Resumo do artigo: GDPR nos EUA? Nova legislação estadual está chegando mais perto da realidade

O artigo discute o impacto do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia nas leis e práticas de privacidade nos Estados Unidos. Apesar dos EUA não terem uma lei abrangente de privacidade de dados, a influência do GDPR já está sendo vista. As legislaturas estaduais tomaram a iniciativa de aprovar seus próprios estatutos de proteção de dados, como a Lei de Proteção ao Consumidor da Califórnia. As grandes empresas de tecnologia também estão pedindo uma lei de privacidade da linha de base nos EUA. No entanto, qualquer versão do GDPR que passa pelo Congresso provavelmente será diluída. O artigo argumenta que, embora as regras de proteção de dados no estilo europeu tenham virtudes, elas não serão suficientes e uma abordagem mais ampla é necessária. Os EUA precisam agir em breve para implementar leis abrangentes de privacidade que terão consequências globais.

Pontos chave:

1. Os EUA não aprovaram uma lei abrangente de privacidade de dados.
2. O GDPR já está transformando a lei e a prática de privacidade americana.
3. Os estados começaram a passar seus próprios estatutos de proteção de dados influenciados pelo GDPR.
4. As grandes empresas de tecnologia agora estão pedindo uma Lei de Privacidade dos EUA nos EUA.
5. É provável que uma versão dos EUA do GDPR seja significativamente diluída.
6. As regras de proteção de dados devem considerar o impacto no meio ambiente, democracia, vãos de atenção e saúde emocional.
7. O Congresso também pode abordar os poderes de monopólio das grandes empresas de tecnologia.
8. Os EUA precisam implementar leis abrangentes de privacidade em breve.
9. Leis abrangentes de privacidade nos EUA terão consequências globais para privacidade de dados.
10. A Virginia passou sua própria Lei de Proteção de Dados de Consumidor, seguindo a estrutura do CCPA.

Perguntas e respostas:

1. Qual é o Regulamento Geral de Proteção de Dados (GDPR)?

O Regulamento Geral de Proteção de Dados (GDPR) é uma lei de proteção de dados estabelecida pela União Europeia em 2018. Ele define regras e autoridades para proteger os dados pessoais dos indivíduos da UE.

2. O GDPR se aplica apenas às organizações com sede na UE?

Não, o GDPR se aplica a qualquer organização que mantenha dados de cidadãos da UE e qualquer pessoa na zona de livre comércio da Área Econômica Europeia (EEA), independentemente de sua sede.

3. Qual é o estado atual das leis de privacidade de dados nos EUA?

Os EUA não têm uma lei abrangente de privacidade de dados. No entanto, existem iniciativas no nível estadual para aprovar estatutos de proteção de dados influenciados pelo GDPR.

4. Como o GDPR está influenciando as leis de privacidade nos EUA?

O GDPR já teve um impacto na lei e prática de privacidade americana. Os estados começaram a passar seus próprios estatutos de proteção de dados, e grandes empresas de tecnologia estão pedindo uma linha de privacidade da linha de base nos EUA.

5. Quais são as principais diferenças entre o GDPR europeu e as leis de privacidade dos EUA propostas?

Enquanto o GDPR e as leis de privacidade dos EUA propostas compartilham os objetivos de transparência e responsabilidade, é provável que uma versão dos EUA do GDPR seja significativamente diluída. O modelo de aviso e escolha dos EUA existente pode ser incorporado a qualquer lei de privacidade dos EUA.

6. Quais são as limitações das regras de proteção de dados como o GDPR?

As regras de proteção de dados podem ser míopes e não abordarem o impacto do processamento de dados no meio ambiente, democracia, vãos de atenção e saúde emocional.

7. Que opções alternativas têm o Congresso em relação à privacidade de dados?

O Congresso pode dar uma olhada mais nos poderes de monopólio das grandes empresas de tecnologia e as diferenças de poder entre essas empresas e seus clientes. No entanto, é improvável que a implementação de uma visão mais ampla do bem -estar humano por meio de uma lei de privacidade.

8. Quão urgente é a necessidade de leis de privacidade abrangentes nos EUA?

Os EUA não podem esperar uma eternidade para implementar leis abrangentes de privacidade. Essas leis terão consequências para a privacidade de dados globalmente.

9. Qual é a Lei de Proteção de Dados do Consumidor (CDPA) na Virgínia?

O CDPA é uma lei abrangente de privacidade de dados do consumidor promulgada na Virgínia. A seguir, segue -se de perto a estrutura do CCPA e entrará em vigor em 1º de janeiro de 2023.

10. Que estados propuseram leis de privacidade seguindo a estrutura do CCPA?

Washington e Nova York propuseram leis de privacidade que espelham o CCPA.

11. Quais são os requisitos para as empresas cumprirem o CDPA na Virgínia?

As empresas que controlam ou processam informações pessoais de pelo menos 100.000 consumidores ou controlam ou processam os dados de pelo menos 25.000 residentes da Virgínia que derivam 50% ou mais de sua receita bruta com a venda de dados pessoais, devem cumprir o CDPA.

12. Como o impacto do GDPR está sendo sentido nos Estados Unidos?

O impacto do GDPR nos Estados Unidos já é evidente através da promulgação de estatutos de proteção de dados em nível estadual e a influência nas práticas de privacidade das grandes empresas de tecnologia.

13. Qual é o papel das grandes empresas de tecnologia na formação de leis de privacidade dos EUA?

As grandes empresas de tecnologia agora estão pedindo uma lei de privacidade da linha de base dos EUA que todos cumprem. Sua influência está pressionando o Congresso para fazer uma escolha na legislação de privacidade.

14. Como os EUA são diferentes da Europa quando se trata de implementar a proteção de dados no estilo GDPR?

Os EUA são muito diferentes da Europa para implementar e aplicar efetivamente a proteção de dados no estilo GDPR. Qualquer versão dos EUA do GDPR provavelmente seria diluída e se parecia mais com o modelo de aviso e escolha dos EUA existente.

15. Como as leis abrangentes de privacidade nos EUA afetarão a privacidade dos dados globalmente?

Leis abrangentes de privacidade implementadas nos EUA terão consequências para a privacidade de dados em todo o mundo. Os EUA são um participante importante no mercado global, e suas leis de privacidade influenciarão práticas e regulamentos em todo o mundo.

GDPR nos EUA? Nova legislação estadual está chegando mais perto da realidade

O regulamento geral de proteção de dados (também conhecido como GDPR) da União Europeia é uma lei de proteção de dados que entrou em vigor em 2018. Ele estabelece um único conjunto de regras e autoridades para proteger os dados pessoais de todos os indivíduos da UE. O GDPR se aplica a qualquer organização que mantenha dados de cidadãos da UE e qualquer pessoa na zona de livre comércio da Área Econômica Europeia (EEA), não apenas aquelas com sede na UE.

Por que a magia do GDPR da Europa nunca funcionará nos EUA

A Internet está conosco há um quarto de século, mas os EUA ainda não aprovaram uma lei exigindo que suas empresas cumpram por proteções significativas de privacidade de dados. Isso importa porque a maioria do mundo ocidental’As grandes empresas de tecnologia são americanas. Em 2020, América’S Bill de privacidade será finalmente resolvido.

Em maio de 2018, a UE’S Regulamento Geral de Proteção de Dados (GDPR) entrou em vigor e já está transformando a lei e a prática americana de privacidade. O GDPR é um conjunto abrangente de regulamentos, e seus extensos requisitos estão se tornando uma norma de mercado global. Na prática, se você deseja fazer negócios internacionais em dados pessoais, deve seguir pelo menos o espírito do GDPR, mesmo nos EUA.

As legislaturas estaduais tomaram a iniciativa e chamaram o Congresso’S mão da privacidade, mesmo que o Congresso não tenha’t atualizou sua abordagem para a privacidade em anos. Influenciado pelo GDPR, os estados começaram a passar seus próprios estatutos de proteção de dados, como a nova Lei de Proteção ao Consumidor da Califórnia. E agora, depois de anos de oposição à regulamentação, grandes empresas de tecnologia começaram a pedir uma lei de privacidade da linha de base dos EUA que todos cumprem. O Congresso agora se vê imprensado entre o momento de baixo para cima dos estados e a influência lateral da UE. Em 2020, será forçado a fazer uma escolha.

Enquanto o GDPR e os Estados dos EUA’ As propostas diferem de maneiras importantes, cada uma mais ou menos requer transparência e prestação de contas das empresas e controle para os titulares de dados. Mas qualquer versão do GDPR que provavelmente passará pelo Congresso também provavelmente será significativamente diluída e se pareça mais com o modelo de aviso dos EUA existente (lendo a política de privacidade) e a escolha (optando por não participar do Facebook e do Google).

As regras de proteção de dados no estilo europeu têm virtudes inegáveis, mas elas venceram’não é suficiente. O GDPR pressupõe que o processamento de dados seja sempre uma meta digna, mas mesmo dados processados ​​de maneira justa podem levar à opressão e abuso. As regras de proteção de dados também podem ser míopes porque ignoram como a indústria’O apetite por dados está destruindo nosso ambiente, nossa democracia, nossa atenção e nossa saúde emocional. Mesmo que a proteção de dados no estilo GDPR fosse suficiente, os EUA são muito diferentes da Europa para implementar e aplicar essa estrutura de maneira eficaz nesses termos. Qualquer versão americana do GDPR seria, na prática, uma espécie de um GDPR-Lite.

A regulamentação de proteção de dados não é a única opção, no entanto. O Congresso poderia dar uma olhada mais nas grandes empresas de tecnologia’ poderes de monopólio, por exemplo. Pode olhar para as enormes diferenças de poder entre essas empresas e seus clientes. E poderia usar uma lei de privacidade para articular uma visão mais ampla do bem -estar humano que responde proativamente aos desafios da era da informação – embora é realista que essa última opção acabe com os livros de estatutos.

O que é certo, porém, é que os EUA podem’T espere por sempre. Este ano, leis abrangentes de privacidade serão implementadas nos EUA. E a forma que eles assumem terão consequências para a privacidade de dados em todo o mundo.

Woodrow Hartzog Professor de Direito e Ciência da Computação na Northeastern University. Neil Richards é professor de direito e diretor do Instituto Cordell da Universidade de Washington em ST. Louis, St Louis

GDPR nos EUA? Nova legislação estadual está chegando mais perto da realidade

A União Europeia’s Regulamento geral de proteção de dados (“GDPR”) é conhecido como a lei de privacidade e segurança mais difícil do mundo, pois tem um amplo alcance e impõe pesadas multas contra aqueles que violam seus padrões de privacidade e segurança (que são bastante amplos). O impacto do GDPR já foi sentido nos Estados Unidos desde que entrou em vigor em 2018, e agora você.S. Os legisladores em vários estados estão se movendo para promulgar legislações semelhantes. A Lei de Proteção ao Consumidor da Califórnia (“CCPA”) foi a primeira instância do GDPR’O impacto nos Estados Unidos, como a Califórnia implementou um estatuto e regulamentos que espelhavam o THEGDPR em vários aspectos. Agora, a Virgínia acionou o que poderia ser uma série de estados de um ano, promulgando legislação semelhante. Em particular, Washington e Nova York propuseram legislação após a estrutura do CCPA. Este artigo comparará o CCPA com as leis de privacidade recém -promulgadas e propostas nos Estados Unidos.

Atos de privacidade recentemente promulgados e propostos:

Lei Virginia recém -promulgada

Em 2 de março de 2021, a Virgínia aprovou sua Lei de Proteção de Dados de Consumidores (“CDPA”), a segunda lei abrangente de privacidade de dados do consumidor nos Estados Unidos. O CDPA entrará em vigor em 1º de janeiro de 2023. O CDPA se aplica a pessoas ou entidades que conduzem negócios na Virgínia ou produzem produtos ou serviços oferecidos aos residentes da Virgínia e que “controle ou processo” dados pessoais. A Lei se aplica a empresas que (1) controlam ou processam informações pessoais de pelo menos 100.000 consumidores, ou (2) controlam ou processam os dados de pelo menos 25.000 residentes da Virgínia que também derivam 50% ou mais de sua receita bruta da venda de dados pessoais.

O CDPA segue de perto a estrutura do CCPA; No entanto, existem algumas diferenças importantes:

• O CDPA não contém direito de ação privado. Em vez disso, todas as ações devem ser levadas pelo procurador -geral da Virgínia.
• O CDPA, como o CCPA, isenta dados que já são regulados por certas leis federais listadas, como HIPAA, GLBA, FCRA, FERPA e Coppa. No entanto, sob o CDPA, a isenção do GLBA é mais ampla, pois isenta totalmente as instituições financeiras, não apenas os titulares de dados. Além disso, existem isenções baseadas em dados para a Lei de Relatórios de Crédito Fair, o motorista’S Lei de Proteção à Privacidade, e a Lei de Direitos e Privacidade da Educação Federal e organizações sem fins lucrativos.
• O CDPA contém um requisito de opção para processar dados pessoais sensíveis, a menos que isento.
• O CDPA define “consumidor” mais estreitamente do que o CCPA. O CDPA exclui aqueles que atuam em um contexto comercial ou de emprego.
• Sob o CDPA, o “venda de informações pessoais” exige que a consideração seja monetária para se qualificar como uma venda de dados. Pelo contrário, o CCPA permite monetário ou “outra consideração valiosa.”

Lei de Washington proposta

A Lei de Privacidade de Washington, Lei 6281 do Senado (“WPA”), é uma legislação proposta que reflete o CCPA. Como o GDPR e o CCPA, o WPA aumenta os consumidores’ Direitos em relação aos seus dados pessoais e garantem que as empresas sejam transparentes sobre a coleta e o processamento de dados do consumidor. Além disso, o WPA permite que os consumidores optem pela venda de seus dados pessoais. O WPA se aplicaria a empresas cujos produtos ou serviços são direcionados aos consumidores de Washington se o negócio: (1) controlar ou processar dados de mais de 100.000 consumidores, ou (2) deriva pelo menos 50% na receita da venda de dados pessoais e processa ou controla dados pessoais de mais de 25.000 consumidores.

O WPA e o CCPA têm semelhanças importantes, como: (1) um período de cura de 30 dias; (2) os negócios devem excluir um consumidor’Dados pessoais a seu pedido; e (3) responsabilidade do negócio de ser proativo ao dizer ao consumidor quais tipos específicos de informações pessoais a empresa coleta e como esses dados são usados. No entanto, existem diferenças importantes entre eles:

• O WPA limita o “dados pessoais” definição para informações sobre um “pessoa natural identificada ou identificável,” enquanto a definição da CCPA permanece ampla e se aplica a informações vinculadas a um “consumidor ou família particular.”
• O WPA antecede explicitamente as leis, ordenanças e regulamentos locais em relação ao processamento de dados pessoais por controladores ou processadores. O CCPA não.
• O WPA, diferentemente do CCPA, não inclui um requisito de limite de receita.
• O WPA, diferentemente do CCPA, abrange um “discriminação” Provisão que impede as empresas de tomar decisões automatizadas finais.
• O WPA limita como a tecnologia de reconhecimento facial pode ser utilizada onde o CCPA não tem disposição semelhante. (As novas obrigações de reconhecimento facial sobre empresas que usam reconhecimento facial, se promulgadas, excediam as obrigações atuais que as empresas enfrentam sob Washington’s Lei de Privacidade Biométrica (RCW 19.375).)

Lei proposta de Nova York

De toda a legislação de privacidade proposta, a Lei de Privacidade de Nova York (S5642) (“NYPA”) é provavelmente o mais esperado porque seu idioma é muito mais ousado que o CCPA. A NYPA se aplica amplamente a “Entidades legais que conduzem negócios em Nova York ou produzem produtos ou serviços que são intencionalmente direcionados para os residentes de Nova York.” Com uma linguagem tão ampla, a NYPA parece adaptada para alcançar o maior número possível de empresas ao omitir a linguagem do limite de receita, como visto no CCPA.

Embora a NYPA possa mudar antes de ser promulgada, seu idioma atual parte do CCPA de duas maneiras:

• A maior mudança é que as empresas seriam obrigadas a agir como “fiduciários de dados.” A lei proposta afirma que “Qualquer entidade que coleta, vende ou licencie informações pessoais dos consumidores deve exercer o dever de atendimento, lealdade e confidencialidade esperado de um fiduciário com relação a garantir os dados pessoais de um consumidor contra o risco de privacidade.” Esta obrigação faria “substituir qualquer dever devido a proprietários ou acionistas” de uma entidade.
• A NYPA não reconhece o consentimento implícito. Ao contrário do CCPA, que reconhece o consentimento implícito, a NYPA exigiria.

Takeaway principal

O GDPR’A influência dos Estados Unidos está aqui, e parece aqui ficar à medida que mais estados seguem o exemplo. Com duas grandes leis de privacidade em cada costa e variações espalhadas no meio, não está claro se o Congresso acabará por aprovar uma lei federal para criar alguma uniformidade. Até então, à medida que a nova legislação é implementada, empresas e empresas devem permanecer atualizadas para se proteger de possíveis ações e ações regulatórias possíveis.

GDPR no u.S.: Cuidado com o que você deseja

O último escândalo do Facebook poderia fazer com que a América mudasse permanentemente a maneira como lidamos com nossas leis de privacidade?

Seth p. Berman

A atenção atual no escândalo do Facebook/Cambridge Analytica fez com que inúmeros comentaristas sugerissem que os Estados Unidos adotassem uma lei modelada após a União Europeia’s Regulamento Geral de Proteção de Dados (GDPR), que entra em vigor em 25 de maio de 2018. De fato, até o próprio Facebook se ofereceu para fornecer aos usuários americanos as mesmas proteções fornecidas para seus usuários europeus. Curiosamente, mesmo quando mais e mais americanos estão citando o GDPR como modelo, muito poucos parecem entender o que o GDPR realmente exige. Por exemplo, nas últimas duas semanas, ouvi o GDPR resumido por um suposto especialista como “uma lei que exige que o consumidor opte por compartilhar seus dados;” uma lei que “estabelece o direito de ser esquecido;” e “Europa’s Lei de notificação de violação de dados.” Embora exista a verdade em cada uma dessas reivindicações, esses resumos ignoram muito sobre o que o GDPR exige que ele deixa as pessoas mais, não menos, confusas quanto ao que o GDPR envolve, e talvez não coincidentemente, permite que as empresas afirmem que estão fornecendo proteções do tipo GDPR sem realmente se comprometer muito.

Antes de explicar com mais detalhes o que a conformidade do GDPR realmente implica, vale a pena recontar as diferentes abordagens da privacidade de dados que se desenvolveram no U.S. e UE. A maior diferença importante é que até o momento, fora de algumas indústrias fortemente regulamentadas, como assistência médica e bancos, o U.S. não possui regulamentos de privacidade geralmente aplicáveis. Em vez disso, decisões sobre o que pode ser feito com um indivíduo’Os dados são deixados para a empresa que mantém esses dados, desde que a empresa não tenha sido desonesta sobre como pretende usar os dados (o que seria uma violação de vários estatutos de proteção ao consumidor). Essa estrutura legal resultou em termos de serviço muito expansivos escritos por empresas que praticamente todos os consumidores clicam sem ler antes de assinar em um site. Dessa forma, os consumidores no u.S. optaram principalmente por fornecer dados para empresas com muito poucas limitações em troca de acesso de custo gratuito ou reduzido aos serviços que as empresas fornecem. Esses termos de serviço expansivos são a primeira linha de defesa para qualquer empresa que supostamente tenha abusado de consumidores’ confiança – essencialmente “você nos deu permissão” (mesmo se você não’eu percebo que você fez isso).

A aproximação mais próxima do u.S. Atualmente, tem para uma ampla regulamentação de privacidade de dados de base que os estados de notificação de violações de dados estatutos. Esses estatutos, que variam de estado para estado, geralmente exigem uma organização para notificar os indivíduos afetados se sofrer uma violação de dados que resulte na perda de informações de identificação pessoal (PII), como número de previdência social, número do cartão de crédito ou data de nascimento de nascimento. Estes não são realmente estatutos de privacidade. Em vez disso, eles são totalmente retroativos (eles estão implicados somente após a ocorrência de uma violação de segurança) e não colocam limites para o que uma organização pode fazer com dados pessoais, desde que o mantenha seguro de terceiros não autorizados.

Por que o GDPR é importante para você.S. Organizações

O GDPR é uma lei que foi aprovada na UE e teve implicações significativas para todas as empresas que operam na Europa. No entanto, esta lei se tornou o “padrão-ouro” Em lugares muito além da UE, como é de muitas maneiras o novo padrão para requisitos de segurança e privacidade de dados para empresas de todos os tipos.

Neste artigo, queremos discutir o impacto que o GDPR teve nas empresas americanas e por que essa legislação também deve ser importante para as organizações dos EUA. A chave para o motivo pelo qual as empresas americanas devem se importar é porque é uma prática recomendada e os ajudará a se preparar, caso uma grande lei de privacidade de dados dos EUA seja aprovada.

Qual é o GDPR?

O regulamento geral de proteção de dados (também conhecido como GDPR) da União Europeia é uma lei de proteção de dados que entrou em vigor em 2018. Ele estabelece um único conjunto de regras e autoridades para proteger os dados pessoais de todos os indivíduos da UE. O GDPR se aplica a qualquer organização que mantenha dados de cidadãos da UE e qualquer pessoa na zona de livre comércio da Área Econômica Europeia (EEA), não apenas aquelas com sede na UE.

O Regulamento Geral de Proteção de Dados (GDPR) estabelece uma série de objetos que lidam, processam e salvaguardarem dados. Essas definições o ajudarão a começar com o GDPR e regras relacionadas. O GDPR divide as partes de dados em três categorias: Dados Titulares, Controladores e Processadores.

Um “titular de dados” é alguém cujas informações estão sendo coletadas. Um “controlador de dados” é uma entidade que decide as circunstâncias, propósitos e métodos para processar os dados pessoais de um titular de dados. Um “processador de dados”, por outro lado, é uma empresa que lida com dados pessoais em nome do controlador.

Controladores e processadores podem estar situados em qualquer lugar do mundo, incluindo os Estados Unidos, sob o GDPR. Este é um afastamento considerável dos regulamentos anteriores da UE.

O que constitui dados pessoais é outro conceito crucial do GDPR para compreender. Somente dados que podem ser usados ​​para identificar um indivíduo são protegidos pelo GDPR. Por exemplo, a idade sozinha não pode ser usada para identificar uma pessoa e não é coberta pelo GDPR, mas os dados de nomes da idade mais podem ser usados ​​para identificar uma pessoa.

Compreendendo os principais recursos do GDPR

O GDPR é motivado principalmente pelo desejo da UE de criar um mercado digital unificado. Os requisitos atuais do GDPR são guiados pelos conceitos listados abaixo, e os três se aplicam a organizações dos EUA.

Proporcionalidade

De acordo com o GDPR, a quantidade de dados pessoais processados ​​deve ser proporcional ao motivo pelo qual foi coletado. Isso implica a coleta o mínimo de dados possível e retendem -os por não mais do que é necessário para atender o consumidor.

Transparência

Todos os titulares de dados têm o direito de serem informados sobre o processamento de seus dados pessoais e os propósitos para os quais são usados. Eles também devem consentir expressamente. (Veja os artigos 7, 10, 11 e 12 para obter mais informações.) Para a maioria das empresas, o GDPR representa uma mudança significativa. Você deve mudar de uma atitude de exclusão para uma atitude de opção quando se trata de processamento de dados.

Propósito legítimo

Para que a coleta de dados seja legal, as organizações devem ter um motivo legítimo para fazê -lo. A quantidade de dados pessoais necessários para realizar tarefas de negócios deve ser mantida ao mínimo. Um aplicativo de jogo, por exemplo, não requer informações de saúde, portanto, não deve ser necessário para coletar dados que não têm valor econômico.

O que o GDPR diz sobre as empresas americanas?

O GDPR não se aplica diretamente a todas as empresas americanas, mas indiretamente as afeta.

O GDPR se aplica aos Estados Unidos, bem como a todas as outras nações em todo o mundo. Como o artigo 3 do GDPR, que especifica o alcance geográfico da lei, estipula que ele se aplica não apenas às empresas da UE, mas também a organizações fora da UE que fornecem ou monitoram os dados dos cidadãos da UE, esse é o caso.

Se pelo menos um dos dois requisitos a seguir for atendido, o GDPR se aplica a todas as empresas americanas, independentemente da receita ou tamanho do funcionário:

• Mesmo que não haja interações comerciais, a empresa fornece bens ou serviços aos residentes da UE.
• A empresa acompanha como os usuários se comportam na União Europeia.

Nomes, informações de contato, detalhes de dispositivo, como endereços IP, informações biométricas, fotos e vídeos estão entre os dados e comportamentos pessoais cobertos pelo GDPR.

Os critérios para a conformidade com o GDPR diferem com base nas características da empresa. Empresas com menos de 250 trabalhadores, por exemplo, não precisam acompanhar suas operações de processamento de dados. No entanto, conforme declarado na arte. 30 (5) do GDPR, esse critério só se aplica se o processamento não representar um perigo para os direitos e liberdades dos titulares de dados, se nenhuma categoria especial de dados for processada ou se o processamento for feito muito raramente.

Por que o GDPR é importante?

As mudanças no GDPR destinam-se a mudar as empresas para longe de uma abordagem de conformidade com tick-box para proteção e privacidade de dados pessoais, e em direção a uma estratégia em toda a empresa para gerenciar a vida dos dados.

Para começar, o GDPR cobre uma área geográfica mais ampla. Não é necessário se basear na Europa para se qualificar. O GDPR se aplicará a qualquer corporação que conduza negócios com cidadãos da UE. Mesmo se você fornecer um serviço sem lucro, como um aplicativo acessível a pessoas na UE, se você coletar informações digitais como endereços IP ou executar cookies, poderá estar passível de GDPR.

Há também a questão dos DPAs a considerar. As autoridades de proteção de dados (DPAs) seriam capazes de impor multas ainda mais duras para violações de dados pessoais. O GDPR tem uma abordagem de três camadas para as penalidades. Para as infrações mais flagrantes, como não obter consentimento adequado do consumidor para processar dados, a penalidade máxima é de 4% da receita global anual, ou € 20 milhões. Uma multa de até 2% da receita anual em todo. A maior punição por violar a Lei de Proteção de Dados no Reino Unido é de £ 500.000, e a melhor multa até o momento foi de £ 400.000, que foi concedida ao TalkTalk em 2016 por falhas de segurança que permitiram a um atacante cibernético acessar dados do consumidor “com facilidade.”

A conformidade com o GDPR é particularmente crítica, uma vez que as salvaguardas tecnológicas e organizacionais para garantir dados pessoais se tornarão essenciais, com os exemplos de exibição do GDPR do que é antecipado. Essas preocupações incluem hash e criptografia de dados pessoais, capacidade de manter confidencialidade, integridade e disponibilidade e mecanismos para avaliar o sucesso das medidas de segurança.

Além disso, o escopo dos dados pessoais foi ampliado para incluir identificadores online, como endereços IP e identidades de dispositivos móveis. O acordo expressa dos indivíduos para o processamento de dados pessoais será necessário e as empresas não poderão mais utilizar termos e condições extensos e ilegíveis. Os indivíduos também terão novos direitos em termos de processamento de dados, como apagamento de dados e portabilidade de dados, que é a capacidade de transferir dados para um controlador diferente.

Como o GDPR influenciou a privacidade de dados internacionalmente?

O GDPR influenciou a legislação em todo o mundo, incluindo o país da lei geral do Brasil para a proteção de dados pessoais, a lei de proteção de dados pessoal planejada da China e a proposta de lei de proteção de dados pessoal proposta pela Índia, para mencionar alguns. Nos Estados Unidos, Califórnia e Virgínia aprovaram leis com base no GDPR, enquanto outros estados, como Washington, ainda estão trabalhando em idéias.

Na Índia, o GDPR serviu de modelo para o PDPB planejado na Índia, que provavelmente será enviado antes do Parlamento em breve em sua forma final. A Índia está considerando expandir o escopo da lei para incluir uma categoria de dados pessoais sensíveis que exigiriam conformidade, mesmo que nenhum dado seja coletado na Índia, mas seja processado lá.

Os princípios fundamentais do GDPR de abertura, preservação de dados e segurança foram demonstrados como universalmente aplicáveis. Desde 2018, houve uma mudança significativa, com o reconhecimento de que lidar com dados pessoais de forma transparente e segura é uma obrigação.

Em uma escala mundial, o GDPR também está aumentando o perfil da privacidade. O GDPR tem sido uma oportunidade muito benéfica para os profissionais de privacidade, aumentando as possibilidades de privacidade, as vagas de carreira e os empregos, além de desenvolver um conjunto mais forte e variado de talento de privacidade. De maneira mais ampla, o GDPR atuou como um catalisador para mover a privacidade para o topo das agendas de CEOs em todas as empresas.

O GDPR aumentou a privacidade de dados para uma prioridade C-Suite nas empresas, acelerou a maturação de muitos programas de privacidade e mudou muitos programas de privacidade de uma abordagem de conformidade com tick-box para desenvolver uma cultura de privacidade por design e responsabilidade. O desejo das organizações de cumprir o GDPR não é surpreendente, dado os mecanismos de aplicação do regulamento.

O futuro da conformidade com o GDPR e privacidade de dados

Embora o GDPR tenha estabelecido o padrão para uma estrutura mundial de proteção de dados, ele pode ser melhorado alinhando sua abordagem com os princípios existentes de direito internacional.

Os casos de “Schrems” causaram muita confusão nos últimos anos, e o processo de adequação foi menos do que aberto. O procedimento para avaliar se um país cumpre os critérios da UE é complicado e a legislação pode ser reforçada com base nos conceitos existentes de cooperação transfronteiriça em outros comércio internacional.

As organizações estão monitorando profundamente a legislação de eprivacia planejada da UE, que substituirá a diretiva de eprivacy na definição de padrões para comunicações eletrônicas, bem como sugestões de regulamentação de inteligência artificial enquanto trabalham através da conformidade com o GDPR. Especialistas em privacidade acreditam que esses planos devem cumprir o GDPR quando são revisados.

Os princípios do GDPR, como responsabilidade, abertura e justiça, podem servir como modelo para legislação futura, com o objetivo de desenvolver soluções racionais e práticas que protejam as pessoas. Para evitar a fragmentação das leis de governança de dados dentro da UE, a próxima legislação deve buscar uma conformidade significativa com as regras do GDPR.