Estado do GDPR em 2021: principais atualizações e o que elas significam

As diretivas da UE impactaram praticamente todos os profissionais digitais, pois os produtos e serviços são projetados com o GDPR em mente, independentemente de você ser uma empresa de web design em Wisconsin ou em Wisconsin comerciante em Malta. As amplas implicações do GDPR não afetam apenas como os dados devem ser processados, como os produtos devem ser desenvolvidos e como os dados são transferidos com segurança dentro e entre as organizações. Ele define acordos internacionais de transferência de dados como aquele entre a Europa e a América.

Kevin Kelly , um dos digitais mais brilhantes do mundo futuristas, afirma que’a tecnologia é uma força tão grande quanto a natureza’. O que ele quer dizer com isso é que os dados do usuário e a tecnologia da informação estão causando um dos períodos mais profundos da história da humanidade desde a invenção da linguagem. Basta observar o que está acontecendo enquanto os governos e as multinacionais de tecnologia lutam para controlar a Internet.

Só na semana passada, enquanto o governo australiano tentava forçar os proprietários de plataformas a pagar aos editores pelo conteúdo compartilhado em suas plataformas, o Facebook decidiu bloquear notícias para usuários australianos com um grande alvoroço do governo australiano.

E isso além das controvérsias anteriores (a organização do motim do Capitólio dos EUA , o escândalo de Cambridge Analytica ) no cruzamento onde o governo e a tecnologia se encontram.

Neste artigo, veremos como o GDPR evoluiu desde 2018. Veremos algumas atualizações da UE, alguns desenvolvimentos importantes e onde o GDPR provavelmente evoluirá. Exploraremos o que isso significa para nós , como designers e desenvolvedores. E veremos o que isso significa para as empresas dentro e fora da UE.

No próximo artigo, vamos nos concentrar no consentimento de cookies e no paradoxo em que os profissionais de marketing dependem muito dos dados de cookies do Google Analytics, mas precisam cumprir os regulamentos. Em seguida, vamos nos aprofundar no rastreamento de anúncios primários à medida que começarmos a ver mudanças nos cookies de terceiros.

• Parte 1: GDPR, principais atualizações e o que elas significam
• Parte 2: GDPR, consentimento de cookie e terceiros ( na próxima semana )
  Assine nossa newsletter para não perder.

Uma rápida recapitulação do GDPR

Vamos começar lembrando a nós mesmos o que é o GDPR. O GDPR tornou-se lei na UE em 25 de maio de 2018. É baseado em 7 princípios :

1. Legalidade, justiça e transparência
   Você deve processar dados para que as pessoas entendam o que, como e por que você está processando seus dados.
2. Limitação da finalidade
   Você só deve coletar dados para fins claros, especificados e legítimos. Você não pode processá-lo de maneiras incompatíveis com seus objetivos originais.
3. Minimização de dados
   Você deve coletar apenas os dados de que precisa.
4. Precisão
   Seus dados devem ser precisos e atualizados. Dados imprecisos devem ser apagados ou corrigidos.
5. Limitação de armazenamento
   Se os dados puderem ser vinculados a indivíduos, você só poderá mantê-los pelo tempo necessário para realizar os fins especificados. (Advertências para uso em pesquisa científica, estatística ou histórica.)
6. Integridade e confidencialidade (ou seja, segurança)
   Você deve garantir que os dados pessoais que possui são processados ​​com segurança. Você deve protegê-lo contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental.
7. Responsabilidade
   Agora você é responsável pelos dados que possui e deve ser capaz de demonstrar sua conformidade com o GDPR.

Algumas definições

• CJEU
  Tribunal de Justiça do União Europeia . As decisões deste tribunal esclarecem as leis da UE, como o GDPR.
• DPAs
  Autoridades Nacionais de Proteção de Dados. Cada país da UE tem um. O GDPR é aplicado e multas são emitidas, em nível nacional, por esses órgãos. O equivalente no Reino Unido é o Information Commissioner’s Office ( ICO ). Nos Estados Unidos, a privacidade de dados no estilo GDPR é amplamente regulamentada por cada estado.
• Comissão Europeia
  O ramo executivo da União Europeia (essencialmente, a função pública da UE). A Comissão Europeia elabora projetos de legislação, incluindo GDPR .
• GDPR
  O Regulamento Geral de Proteção de Dados de 2018 .

Principais atualizações da UE

O GDPR não pára desde maio de 2018. Aqui está um rápido resumo do que aconteceu desde que entrou em vigor.

Como a UE e seus Estados-Membros implementaram o GDPR?

A Comissão Europeia relata que o GDPR está quase totalmente implementado em toda a UE, embora alguns países-o nome dele é a Eslovênia-tenham se arrastado. No entanto, a profundidade da implementação varia. A UE também afirma que seus países membros estão, em sua opinião, usando seus novos poderes de maneira justa.

No entanto, também expressou preocupação com o surgimento de algumas divergências e fragmentação. O GDPR só pode funcionar de maneira eficaz no mercado único da UE se os Estados-Membros estiverem alinhados . Se as leis divergem, isso turva a água.

Como a UE deseja que o GDPR se desenvolva?

Sabemos que a UE deseja que seja mais fácil para os indivíduos exercerem seus direitos de acordo com o GDPR. Isso significa colaboração internacional e ações coletivas . Ela quer ver a portabilidade de dados para os consumidores além de bancos e telecomunicações.

Também quer tornar mais fácil para
pequenas e médias empresas ( PMEs ) para cumprir o GDPR. É provável que isso aconteça na forma de suporte e ferramentas extras, como cláusulas contratuais mais padronizadas-essencialmente um modelo jurídico que as PMEs podem copiar/colar em contratos-já que a UE não está interessada em burlar as regras por elas.

Grande desenvolvimento nº 1: a definição inesperadamente ampla de”controlador conjunto”

Certo, esta é a primeira grande mudança desde que o GDPR se tornou lei. Em dois casos de teste envolvendo o Facebook, o Tribunal de Justiça da União Europeia definiu uma interpretação muito mais ampla de”controlador conjunto”do que o esperado.

Uma situação de controlador conjunto surge quando dois ou mais controladores são responsáveis ​​por cumprir os termos do GDPR. (Este é um bom explicador do ICO em controladores conjuntos .) Essencialmente:

• Ao processar dados do cliente, você decide com seus colegas controladores conjuntos quem gerenciará cada etapa para que fique em conformidade com o GDPR.
• No entanto, todos vocês têm total responsabilidade por garantir que todo o processo esteja em conformidade . Cada um de vocês é totalmente responsável perante a autoridade de proteção de dados do país que trata de quaisquer reclamações.
• Um indivíduo pode fazer uma reclamação contra cada um dos controladores conjuntos.
• Você é totalmente responsável por qualquer dano causado-a menos que possa provar que não tem nenhuma conexão com o evento que causou o dano.
• Um indivíduo pode buscar compensação de qualquer controlador conjunto. Você pode recuperar parte dessa compensação de seus colegas controladores.

No primeiro caso do Facebook, o CJEU confirmou que uma empresa que dirigia uma página de fãs no Facebook contava como um controlador conjunto ao lado do Facebook. No segundo, o TJUE também confirmou que uma empresa que incorporou um botão Curtir do Facebook em seu site tinha o status de controlador conjunto com a rede social.

Esses casos enviaram ondas de choque por meio da comunidade de privacidade, pois basicamente tornam os editores sociais, operadores de sites e moderadores de páginas de fãs responsáveis ​​pelos dados do usuário em plataformas como o Facebook.

No entanto, o CJEU também esclareceu que responsabilidade compartilhada não significa responsabilidade igual . Em ambos os casos, a responsabilidade recaiu principalmente sobre o Facebook-apenas o Facebook tinha acesso aos dados e apenas o Facebook poderia excluí-los. Portanto, o impacto desta decisão pode ser menos severo do que parece à primeira vista, mas ainda é extremamente importante.

E pode ser por isso que alguns sites-como o site da Presidência da UE em 2020 da Alemanha -bloqueiam as redes sociais incorporadas conteúdo por padrão, até que você especificamente opte por:

Grande desenvolvimento # 2: Bye Bye Privacy Shield, Olá CPRA

A segunda grande mudança era mais previsível: o Privacy Shield , o mecanismo que tornava mais fácil para as empresas americanas processar dados de clientes europeus, foi derrubado pelos tribunais.

Aqui está o porquê.

A UE deseja proteger os dados pessoais dos seus cidadãos. No entanto, também deseja incentivar o comércio internacional, além da colaboração internacional em áreas como segurança.

A UE considera-se-com razão-pioneira na proteção de dados. Portanto, está usando sua força política para encorajar os países que desejam negociar com o bloco a se adequar aos padrões de privacidade de dados.

Entre nos Estados Unidos. As filosofias européia e americana sobre privacidade de dados são diametralmente opostas . (Em essência, a visão europeia é que os dados pessoais são privados, a menos que você dê permissão explícita. A visão americana é que seus dados são públicos, a menos que você expressamente solicite que sejam privados.) Mas, como os dois maiores mercados de consumo do mundo, eles precisam troca. Portanto, a UE e os EUA desenvolveram o Privacy Shield.

O Privacy Shield foi desenvolvido para permitir que as empresas dos EUA processem dados de cidadãos da UE, desde que essas empresas sigam seus padrões de privacidade mais elevados.

Mas, de acordo com a lei dos EUA, o governo dos EUA ainda pode monitorar esses dados. Isso foi contestado em um caso apresentado pelo advogado austríaco de privacidade Max Schrems. O CJEU ficou do lado dele: Privacy Shield foi derrubado e as 5.300 PMEs americanas que usavam Privacy Shield receberam nenhuma escolha a não ser adotar as cláusulas contratuais padrão prescritas da UE.

Obviamente, é do interesse de todos que o Privacy Shield seja substituído -e será. Mas os especialistas dizem que sua substituição provavelmente será derrubada novamente no devido tempo, porque as abordagens europeias e americanas em relação à privacidade são essencialmente incompatíveis.

Enquanto isso, na Califórnia, o California Consumer Privacy Act (CCPA) inspirado no GDPR de 2018 foi reforçado em novembro de 2020 quando o California Privacy Rights Act (CPRA) foi aprovado.

A Lei de Privacidade do Consumidor da Califórnia (CCPA)

A CCPA, que entrou em vigor em janeiro de 2020, dá aos cidadãos da Califórnia o direito de cancelar a venda de seus dados . Eles também podem solicitar a divulgação de quaisquer dados que foram coletados e podem solicitar a exclusão desses dados.
Ao contrário do GDPR, o CCPA se aplica apenas a empresas comerciais:

• Quem processa os dados de mais de 50.000 residentes da Califórnia por ano, OU
• Que geram receita bruta de mais de US $ 25 milhões por ano, OU
• Quem obtém mais da metade de sua receita anual com a venda de dados pessoais de residentes da Califórnia

The California Privacy Rights Act (CPRA)

O CPRA, que entra em vigor em janeiro de 2023, vai além do CCPA . Seus pontos principais incluem:

• Isso aumenta o padrão para empresas que processam dados de 100.000 residentes da Califórnia por ano
• Oferece mais proteção aos dados confidenciais dos californianos , como raça, religião, orientação sexual, dados de saúde e documentos de identidade do governo
• Triplica as multas por violação de dados de menores
• Concede aos californianos o direito de solicitar que seus dados sejam corrigidos
• Obriga as empresas a ajudar nas investigações de CPRA
• E estabelece uma Agência de Proteção à Privacidade da Califórnia para fazer cumprir o CPRA

Outros esforços em direção às leis de privacidade estão acontecendo em outros estados e, juntos, podem reforçar a necessidade de medidas federais de privacidade sob o novo governo Biden.

Grande desenvolvimento # 3: Consentimento de Cookie

Em maio de 2020, a UE atualizou suas orientações RGPD para esclarecer vários pontos, incluindo dois pontos-chave para consentimento de cookies:

• As paredes de cookies não oferecem aos usuários uma escolha genuína, porque se você rejeitar os cookies, você será impedido de acessar o conteúdo. Isso confirma que as paredes de cookies não devem ser usadas.
• Rolar ou deslizar pelo conteúdo da web não significa consentimento implícito . A UE reitera que o consentimento deve ser explícito.

Vou me aprofundar nisso no segundo artigo na próxima semana.

Grande desenvolvimento nº 4: Google e Apple começam a mudar do rastreamento de terceiros

Enquanto os grandes players digitais descobrem como cumprir o GDPR-e como tirar vantagem da legislação de privacidade-alguns já foram criticados.

Ambos Google e Apple está enfrentando processos antitruste , após reclamações de empresas e editores da adtech.

Em ambos os casos, os reclamantes dizem que as grandes empresas de tecnologia estão explorando sua posição dominante no mercado.

Novamente, mais sobre isso da próxima vez.

Grande desenvolvimento nº 5: Grandes multas do GDPR estão chegando dessa forma

É claro que muitas organizações passaram a cumprir o GDPR porque temiam as multas que os reguladores poderiam aplicar. Essas multas começaram a rolar:

O regulador francês de dados deu ao Google € 50 milhões multa por”falta de transparência, informações inadequadas e falta de consentimento válido em relação à personalização de anúncios”, dizendo que os usuários”não foram suficientemente informados”sobre como e por que o Google coletou seus dados.

Seu equivalente no Reino Unido, o ICO, multou o conglomerado hoteleiro dos EUA Marriott International Inc. £ 18,4 milhões por não manter 339 milhões de registros de hóspedes protegidos. O ataque cibernético de 2014 à Starwood Hotels and Resorts Worldwide, Inc., que a Marriott adquiriu em 2016, não foi descoberto até 2018.

A ICO do Reino Unido também multou a British Airways em um recorde de £ 20 milhões por uma violação de dados em 2018 de 400.000 clientes pessoais e dados do cartão de crédito .

Depois, há o meu favorito, uma chocante violação da confiança do funcionário pela H&M que resultou em uma penalidade de € 35 milhões.

É aqui que estamos hoje.

O que isso significa para você?

Como designers e desenvolvedores, o GDPR tem-e continuará a ter-um grande impacto nos produtos que projetamos e construímos e na maneira como projetamos para os dados.

Aqui está o que nós, como designers, devemos saber

• O GDPR é fundamental para você porque você projetará os pontos em que os usuários compartilham seus dados , quais dados são coletados e como são processados.
• Siga Práticas recomendadas de privacidade por design . Não tente reinventar a roda-se você criou um banner de cookie compatível, use seu padrão de design comprovado.
• Trabalhe com suas equipes de conformidade e desenvolvimento para garantir que os projetos atendam ao GDPR e possam ser implementados. Peça apenas os dados de que você precisa.
• Por fim, pergunte a seus usuários quais dados eles se sentem confortáveis ​​em compartilhar e como gostariam que você os usasse. Se eles acharem isso assustador, reveja sua abordagem.

Aqui está o que nós, como desenvolvedores, devemos saber

• O GDPR é fundamental para você porque ativa o processamento de dados , o compartilhamento e as integrações.
• Como regra geral com o GDPR, adote uma abordagem de necessidade de acesso . Comece implementando tudo sem acesso e, em seguida, conceda à sua equipe acesso aos dados conforme e quando for necessário (por exemplo, dando aos desenvolvedores acesso ao console do Google Analytics). Faça auditoria e documente conforme você avança.
• Siga privacidade desde o design e princípios de segurança desde o design . Modelos robustos e seguros para implementação de infraestrutura são essenciais.
• Certifique-se de estar envolvido desde o início sobre os aspectos técnicos, por exemplo consentimento de cookie/conversas de rastreamento, então o que é decidido pode ser implementado.
• Mapeamento de processos mostra onde os dados estão sendo compartilhados com diferentes partes da empresa.
• A automação oferece tratamento seguro de dados que evita erros humanos. Também ajuda a evitar que pessoas erradas acessem os dados.
• Listas de verificação do GDPR e, claro, livros para execução irão ajudá-lo a gerenciar seu processo. Novamente, audite e documente conforme você avança.

Agora vamos ver como o GDPR evoluirá em um futuro próximo. Vamos nos concentrar em três áreas.

Três áreas em que o GDPR está evoluindo rapidamente

1. Como a UE está implementando o GDPR

Primeiro, vamos ver como o GDPR será incorporado ainda mais no cenário legislativo.

A UE deseja manter seus estados membros alinhados , porque isso tornará os processos internacionais e a colaboração internacional mais fáceis. Portanto, reforçou que os países não devem se desviar nem ultrapassar o GDPR. Alguns Estados-Membros, como já disse, estão a defender o regulamento da boca para fora. Outros querem exceder os padrões do GDPR.

Em troca de seu alinhamento, a UE reforçará a conformidade , trabalhará para permitir ações coletivas e processos transfronteiriços mais baratos e também promoverá privacidade e padrões consistentes fora da UE. Além de suporte e ferramentas extras para PMEs, também podemos ver a certificação de segurança e proteção de dados desde o projeto.

Finalmente, isso pode levantar algumas sobrancelhas no Vale do Silício: a UE sugeriu que pode considerar proibições no processamento de dados para estimular a conformidade . As multas de € 50 milhões não são o fim do mundo para o Google e seus amigos. Mas dar um tempo na etapa impertinente-e no resultado ruim de relações públicas-é uma coisa muito diferente.

2. Como o GDPR funciona com a inovação

O GDPR foi projetado para ser neutro em termos de tecnologia e para oferecer suporte, e não impedir, a inovação. Isso certamente foi testado nos últimos 12 meses, e a UE aponta o lançamento rápido de aplicativos COVID-19 como prova de que sua legislação funciona.

Podemos esperar os códigos de conduta para categorias sensíveis de dados (saúde e pesquisa científica). Eles serão bem-vindos.

No entanto, eles estão observando os inovadores de perto. A UE expressou preocupação com a privacidade de dados em vídeo, dispositivos IoT e blockchain. Eles estão particularmente preocupados com o reconhecimento facial (e presumivelmente de voz) e os desenvolvimentos na IA.

Mais notavelmente, a Comissão está profundamente preocupada com o que chama de “empresas multinacionais de tecnologia”, “grandes plataformas digitais” e “publicidade online e micro-direcionamento”. Sim, mais uma vez está olhando para você, Facebook, Amazon, Google e amigos.

3. Como a UE está promovendo os padrões do GDPR além da UE

Nossa economia digital é global, então o impacto do GDPR se espalha além das fronteiras da UE-e não apenas em termos de conformidade. A UE está definindo o padrão da legislação de proteção de dados em todo o mundo. Além da CCPA da Califórnia, consulte LGPD do Brasil, além de desenvolvimentos no Canadá, Austrália, Índia e uma série de estados americanos.

Claro, é do interesse da UE que outros países e blocos comerciais correspondam aos seus padrões. Portanto, é promover o GDPR de várias maneiras :

• Por meio de “decisões de adequação mútua” com o Japão e em breve a Coreia do Sul
• Incorporado em acordos comerciais bilaterais, por exemplo com Nova Zelândia, Austrália, Reino Unido
• Por meio de fóruns como a OCDE, ASEAN, G7 e G20
• Por meio de sua Academia de proteção de dados para reguladores da UE e internacionais

É especialmente importante para capacitar a inovação por meio de fluxos de dados confiáveis ​​ e para permitir a cooperação internacional entre autoridades policiais e operadores privados.

A UE é líder mundial em proteção de dados. Para onde for, outros o seguirão. Portanto, mesmo se você não estiver projetando/desenvolvendo para um público da UE, precisa estar ciente do que está acontecendo.

O que tudo isso significa para as empresas na UE?

As empresas que operam na UE precisam cumprir o GDPR ou correm o risco de serem multadas. Essas multas podem ser muito pesadas, como vimos. Portanto, você precisa ser capaz de demonstrar que está aderindo aos 7 princípios do GDPR e às orientações específicas da autoridade nacional de proteção de dados.

No entanto, isso não é tão simples quanto parece e você pode optar por avaliar seu risco em alguns casos. Vou mostrar um exemplo disso na próxima vez.

O que isso significa para empresas localizadas fora da UE?

As implicações para empresas sediadas fora da UE são exatamente as mesmas que para os países da UE , se processarem dados pessoais da UE. Isso ocorre porque o GDPR se aplica aos dados pessoais de pessoas residentes na UE. Se você deseja processá-lo, por exemplo, para vender para clientes na UE, você tem que cumprir as regras. Caso contrário, você corre o risco de ser multado, como Facebook e Google.

Veja como isso é aplicado : se você estiver presente na UE, como muitas multinacionais, e você não pagar uma multa do GDPR, seus bens na UE podem ser apreendidos. Se você não estiver presente, será obrigado, de acordo com o GDPR, a nomear um representante na UE. Quaisquer multas serão cobradas por meio desse representante. Como alternativa, você pode enfrentar um processo internacional complexo e caro .

E é aqui que fica complexo para todos:

Se sua base de clientes incluir pessoas na UE e cidadãos de outros lugares com leis de privacidade, como o estado da Califórnia, você deve cumprir ambos com o California Consumer Privacy Act (CCPA) e com GDPR. Esses lotes de legislação geralmente se alinham-mas eles não correspondem.

Pegue os cookies, por exemplo. Sob
GDPR, você deve obter o consentimento ativo de um usuário antes de colocar um cookie em seu dispositivo, barrar aqueles estritamente necessários para o funcionamento do seu site.

No entanto, de acordo com o CCPA, você deve divulgar quais dados está coletando e permitir que seu cliente negue a você permissão para vender seus dados. Mas eles não precisam concordar ativamente que você pode coletá-lo.

É por isso que a UE está pressionando por padrões internacionais para simplificar a conformidade global.

NB Se você estiver nos Estados Unidos e aguardando ansiosamente a substituição do Privacy Shield, em vez disso, você pode ler uma folha do livro da Microsoft-eles e outros declararam que’cumprirei o GDPR em vez de depender de quaisquer mecanismos bilaterais para permitir o processamento de dados.

Que lições os designers e desenvolvedores da web podem aprender com o GDPR?

A regulamentação de privacidade veio para ficar e afeta todas as nossas prioridades e fluxos de trabalho. Aqui estão seis lições para lembrar ao trabalhar com dados de clientes:

1. Tivemos que correr para cumprir o GDPR. Agora é uma maratona.
   Sabemos que o GDPR continuará a evoluir junto com a tecnologia que pretende regular. Isso significa que as demandas sobre nós não permanecerão as mesmas. Não apenas isso, mas o GDPR inspirou legislações semelhantes-mas não idênticas-em todo o mundo. Esses requisitos legais são definidos para continuar evoluindo.
2. Conformidade cria vantagem competitiva.
   Embora as primeiras grandes multas do GDPR tenham sido chocantes, na verdade é a publicidade negativa que muitos dizem ser a mais prejudicial. Quem se beneficia com um grande vazamento de dados? Os concorrentes da empresa. Por outro lado, se você incorporar a conformidade com o GDPR à medida que fortalecer seus processos de design e desenvolvimento, será mais capaz de se adaptar conforme as regulamentações evoluem.
3. A conformidade com o GDPR e melhores resultados do COVID-19 estão vinculados ao design centrado no usuário.
   Sabemos que as empresas que começaram sua transformação digital foram mais capazes de se adaptar à crise do COVID-19. O design centrado no usuário também oferece suporte ao GDPR. Ele possui o processo e o foco no cliente de que você precisa para criar produtos que se alinham com a ideia de que os dados do cliente são preciosos e devem ser protegidos. Isso facilitará a evolução dos seus produtos de acordo com a legislação futura.
4. Você pode criar conformidade em seus produtos digitais.
   A privacidade projetada veio para ficar. Se você já usa design de serviço, pode incluir informações do cliente como uma camada de dados em seus planos de serviço. Se não, agora é um ótimo momento para começar. O mapeamento de onde os dados são coletados, processados ​​e armazenados destaca os pontos fracos onde podem ocorrer violações potenciais. Ferramentas de conformidade automatizadas ajudarão a diminuir a carga sobre as empresas, além de ter o potencial de tornar o processamento de dados mais seguro.
5. O GDPR oferece suporte à inovação-se você fizer certo.
   Alguns alertam que o GDPR está sufocando a inovação ao restringir os fluxos de dados e, especialmente, dissuadir as empresas de inovar com dados. Outros apontam para oportunidades de inovar com blockchain, IoT e IA de uma forma segura e onde os dados estão protegidos. A verdade? Sim, claro, você pode inovar e ser compatível com o GDPR. Mas a ética na IA é vital: você deve respeitar seus clientes e seus dados.
6. Fique de olho em seus parceiros terceirizados.
   Isso remonta à decisão dos controladores conjuntos acima. As empresas agora compartilham a responsabilidade pelos dados do cliente com terceiros que os processam e esse processamento deve ser documentado. Você pode esperar que verificações de terceiros, monitoramento e obrigações contratuais sejam uma prioridade para as empresas de agora em diante.

Veja como o GDPR pode se desenvolver

Ufa. Isso é muito para absorver. Mas, olhando para o futuro, é aqui que aposto que veremos mudanças.

1. O GDPR continuará a evoluir , com clareza proveniente de casos de teste e potencialmente mais legislação, incluindo o Regulamento de privacidade eletrônica.
2. A UE continuará a promover a adoção internacional da lei de privacidade de dados. Veremos mais países adotando a proteção de dados, muitas vezes incorporada a acordos comerciais e de segurança.
3. Se tivermos sorte, podemos começar a ver a convergência internacional da legislação de privacidade de dados -especialmente se os EUA implementarem a privacidade de dados em nível federal.
4. Mas também veremos mais confrontos entre a UE e os EUA, por causa de suas abordagens opostas em relação à privacidade.
5. Como ‘dados são o novo óleo’, poderíamos ver mais situações em que os usuários recebem produtos e serviços gratuitos, dando dados por meio de cookies.
6. As empresas deixarão de usar cookies de terceiros e passarão a usar o rastreamento e a automação do lado do servidor para manter a conformidade.
7. As empresas adotarão Privacy by Design (PdB) e ferramentas e processos de design de serviço para ajudá-las a se manterem em conformidade com vários conjuntos de leis de privacidade.
8. E finalmente-e este é definitivo-veremos mais e maiores ações judiciais por privacidade . Quem vai emergir como os vencedores-grandes defensores da tecnologia ou da privacidade? Isso eu não sei, mas podemos ter certeza de uma coisa: os advogados de privacidade vão ganhar muito dinheiro.

Uma palavra final sobre confiança

O tema subjacente às comunicações da Comissão Europeia e aos comentários de especialistas da indústria é confiança . Agências digitais como a nossa agora precisam fornecer evidências de segurança de dados e conformidade com GDPR -até mesmo em políticas de treinamento de pessoal para proteção de dados. Essa é nova. A prioridade da UE é apoiar fluxos de dados seguros e protegidos e a inovação, tanto dentro como fora da UE. A conformidade com os padrões é a solução para isso. E nós, como designers e desenvolvedores, temos um papel crucial a desempenhar.

• Part 1: GDPR, Key Updates And What They Mean
• Part 2: GDPR, Cookie Consent and 3rd Parties (next week)
  Subcribe to our newsletter to not miss it.

Further Reading

• Data Protection, the EU’s site
• UK ICO’s Guidance On Cookies
• GDPR Enforcement Tracker, logs fines applied under GDPR
• GDPR Checklist, by Cyber-Duck (a great place to start)
• Overview of Data Protection Law in the United States, by ICLG
• GDPR & CCPA Comparison Guide, by DataGuidance and the Future of Privacy Forum
• CCPA vs CPRA, from IAPP
• Security By Design (Amazon)
• How To Protect Your Users With The Privacy By Design Framework, Heather Burns, Smashing Magazine