proibia de realizar quaisquer ações (gravação, armazenamento, monitoramento) com chamadas telefônicas e mensagens SMS sem o conhecimento e consentimento dos clientes. Agora, eles decidiram estender a ação do novo regulamento aos pedidos de comunicação na Internet: mensageiros instantâneos, comunicações de vídeo, e-mail, telefonia IP, dispositivos IoT, etc. (a lista completa é indicada no
artigo nº 4 da lei ).
O Regulamento ePrivacy
planejava "lançar" simultaneamente com o GDPR em 25 de maio de 2018. No entanto, devido a divergências no parlamento e a reação negativa da comunidade de TI (mais sobre isso mais adiante), a votação foi adiada para 2019.
O que diz o regulamento?
Mais uma vez, o regulamento levanta a questão do regulamento de cookies e forma os requisitos para obter consentimento para o processamento deles. De acordo com o texto do documento, os cookies podem ser processados sem o conhecimento do usuário, mas somente se esse processo for determinado pela necessidade técnica de fornecer um serviço específico. O usuário terá que dar consentimento para fins específicos, e sua ausência não deve afetar a qualidade ou a capacidade de fornecer serviços. Ou seja, o proprietário do recurso é obrigado a fornecer um uso alternativo do serviço sem cookies. Ao mesmo tempo, todas as informações coletadas usando cookies podem ser armazenadas apenas pelo tempo necessário para que o serviço funcione.
Apesar de o trabalho com cookies ser um dos principais tópicos do projeto, ele também aborda outros aspectos relacionados ao processamento de dados pessoais dos usuários na rede. Em particular, as mudanças afetaram o setor de IoT. Sob a nova lei, a transferência de dados de um dispositivo inteligente para outro exigirá o consentimento do usuário. Isso
significa que os fornecedores de soluções domésticas inteligentes que os apoiam constantemente no nível do ecossistema de dispositivos e aplicativos temáticos terão que obter consentimento para a transferência e o processamento de dados pessoais.
Ao mesmo tempo, o ePrivacy descreve as restrições para a realização de campanhas de marketing direto. O regulamento obrigará os anunciantes a divulgar seus números de telefone e usar prefixos especiais para identificar a chamada de publicidade. Atualmente, essas informações quase sempre permanecem ocultas. Ao mesmo tempo, é imposta uma proibição estrita de spam - se o usuário não desejar receber chamadas ou cartas de marketing, ele deverá ser inserido em uma lista separada (lista de não chamar) pela empresa.
/ Flickr / Carsten Schertzer / CC BYO Regulamento ePrivacy, como o GDPR, abrange todas as organizações que trabalham com dados de residentes de países da UE, independentemente da localização da própria empresa (
artigo No. 3 da lei ). A penalidade máxima por violação do Regulamento ePrivacy será de dois a quatro por cento da receita anual da empresa infratora ou dez milhões de euros (
artigo 23 da fatura ).
Como "cumprir" o Regulamento de Privacidade Eletrônica
Em geral, o novo projeto foi cumprido de forma bastante negativa. Isso se deve às preocupações das empresas cujas atividades a lei afetará em primeiro lugar. Até agora, esse impacto foi avaliado apenas no nível de previsões e estudos.
"O novo regulamento atingirá os negócios de publicidade, marketing e mídia", diz Sergey Belkin, chefe do departamento de desenvolvimento de serviços de aluguel de infraestrutura na nuvem 1cloud.ru . "Muitas empresas também terão que repensar vários processos comerciais básicos - já que, de fato, o trabalho com cookies será regulamentado ainda mais do que na situação após a introdução do GDPR."
Um estudo da Developers Alliance, que
inclui 70.000 programadores e representantes de empresas de software,
diz que o ePrivacy afetará não apenas o setor de TI, mas também reduzirá a receita de todo o negócio europeu em 30%. Segundo estimativas preliminares, as empresas perderão 500 bilhões de euros. Um grupo de entusiastas até gravou um
vídeo no qual mostravam o lado negativo do mundo da TI sem cookies e anúncios.
Em resposta a esses argumentos, os eurodeputados lembram que uma nova lei está sendo criada para proteger os direitos dos cidadãos, e não o desenvolvimento dos negócios na Internet. Birgit Sippel, deputado do Parlamento Europeu na Alemanha,
observou que o objetivo da ePrivacy é recuperar o controle sobre dados pessoais. A tarefa do projeto de lei é mostrar que a privacidade dos dados na era digital é necessária e possível.
Observe que nem todos os parlamentares concordam com Zippel. Daniel Dalton, presidente do Parlamento Europeu da Grã-Bretanha,
disse que o ePrivacy transformará a Europa em um "pântano digital". Todos os representantes das empresas com quem Dalton falou (da Microsoft e do Google a pequenas empresas iniciantes) se opõem ao ePrivacy.
Ainda não se sabe qual destino aguarda os novos regulamentos (se serão feitas mudanças sérias nele). O desenlace será em 2019. Contudo, pode-se supor que a “luta” pela adoção do Regulamento ePrivacy será séria, talvez comparável à que se desenrolou em torno do RGPD.
PS Materiais frescos sobre o tema do nosso blog corporativo: