Skip to main content

GDPR e Privacidade de Dados

1. O que é o GDPR?

GDPR significa General Data Protection Regulation (Regulamento Geral de Protecção de Dados).

É um quadro legal que protege os direitos de privacidade de dados de qualquer pessoa que viva na União Europeia, bem como de pessoas na Islândia, Lichtenstein e Noruega - países que fazem parte do mercado único do Espaço Económico Europeu(EEE) - e na Suíça.

Nota - a Lei de Protecção de Dados do Reino Unido(DPA) foi alterada em 2021 para integrar os requisitos do PIBR da UE. Assim, embora o país não esteja tecnicamente abrangido pela GDPR pós-Brexit, os seus regulamentos de privacidade de dados são muito semelhantes.

Uma Breve História do GDPR

A Comissão Europeia começou a planear o projecto de lei em Janeiro de 2012, uma vez que parecia reformar os regulamentos de protecção de dados da União.

O acordo do Parlamento Europeu e do Conselho foi alcançado em abril de 2016, e o GDPR entrou em vigor em maio de 2018.

A GDPR toma o lugar da Directiva de Protecção de Dados da UE - uma antiga lei arcaica de uma década, cujos padrões mínimos para o processamento de dados protegeram de forma inadequada as informações pessoais na nossa era digital moderna.

Hoje, a GDPR é considerada uma das leis de privacidade de dados mais rigorosas do mundo e o seu impacto desde 2018 tem sido impressionante - países e sub-estados usaram-na como modelo para construir as suas próprias leis de privacidade de dados, as empresas foram atingidas com multas de vários milhões de dólares por incumprimento e o marketing online nunca mais será o mesmo.

A GDPR abre o acesso dos consumidores aos dados pessoais detidos pelas empresas e restringe o que as empresas podem fazer com essas informações.

O que são os Direitos do Consumidor sob a GDPR?

A GDPR é construída em torno da protecção dos oito direitos básicos dos titulares dos dados, tal como estabelecido nos artigos 12º a 23º:

Para uma melhor compreensão de toda a linguagem, você pode consultar o nosso Glossário de Termos.

O que é que a GDPR considera dados pessoais?

A GDPR da UE só se aplica aos dados pessoais, que considera serem qualquer informação que se relacione com uma pessoa identificável. Qualquer coisa que possa confirmar a sua presença física em algum lugar também é classificada como dados pessoais sob GDPR - isto inclui coisas como imagens de CCTV e impressões digitais.

O que é que a GDPR considera Dados Pessoais Sensíveis?

A GDPR coloca certos tipos de dados pessoais sensíveis em uma "categoria especial" que deve ser tratada com segurança extra. Isto inclui informação relacionada com:

  • Opiniões políticas
  • Raça ou etnia
  • Religião ou crenças filosóficas
  • Sexualidade ou a vida sexual de uma pessoa
  • Filiação sindical
  • Informações genéticas
  • Dados biométricos - quando processados para identificar alguém

Quais são as Penalidades por Não-Conformidade da GDPR?

Os requisitos da GDPR são aplicados pelas autoridades nacionais de protecção de dados dos estados membros da UE e do EEE, e pelo direito de acção privado - como acontece com Max Schrems e o seu grupo de advocacia NYOB.

Estabeleceu um sistema de sanções a dois níveis e as empresas que se descobriu terem utilizado dados incorrectamente de acordo com a GDPR podem ser multadas:

  • Até 10 milhões de euros, ou 2% da receita anual mundial do ano anterior - o que for maior
  • Até 20 milhões de euros, ou 4% da receita anual mundial - o que for maior.

A quem é que a GDPR não se aplica?

A GDPR da UE só se aplica a dados pessoais, que considera ser qualquer informação que se relacione com uma pessoa identificável.

Tudo o que possa confirmar a sua presença física em algum lugar é como se a GDPR se encontrasse fora do âmbito territorial da União Europeia, o número de isenções formais da GDPR é muito pequeno:

  • Empresas que desencorajam activamente o processamento de dados dos cidadãos da UE.
  • Empresas que processam dados dos cidadãos da UE, sem visar directamente os indivíduos ou monitorizar o seu comportamento

A Comissão Europeia afirma que algumas obrigações da GDPR não se aplicarão a empresas onde o processamento de dados pessoais não seja uma actividade comercial central - como a nomeação de um responsável pela protecção de dados ou classificados como dados pessoais na GDPR - isto inclui coisas como imagens de CCTV e impressões digitais.

Isenções informais ao GDPR

Há uma série de cenários que libertam as empresas da supervisão do GDPR.

Se você não estiver operando na UE, você pode estar isento da GDPR se não usar um idioma, uma moeda ou se referir aos consumidores da UE - isso é complicado, dado o uso de alguns desses idiomas em todo o mundo, portanto sua intenção é importante.

Terá também de garantir que os residentes da UE não se podem registar para obter uma conta ou comprar nada.

Se a sua empresa recolhe dados, pode estar isento se não processar dados pessoais - ou seja, qualquer coisa que possa ser usada por si só para identificar alguém. Os dados anónimos também não são cobertos pela GDPR.

Restam alguns cenários específicos que estão fora do âmbito da GDPR - não se aplicam a muitas empresas privadas e variam de país da UE para país da UE.

Em geral, eles se relacionam com partes muito específicas do GDPR. Empresas específicas podem não precisar de fornecer às pessoas os dados pessoais em arquivo, ou podem não precisar de comunicar certas informações na sua nota de privacidade. Aqui estão alguns exemplos:

  • A aplicação da lei está isenta da GDPR em situações específicas
  • O jornalismo está isento da GDPR, se o seu cumprimento significar a supressão da liberdade de imprensa
  • As Universidades estão isentas de dar aos estudantes acesso a exames em situações específicas.

Quais são os princípios-chave do GDPRs?

O artigo 5º estabelece sete princípios que funcionam como um quadro global para orientar o tratamento de dados pessoais. Os controladores de dados devem cumprir estes princípios e ser capazes de demonstrar aderência a qualquer momento.

1. Licitude, Equidade e Transparência

A legalidade significa que você deve ter uma boa razão para coletar e processar dados.

Equidade significa que você nunca deve reter intencionalmente sua razão para coletar e processar dados, e significa que você não irá maltratar ou usá-los indevidamente.

Transparência significa ser aberto, claro e honesto com os sujeitos dos dados sobre quem você é e o que você vai fazer com os dados pessoais.

2. Limitação da finalidade

A GDPR afirma que os dados pessoais são "recolhidos para fins específicos, explícitos e legítimos".

Você deve estabelecer claramente sua finalidade para a coleta de dados, comunicá-la aos usuários em uma nota de privacidade e garantir que suas atividades permaneçam dentro desses limites estabelecidos. Caso contrário, você deve obter mais consentimento dos usuários, a menos que haja um precedente legal para fazê-lo.

3. Minimização de Dados

Isto significa recolher a menor quantidade de dados necessária para cumprir o seu objectivo

4. Precisão

Isto significa que todos os dados que você coleta e armazena estão corretos. Isso requer a configuração de sistemas e auditorias regulares para garantir que os dados incorretos sejam corrigidos, atualizados ou excluídos.

5. Limitação de armazenamento

A GDPR obriga-o a justificar por quanto tempo guarda os seus dados pessoais. Isto pode ser feito estabelecendo uma política de limitação de armazenamento e anonimizando os dados uma vez que o período de tempo definido tenha terminado.

6. Integridade e Confidencialidade (Segurança)

Isto significa que você é obrigado a manter os dados pessoais seguros contra riscos internos e externos, e protegê-los contra o processamento não autorizado, bem como contra perdas ou danos acidentais.

7. Prestação de contas

As empresas devem ter processos, procedimentos e documentação adequados para provar o cumprimento dos princípios de processamento de dados, e as autoridades de supervisão têm o poder de exigir provas disso a qualquer momento.

Entendendo a conformidade da GDPR

A GDPR estabeleceu uma nova norma para a protecção de dados dos cidadãos e residentes da UE e representa um desafio para as empresas que correm o risco de incorrer em enormes multas por incumprimento.

A GDPR define certas obrigações que as organizações devem seguir, o que limita a forma como os dados pessoais podem ser utilizados.

Também define oito direitos do sujeito dos dados que garantem direitos específicos para os dados pessoais de um indivíduo, dando, em última análise, mais autonomia aos indivíduos sobre suas informações pessoais e como elas são usadas.

Mas seguir os requisitos da GDPR não é suficiente e você pode se perguntar, o que é o cumprimento da GDPR?

As empresas também devem ser capazes de demonstrar sob demanda que têm políticas e procedimentos em vigor para garantir que o fluxo de dados seja seguro em todos os pontos da jornada do cliente.

A conformidade requer uma auditoria completa da base de dados, introduzindo sistemas de consentimento prévio e estabelecendo sua base legal para os dados coletados.

As empresas também precisarão examinar o consentimento de cookies, o texto padrão da política de privacidade, os avisos de privacidade e as atividades de terceiros.

Elas terão que conduzir avaliações de risco, proteger dados e se preparar para violações.

Tudo o que tem a ver com os dados tem de ser permanente e rigorosamente documentado - tudo para garantir que os direitos de dados dos utilizadores da UE são respeitados em todos os momentos.

Ocumprimento da GDPR deve ser visto como uma oportunidade. A privacidade é uma preocupação fundamental para os consumidores há muito tempo, e a adesão a regulamentos de dados mais rígidos irá criar confiança junto dos consumidores.

2. CCPA e outras normas de privacidade de dados

Como as actividades sociais e económicas continuam a migrar online, também a importância da privacidade e da protecção de dados continua a crescer.

Países em todo o mundo estão tomando medidas para reformar sua legislação sobre a coleta, uso e compartilhamento de dados pessoais sem o consentimento explícito dos consumidores - um recurso agora mais valioso do que o ouro(Economist).

O que é a Lei de Privacidade do Consumidor da Califórnia (CCPA)

A Lei de Privacidade do Consumidor da Califórnia(CCPA) é uma lei de privacidade de dados de âmbito estadual. Introduzida em 2020, regula o tratamento das informações pessoais dos residentes da Califórnia.

Ela só se aplica a empresas comerciais.

Um breve histórico da CCPA

A Lei de Privacidade do Consumidor da Califórnia (California Consumer Privacy Act) começou a vida como uma proposta de votação por um grupo de privacidade chamado Californians for Consumer Privacy. O idioma oficial da iniciativa foi aprovado pelo Departamento de Justiça em 18 de dezembro de 2017, permitindo que o grupo de privacidade começasse a coletar assinaturas.

A CCPA foi aprovada na legislatura estadual e assinada pelo governador do estado Brown em 28 de junho de 2018. Cinco emendas foram então promulgadas e assinadas pelo Governador Estadual Newsom em 11 de outubro de 2019. A CCPA entrou em vigor em 1 de janeiro de 2020, e exigiu a retirada da iniciativa 17-0039 da Lei do Direito do Consumidor à Privacidade.

É a primeira lei deste tipo nos EUA, e outros estados estarão atentos às implicações práticas à medida que criam as suas próprias leis de privacidade.

Ela será substituída pela Lei de Direitos de Privacidade da Califórnia (CPRA), mais expansiva, em 2023.

Embora uma lei federal de privacidade de dados para os EUA continue fora de alcance, o cumprimento da Lei de Privacidade do Consumidor da Califórnia (CCPA) ainda é um desafio. Apenas 11% das empresas cumprem totalmente os padrões da regulamentação, de acordo com pesquisas da Cytrio. O relatório baseia-se em um estudo de 5.175 empresas americanas com faturamento entre US$ 25 milhões e mais de US$ 5 bilhões em um período de seis meses.

A lei começa listando os cinco direitos que foi projetada para proteger, o que é um bom ponto de partida:

  1. O direito dos californianos de saber que informação pessoal está a ser recolhida sobre eles.
  2. O direito dos californianos a saber se as suas informações pessoais são vendidas ou reveladas e a quem
  3. O direito dos californianos a dizer não à venda de informações pessoais
  4. O direito dos californianos a aceder às suas informações pessoais
  5. O direito dos californianos a igual serviço e preço, mesmo que exerçam seus direitos de privacidade

Sanções por não-conformidade com a CCPA

Esta lei introduziu multas potencialmente paralisantes pelo uso indevido de dados.

Ela deu ao Procurador Geral da Califórnia o poder de multar empresas até $2.500 por violação - aumentando para $7.500 se houvesse intenção clara.

As empresas que sofrem uma violação de dados também correm o risco de uma ação judicial de classe e pagamento de até $750 a cada consumidor afetado.

Entretanto, a lei dá às empresas 30 dias para retificar qualquer uso indevido de dados, se aplicável.

CCPA Vs. GDPR

O CCPA tem sido frequentemente referido como o "PIBR dos Estados Unidos".

É considerada uma das leis mais rigorosas do seu tipo nos EUA e espelha a GDPR em termos da protecção de dados que dá aos residentes da Califórnia.

Assim como a GDPR, a CCPA inclui o direito à transparência, exigindo que as empresas informem os consumidores sobre quais dados são coletados e como eles são compartilhados. Também dá aos consumidores o direito de acessar, excluir e optar por não acessar qualquer atividade de dados mediante solicitação.

O CCPA fornece alguns dos oito direitos da GDPR dos sujeitos dos dados, mas na verdade é mais construído em torno da ênfase em dois direitos adicionais - estes estão implícitos na GDPR, mas não são reconhecidos como direitos em si:

O direito dos californianos de dizer não à venda de informações pessoais (ou "opt-out") O direito dos californianos a igual serviço e preço, mesmo que exerçam seus direitos de privacidade (ou direito a nenhuma retaliação)

Abaixo está uma comparação lado a lado das duas leis.

PIBR

CCPA

Jurisdição da lei

Qualquer entidade que processe dados pessoais com:

  • Um estabelecimento na UE
  • Oferta de bens e serviços na UE
  • Monitora o comportamento dos usuários na UE
 

Aplica-se a qualquer entidade com fins lucrativos a operar na Califórnia que faça qualquer uma das seguintes acções, anualmente

:
  • Ganha mais de 25 milhões de dólares em receitas brutas
  • Lida com dados pessoais de mais de 50.000 consumidores, domésticos ou dispositivos
  • Traz mais de 50% das receitas provenientes da venda de informações pessoais dos consumidores
 

Aplicação da lei

 
  1. Autoridades nacionais de protecção de dados
  2. Direito de acção privado
 
 
  1. Procurador-Geral da Califórnia
  2. Direito de acção privado por violações reportáveis ao abrigo do CCPA
 

Extensão das multas

A

GDPR tem um sistema de sanções de dois níveis, e as autoridades nacionais de protecção de dados também estão habilitadas a multar as empresas

:
  • Até 10 milhões de euros, ou 2% da receita anual mundial do ano anterior - o que for maior
  • Até 20 milhões de euros, ou 4% da receita anual mundial - o que for maior
 

O Procurador-Geral da Califórnia está habilitado a multar empresas:

  • Até $2.500 por violação - aumentando para $7.500 quando o uso indevido de dados foi claramente pretendido
  • Até $750 por consumidor afetado pela violação de dados através de processos de ação de classe

Empresas com um período de rectificação de 30 dias, se aplicável.

Obrigações do encarregado da protecção de dados

Sim

Não

Âmbito da informação em causa

Dados pessoais relacionados a uma pessoa - incluindo dados de identificação do dispositivo.

Dados pessoais "susceptíveis de serem associados" a" um consumidor ou agregado familiar.

Abrange empregados

Sim

?

Discrimina entre processadores e controladores

Sim, com obrigações claramente definidas para cada um deles.

Distingue entre empresas e prestadores de serviços, mas as diferenças obrigatórias são mal definidas.

Restrições adicionais sobre dados sensíveis

Sim

Não

Respeita o direito de acesso

Sim

Sim

Respeito pelo direito ao apagamento

Sim

Sim

Respeita o direito à rectificação

Sim

Não

Respeita o direito à portabilidade

Sim

Sim, mas apenas implícito em relação ao direito do consumidor de acesso às informações pessoais.

Respeita o direito de processamento de restrições

Sim

Não

Respeita o direito a ser notificado

Sim

Requer que as empresas notifiquem os consumidores "no ponto de coleta ou antes dele" sobre o tipo de informação pessoal coletada e para que ela será usada.

Respeita o direito de objeção

Sim

Os consumidores têm o direito de "dizer não à venda de informações pessoais".

Respeita o direito de rejeitar a tomada de decisão automatizada.

Sim

Não

Sem retaliação (direito a não ser discriminado)

Sim

Sim

Interpretação do consentimento

O consentimento deve ser dado livremente, específico, informado, inequívoco e revogável (geralmente através de um opt-in).

Consentimento necessário para a venda de informações pessoais. Certas ações requerem consentimento explícito de opt-in, como a venda de dados de crianças.

Obriga à divulgação da política de privacidade

Sim

Sim

Requer novo link para a página inicial

Não

Requer link para a página inicial com a indicação "Não Vender os Meus Dados Pessoais".

Obrigações de retenção de dados

Sim

Não

Restrições à criação de perfis

Sim

Não

Restrições às transferências internacionais de dados

Sim

Não

Fornece considerações especiais para as crianças

Sim

Sim

Obrigações de segurança de dados

Sim

Sim

Obrigações de comunicação de violação de dados

Sim

Sim

Contratos com Prestadores de Serviços

Sim

Não obrigatório, mas benéfico

Obrigações de 'privacidade por projeto'.

Sim

Não

 

Que outros padrões de privacidade existem?

 

A GDPR inspirou uma vasta gama de legislações nacionais que oferecem níveis semelhantes - embora não idênticos - de protecção de dados.

Abaixo está uma lista de países que a Comissão Europeia acredita ter leis adequadas para a protecção de dados ao abrigo da GDPR:

Argentina Lei de Proteção de Dados Pessoais nº 25.326, proteções constitucionais de 2001

Lei de Protecção de Dados Pessoais do Bahrein de 2019 Os indivíduos arriscam uma potencial pena de prisão de um ano por transferência ilegal de dados pessoais para fora do país.

Brasil Lei Geral de Proteção de Dados LGPD 2020

Lei de Proteção de Informações Pessoais e Documentos Eletrônicos do Canadá (PIPEDA) 2000

Israel Data Security Regulations 2017

Lei Japonesa sobre a Protecção de Dados Pessoais (APPI) 2020

Lei de Protecção de Dados do Quénia de 2019

Lei de Protecção de Dados das Maurícias de 2017

Lei de Privacidade da Nova Zelândia 2020

Regulamento de Protecção de Dados da Nigéria de 2019

Lei Paraguaia nº 6534/20 sobre a Proteção de Dados de Crédito Pessoal 2020

Lei do Qatar n.º 13 2016

Lei de Protecção de Dados Pessoais (POPI) da África do Sul 2020 Como uma série de regulamentos africanos de protecção de dados, a POPI distingue-se da GDPR na medida em que só se aplica a empresas sul-africanas que processam dados dentro do país, e é menos rigorosa no consentimento de dados não de "categoria especial".

South Korea Personal Information Protection Act (PIPA) 2011, 2020 Considerada uma das leis de privacidade de dados mais rigorosas do mundo.

Tailândia Lei de Protecção de Dados Pessoais 2021

Turquia Lei de Protecção de Dados Pessoais n.º 6698 2016

Lei de Protecção de Dados do Reino Unido (2018) A lei foi alterada a partir de 2021 para integrar os requisitos do PIBR da UE.

Lei de Protecção de Dados e Privacidade do Uganda (2019)

Uruguay Act on the Protection of Personal Data and Habeas Data Action 2008

Se você quiser encontrar uma lei que não tenha sido mencionada aqui, encontre a lista completa no portal de informações sobre privacidade de dadosdo UNCAD.

3. Últimas notícias do GDPR

A GDPR está constantemente nas notícias dos últimos tempos.

Nesta seção, você encontrará as últimas notícias da GDPR hoje. Ela cobre a aplicação da GDPR, violações de dados e atualizações sobre políticas de proteção de dados - tanto na Europa como em todo o mundo:

Percorra a página ou clique nos links acima para saltar para uma seção.

Principais histórias do GDPR

França - A DPA mais recente a declarar o Google Analytics Ilegal

Fevereiro de 2022 - A autoridade de privacidade de dados da França decidiu que o Google Analytics viola o Artigo 44 da GDPR, que proíbe a transferência de dados pessoais fora da UE/EEE, a menos que o país destinatário possa fornecer uma protecção de dados adequada.

Esta decisão vem na sequência da decisão semelhante da Autoridade Austríaca de Protecção de Dados sobre o Google Analytics na acção privada intentada em tribunal por Max Schrems.

Saiba mais na notícia completa

IAP Europa multada em 250.000 euros pela DPA por violação do GDPR

Fevereiro 2022 - A autoridade belga de protecção de dados multou a associação europeia de marketing e publicidade digital em 250.000 euros por violação do seu Quadro de Transparência e Consentimento(TCF).

A decisão de sancionar a IAB Europe e limitar o uso do TCF, juntamente com a exigência de apagar todos os dados atuais, terá impacto sobre editores, anunciantes, empresas de tecnologia e grandes empresas de tecnologia como Google e Amazon.

Saiba mais na reportagem completa

CJEU derruba o escudo de privacidade UE-EUA

Julho 2020 - O Tribunal de Justiça da Justiça Europeia(TJUE) decidiu esta semana que as empresas não podem armazenar dados de tráfego do website do cidadão da UE nos EUA.

Esta decisão histórica pôs efectivamente fim ao acordo bilateral entre a UE e os EUA sobre partilha de dados e tem implicações generalizadas para muitas empresas - incluindo os maiores actores da indústria tecnológica.

Saiba mais na notícia completa.

Notícias sobre a aplicação da GDPR

Maiores Penalidades Financeiras até à Data

Data

DPA

Muito bem

Empresa

Justificação

1

Julho 2021

Luxemburgo

746 milhões de euros

Amazônia

Política inadequada de consentimento de cookies.

2

Setembro 2021

Irlanda

225 milhões de euros

Whatsapp

O processamento de dados mal explicado no aviso de privacidade.

3

Janeiro 2022

França

90 milhões de euros

Google Ireland

Procedimentos inadequados de consentimento de cookies no YouTube.

4

Dezembro 2021

França

60 milhões de euros

Facebook

Procedimentos inadequados de consentimento de cookies.

5

Janeiro 2022

França

60 milhões de euros

Google LLC

Procedimentos inadequados de consentimento de cookies no YouTube.

6

Junho de 2020

França

50 milhões de euros

Google

Notificação de privacidade inadequada.

7

Outubro de 2020

Alemanha

35 milhões de euros

H&M

Monitorização dos colaboradores sem consentimento

8

fevereiro de 2020

Itália

27,8 milhões de euros

TIM

Variedade de acções ilegais, na sua maioria relacionadas com contactos não solicitados.

9

Outubro de 2020

REINO UNIDO

22 milhões de euros

British Airways

Violação de dados que afecta 400.000 clientes.

10

Outubro de 2020

REINO UNIDO

20,4 milhões de euros

Marriott

Violação de dados na base de dados de reservas de hóspedes.

Actualizações sobre outras políticas de protecção de dados

Novas Leis de Privacidade

Fevereiro 2022 - Os legisladores californianos estão a elaborar um novo projecto de lei para proteger os dados pessoais online das crianças. Isto vem na sequência da regulamentação recentemente promulgada no Reino Unido sobre o código da criança.

Dezembro de 2021 - O Zimbabué põe em vigor a sua primeira lei sobre privacidade - a Lei de Protecção de Dados n.º 05/2021.

Dezembro de 2021 - O Conselho de Ministros da Jordânia aprovou a Proposta de Lei de Protecção de Dados Pessoais 2021, submetendo-a à Câmara dos Representantes do Reino Unido.

Outubro de 2021 - O Ruanda traz para a lei a sua primeira lei de protecção de dados, a Lei n.º 058/2021.

Outubro 2021 - Entrou em vigor uma emenda às leis de proteção de dados de Hong Kong, criminalizando a doxxing.

Setembro 2021 - A Comissão de Protecção de Dados Pessoais de Singapura publica as suas directrizes de privacidade revistas.

Agosto de 2021 - A Comissão de Proteção de Informações Pessoais do Japão emitiu diretrizes para as emendas de 2020 à sua Lei de Proteção de Informações Pessoais (APPI), esclarecendo aspectos anteriormente pouco claros da lei.

Setembro 2021 - Entrada em vigor da Lei de Segurança de Dados da China.

Agosto 2021 - Cabo Verde altera a sua Lei de Protecção de Dados de 2001, aproximando-a da GDPR numa série de questões-chave de privacidade.

Junho 2021 - A Comissão Europeia lança conversações com o objectivo de adoptar uma "decisão de adequação" para a transferência de dados pessoais para a Coreia do Sul. Isto significa que está satisfeito por as leis sul-coreanas sobre privacidade de dados cumprirem os requisitos da GDPR.

Abril 2021 - Burkina Faso promulga a sua Lei de Protecção de Dados, substituindo a legislação desactualizada de 2004.

Março 2021 - A Zâmbia promulgou a Lei de Protecção de Dados, tornando-se o 31º país africano a aprovar legislação de protecção de dados. Regulamentação e Orientação

Dezembro 2021 - A autoridade de protecção de dados do Senegal divulgou regulamentos relacionados com períodos de retenção de dados para diferentes classificações de dados que variam de seis meses a 10 anos.

Dezembro de 2021 - O Quénia publicou o seu Regulamento de Protecção de Dados, que dá cumprimento à sua Lei de Protecção de Dados de 2019. Esta lei reforça as leis nacionais de privacidade numa série de questões que podem ser reconhecidas por qualquer pessoa que tenha vindo a seguir a GDPR.

Junho de 2021 - A África do Sul emitiu notas de orientação POPIA sobre o processamento de informações pessoais especiais e as informações pessoais de crianças. Isto seguiu instruções em março e abril sobre pedidos de autorização prévia e isenções para o processamento ilegal de informações pessoais, respectivamente.

Março de 2021 - Uganda adoptou o seu Regulamento de Protecção de Dados e Privacidade - este complementa a sua Lei de Protecção de Dados e Privacidade e fornece mais detalhes sobre questões que incluem a sua autoridade de protecção de dados, obrigações de gestão de dados e direitos das pessoas em causa.

O GDPR é uma enorme obrigação para os marqueteiros.

O marketing digital é tudo sobre a utilização de websites, motores de busca, e-mails e redes sociais para impulsionar o envolvimento do consumidor com a sua empresa e aumentar a receita.

Como é que a GDPR afecta o Marketing?

A GDPR e o marketing andam de mãos dadas, com a lei introduzindo alguns requisitos essenciais para os marqueteiros.

Consentimento de Dados

O consentimento é uma grande componente dos requisitos do GDPR. Na prática, trata-se de ter opt-ins em todo o seu ecossistema de marketing.

Você precisa buscar ativamente a permissão explícita dos usuários para a coleta e uso de seus dados pessoais. Os opt-ins pré-fixados são notícias de ontem, pois, para cumprir com a GDPR, o consentimento tem de ser uma escolha deliberada.

Acesso aos dados

A GDPR deu aos residentes da UE mais controlo sobre a forma como os seus dados pessoais são recolhidos e utilizados - incluindo a capacidade de acesso, transferência ou remoção dos mesmos.

É da sua responsabilidade como comerciante assegurar que respeita estes desejos e que tem sistemas implementados para aceder rapidamente a estes pedidos.

Foco nos dados

A GDPR exige que você tenha uma justificação legal para qualquer dado pessoal coletado.

Tudo isso significa que você só coleta os dados necessários para fornecer ao seu cliente um produto ou serviço de qualidade.

Porquê Cumprir com a GDPR?

Para além das implicações das multas da GDPR, o cumprimento da GDPR traz uma série de benefícios para os marqueteiros:

  • Cria uma estratégia de marketing sustentável
  • Aumenta a confiança com clientes e clientes
  • Otimiza a precisão, organização e segurança dos dados
  • Atualizações disponíveis nas opções martech
  • Melhora as relações com DPO, C-Suite, e outros departamentos
  • Dá paz de espírito ao conduzir os negócios de uma forma ética

Como Cumprir com o GDPR?

GDPR e o seu site

A informação recolhida a partir de cookies de sites tem sido uma ferramenta útil para os marqueteiros na era digital, permitindo-lhes personalizar a divulgação com base na análise comportamental que acompanha os utilizadores na Internet.

Entretanto, a GDPR requer consentimento para a coleta de cookies - consentimento que é claro, específico e sem ambigüidade.

Os usuários também devem ser capazes de retirar seu consentimento a qualquer momento.

GDPR e o seu CRM

Os marqueteiros precisam considerar como eles coletam, processam e lidam com os dados. No que diz respeito ao CRM, você precisa olhar:

  • Tipo de dados: as empresas só podem recolher e armazenar dados que possam justificar legalmente para fornecer aos consumidores o seu produto ou serviço.
  • Armazenamento e transferência de dados: as empresas devem criptografar os dados pessoais para protegê-los contra o risco de acesso não autorizado ou violação de dados.
  • Processamento de dados: as empresas devem processar os dados pessoais de forma a evitar que sejam utilizados para identificar as pessoas em causa
  • Acesso aos dados: as empresas precisam auditar seus sistemas e processos para ver quem tem acesso aos diferentes tipos de dados em arquivo.

GDPR & Seu Email Marketing

A conformidade da GDPR para o e-mail marketing significa evitar comunicações indesejadas ou spam - os consumidores precisam ter optado por entrar em campanhas de e-mail prolongadas.

As empresas precisam buscar o consentimento explícito do consumidor para saber como seus dados pessoais serão usados antes de enviar qualquer e-mail. Isto inclui quando as empresas adquirem listas de e-mail de terceiros.

GDPR & Seu Software

As empresas que desenvolvem software precisam garantir que os requisitos de "privacidade por padrão e design" da GDPR sejam incorporados desde o início.

Isto significa que as medidas de privacidade de dados são incluídas no software desde as primeiras fases de desenvolvimento.

5. Quais são as Implicações da GDPR na sua Pilha Técnica de Marketing?

No seu cerne, a GDPR está lá para proteger os dados pessoais dos cidadãos da UE - e controlar com quem uma empresa pode partilhar esta informação.

O marketing digital, e a tecnologia relacionada, são alimentados por estes dados pessoais.

Assim, a GDPR considera os fornecedores de cada uma destas plataformas na sua pilha - bem como outros terceiros que podem aceder aos seus dados pessoais - como "processadores de dados".

Como sua empresa continua sendo o "controlador de dados" sob a terminologia da GDPR, isso significa que você é o responsável final pelo que essas plataformas fazem com seus dados. Você precisa ter certeza da qualidade desses dados, como eles são coletados e como eles fluem através do seu ecossistema martech.

Soluções de Software em conformidade com a GDPR

Para os marqueteiros, as soluções de software referem-se às ferramentas que lhes permitem comercializar de uma forma mais inteligente - de modo a melhor atingir os seus objectivos digitais.

É uma indústria enorme, com o mercado global de tecnologia de marketing estimado em 344,8 bilhões de dólares em 2021 (MarTech Alliance).

O crescimento da Martech tem sido impressionante, e o cenário mudou drasticamente entre 2011 e 2020.

Os números da Martech Alliance mostram que o número de fornecedores disparou de 150 para 8.000 durante este período - um aumento de 5.233%, ilustrando a importância desta tecnologia para as empresas de hoje.

Por que a Martech é importante?

É comum que vários departamentos de uma empresa operem em silos, com processos de colaboração sub-óptimos.

Quando usada corretamente, a Martech pode remover esses silos e aproximar os departamentos - permitindo que eles trabalhem mais efetivamente em direção a objetivos compartilhados, ao mesmo tempo em que proporciona uma melhor experiência ao cliente.

Alguns outros benefícios da Martech incluem:

  • Melhor criação de conteúdo: melhora a compreensão do comerciante sobre a eficácia da entrega de seu conteúdo, permitindo que ele compreenda o desempenho, otimize a experiência e entregue conteúdo personalizado.
  • Melhoria da eficiência: automatizar tarefas repetitivas e demoradas, permitindo que os funcionários se concentrem em outras coisas
  • Melhor orientação do consumidor: criar estratégias que sejam individualmente adaptadas a cada cliente, resultando em relações mais fortes com o cliente, maior confiança e negócios repetidos.

Questões com Adoção

Enquanto a tecnologia está em constante mudança, as organizações podem permanecer um pouco inflexíveis. A Martech pode capacitar as empresas a acompanharem as crescentes expectativas dos clientes, mas elas devem utilizar suas soluções de forma eficaz.

Quais são as categorias da MarTech?

A gama de opções da Martech é mais ampla do que nunca.

Embora obviamente haja alguma sobreposição, as opções da martech se enquadram em grande parte nas seis categorias a seguir:

1. Publicidade

Integrar diferentes plataformas de publicidade e promoção utilizadas para anúncios pagos e racionalizar as seguintes áreas:

2. Desempenho do conteúdo

Melhore sua criação de conteúdo, automação e outros processos. Exemplos incluem:

  • Optimização para motores de busca (SEO)
  • Sistemas de gerenciamento de conteúdo (CMS)
  • Gestão de activos digitais (DAM)

3. Dados e Análise

Agilize a recolha e análise de dados; optimize o seu website, melhore o produto UX, etc. Exemplos incluem:

  • Plataformas de dados de clientes (CDP)
  • Plataformas de gestão de dados (DMPs)
  • Análise do site
  • Análise preditiva

4. Administração

Usado para melhorar a colaboração gerencial, a comunicação e a entrega de projetos. Exemplos incluem:

  • Elaboração de orçamentos e finanças
  • Comunicação
  • Gerenciamento de projetos
  • Recrutamento
  • Rastreamento do tempo

5. Vendas

Permita que suas equipes de marketing e vendas colaborem melhor, automatizem processos e executem a gestão de vendas e clientes em escala.

Tais ferramentas podem, de fato, conectar vários departamentos - além de marketing e vendas, ao suporte ao cliente, sucesso e finanças também. Exemplos incluem:

  • Gerenciamento de relacionamento com o cliente (CRM)

6. Mídias Sociais

Esta categoria de tecnologia de marketing inclui:

O que é uma Pilha de Marketing?

Simplificando, a sua pilha de marketing é a colecção de várias tecnologias que o seu departamento está a utilizar.

Como ferramentas individuais, elas normalmente fornecem apenas um trabalho de benefício limitado - mas, se você for capaz de casar com sucesso os dados (entre ferramentas e departamentos) e automatizar processos, elas podem ser a base de uma estratégia de sucesso.

Ao desenvolver uma pilha de tecnologia de marketing, os departamentos de marketing podem visualizar como suas diferentes plataformas e sistemas estão trabalhando em conjunto, com o objetivo de integrar tudo para uma melhor experiência do usuário interno e externo.

Como você pode garantir a conformidade da GDPR com a martech?

 

  • Contrate um responsável pelo processamento de dados
  • Compilar um relatório da martech utilizado pela sua empresa para identificar qualquer "processador de dados".
  • Exigir que cada plataforma martech forneça documentação de sua conformidade com o GDPR
  • Decidir qual martech manter e qual substituir
  • Priorizar a qualidade sobre a quantidade quando se trata de dados pessoais do cliente
  • Seja aberto sobre o que você faz com os dados pessoais
  • Assine um acordo de processamento de dados com os seus processadores de dados

No mundo moderno, seria quase impossível para as empresas crescerem no ritmo desejado sem uma pilha Martech integrada.

Quando usadas corretamente, estas ferramentas otimizam o que pode ser alcançado com os dados pessoais em arquivo. Mas é absolutamente essencial garantir que cada plataforma e cada processo seja compatível com a GDPR.

6. O Futuro do GDPR

A GDPR foi levada para o mundo numa onda de optimismo sobre o futuro da protecção da privacidade dos dados dos consumidores.

No entanto, embora continue a ser uma das estruturas de privacidade de dados mais rigorosas do mundo, o seu pleno potencial ainda não foi concretizado.

Este artigo passa pela privacidade dos consumidores, GDPR e seus efeitos sobre o futuro do marketing. Analisa os sucessos e dificuldades da lei, antes de analisar o que o futuro reserva para as leis de privacidade e as empresas que estão à sua mercê,

Os aspectos positivos até agora

A GDPR sem dúvida aumentou a seriedade com que as empresas lidam com dados pessoais, e a velocidade com que as empresas melhoraram as práticas de segurança tem sido bastante surpreendente.

Mesmo antes da multa maciça de 746 milhões de euros aplicada à Amazon, os executivos do conselho de administração das empresas devem ter estado muito conscientes do risco que a GDPR representava para eles; isso estimulou um enorme investimento em políticas e sistemas de privacidade, e criou uma cultura de privacidade de dados por design e responsabilidade.

Projecta-se que serão gastos 9 bilhões de dólares para tornar a economia global compatível com a GDPR(Forbes) - são 9 bilhões de dólares que estão sendo investidos na proteção das informações pessoais das pessoas que vivem na União Européia.

Portanto, embora a conformidade com o GDPR tenha sido uma dor de cabeça interminável para as empresas, é uma ótima notícia para os internautas europeus.

E, com os salários médios dos profissionais de privacidade a aumentar em mais de 6.000 dólares em apenas dois anos, a GDPR também tem sido uma óptima notícia para eles.

Sucesso para Bruxelas

A introdução da GDPR é também um verdadeiro sucesso para a UE, fazendo da Europa a polícia de dados do mundo e a norma para a legislação internacional sobre privacidade de dados.

As empresas multinacionais também se congratulam com a praticidade de confiar num único quadro de privacidade para o cumprimento em todos os estados membros da UE - embora isto tenha funcionado melhor em teoria do que na prática.

Catalisando a reforma global da privacidade de dados

Uma maré crescente eleva todos os navios, e legisladores em mais de 120 países estão se inspirando na GDPR ao elaborar sua própria legislação para o setor tecnológico - esta baralhada global em direção a direitos mais fortes do consumidor é mais um testemunho da ambição da GDPR.

América do Norte

Nos EUA, apenas três estados têm atualmente leis de privacidade semelhantes às do GDPR - sendo estes o Colorado, Virgínia e Connecticut. Mas este número vai aumentar em breve, com mais de 30 estados no processo de elaboração de projetos de lei.

Olhando para o futuro, isso pode ser toda a pressão que o governo dos EUA precisa para intensificar os esforços para introduzir uma lei federal própria e um substituto para o agora extinto acordo de Proteção de Privacidade UE-EUA há muito esperado.

Os EUA podem inspirar-se na legislação nacional de privacidade do Canadá, com o PIPEDA reconhecido pela Comissão Europeia como cumprindo muitos dos requisitos do GDPR, apesar - principalmente - de um entendimento diferente do consentimento como base legal para o processamento de dados.

África

A África está atrasada em relação aos pacesetters ocidentais. Tem havido um impulso da União Africana para catalisar legislação do tipo GDPR em todo o continente e metade dos 54 países do continente introduziram as suas próprias leis de privacidade de dados.

A África do Sul finalmente aprovou a sua Lei de Protecção de Informação Pessoal(POPI) após cinco anos de trabalho.

Mas embora muitos destes partilhem os princípios-chave da GDPR, o continente como um todo carece de mecanismos de aplicação e as disparidades mais amplas oferecem desafios para as organizações multinacionais que operam lá.

Também não há financiamento suficiente para a formação de funcionários públicos em matéria de privacidade de dados, enquanto que a dependência do continente em cibercafés em vez de dispositivos pessoais torna mais difícil controlar o uso indevido de dados pessoais.

No entanto, no geral, as leis de privacidade de dados em África desenvolveram-se substancialmente nos últimos 3 anos e a tendência geral é positiva.

América do Sul

A legislação de privacidade de dados do continente data de mais longe do que os EUA e o ritmo das reformas nos últimos anos tem sido impressionante.

Mas, enquanto a América Latina há muito tempo modela suas leis de privacidade em precedentes europeus para facilitar os negócios, a falta de uma estrutura abrangente para o continente é um desafio para as organizações multinacionais.

Sob um acordo com o MERCOSUL, a transferência de dados para a UE depende da introdução de legislação semelhante à do GDPR pelos países latino-americanos membros, mas apenas um punhado de países - a Argentina. Paraguai, Uruguai e Brasil - deram os passos necessários até agora.

Ásia

A Ásia também tem vindo a reforçar as suas leis de privacidade de dados, e vários países da região actualizaram a legislação de modo a torná-la mais alinhada com o modelo europeu.

A China está a crescer na região, e introduziu a sua própria Lei de Protecção de Dados Pessoais(PIPL).

Os regulamentos japoneses e sul-coreanos atendem aos padrões da GDPR para privacidade de dados, e a tendência geral é positiva. Contudo, os próximos anos serão um período de teste para a estrutura de privacidade de dados da região, uma vez que as violações de dados continuam a aumentar e os reguladores lutam com a aplicação da lei.

Aumentando o Poder dos Cidadãos Privados

A lei também proporcionou uma plataforma para os cidadãos privados desafiarem as empresas em tribunal.

Max Schrems é o exemplo mais famoso aqui, mas agora há muito mais pessoas que estão usando os direitos de ação privada e ações coletivas para trazer as empresas para a frente dos tribunais.

A aplicação da lei está crescendo

Como com todas as novas leis, a GDPR teve problemas nos dentes e dificuldades para encontrar os seus pés.

De acordo com pesquisas da DLA Piper, pelo menos alguns dos estados membros da UE estão cada vez mais dispostos a enfrentar grandes empresas de tecnologia, e as multas da GDPR aumentaram em 700% em 2021 - sendo provável que esta tendência continue em 2022 também.

O número de notificações de violação de dados recebidas pelas autoridades de protecção de dados também tem vindo a crescer de forma consistente ano após ano, desde que a GDPR entrou em cena em 2018.

As multas do GDPR também têm sido a centelha para mudanças positivas.

Após ter sido atingido por uma multa de 35,3 milhões de euros em Outubro de 2020, a H&M respondeu introduzindo uma faixa de novas medidas para proteger os dados pessoais dos consumidores.

Isto incluiu a nomeação de um novo Coordenador de Protecção de Dados, bem como a criação de uma estratégia de protecção de dados a longo prazo.

A H&M também está a trabalhar no pagamento de indemnizações aos funcionários que foram afectados.

As dificuldades até agora

Apesar destes sucessos, ainda subsistem desafios.

Falta de Harmonização entre Países

Embora o PIBR esteja quase totalmente implantado em toda a UE, a profundidade da integração varia de país para país.

As autoridades de supervisão também variam na forma como interpretam a GDPR, e a aplicação da lei pode entrar em conflito com diferentes leis locais em cada estado.

Há também uma lenta reviravolta nas investigações transfronteiriças neste momento.

Esta resultante falta de harmonia de privacidade de dados entre os estados membros da UE é uma frustração real dos profissionais de privacidade. Também torna difícil o desenvolvimento de orientações padronizadas.

Natureza Confusa da Conformidade

Essa incerteza ainda paira sobre a comunidade empresarial sobre a conformidade não pinta o GDPR sob uma boa luz.

A formulação da lei é altamente ambígua e muitas empresas estão relutantes em gastar enormes quantias de dinheiro redesenhando seus sistemas de dados a partir do zero, se não podem ter certeza de que escaparão de multas pelo uso indevido de dados.

As empresas também têm sido levadas a dar uma volta pela definição excessivamente ampla da GDPR do que é uma violação de dados pessoais.

A notificação de violação de 72 horas também criou problemas para as empresas, resultando em notificações desnecessárias de DPAs à medida que as empresas se precipitavam antes de compreenderem completamente o que se estava a passar.

Resistência da Big Tech

Muitas multinacionais de tecnologia ainda estão aderindo a modelos de negócios construídos com base em receitas de coleta de dados.

Esta abordagem enfrenta a resistência de um lobby tecnológico muito poderoso e as violações do GDPR continuam a ser uma das principais notícias diárias. O conflito nesta mesma guerra de dados públicos incluiu:

Esforços de aplicação da lei com atraso em relação aos pedidos

O otimismo inicial em torno deste projeto de lei foi lentamente substituído pela frustração no ritmo lento da aplicação.

O número de violações de privacidade ultrapassa o que os reguladores podem fazer cumprir, e muitos continuam por resolver.

Em 2021, os reguladores da GDPR foram notificados sobre mais de 130.000 violações de dados pessoais(DLA Piper).

Os DPA's estão sobrecarregados de trabalho. Entre Maio de 2018 e Março de 2020, as autoridades de protecção de dados entregaram apenas 231 multas e sanções - uma gota no oceano junto às 144.376 queixas apresentadas durante este período.

Elas também estão subfinanciadas. Um estudo realizado por um web browser, Brave, concluiu que os reguladores não receberam o financiamento necessário para aplicar eficazmente o GDPR.

Como resultado, as autoridades de proteção de dados estão reticentes em levar as grandes empresas à tarefa por causa dos enormes orçamentos legais disponíveis para o Facebook e o Google, por exemplo.

É crucial que o número de funcionários de protecção de dados que trabalham em toda a UE mal tenha aumentado desde 2019 - mais uma vez devido à escassez de financiamento.


A Irlanda e a regra do "one-stop-shop

O escritório irlandês da DPC está subfinanciado há mais de duas décadas e a carga de trabalho é alta. Atualmente, tem investigações abertas em pelo menos 17 grandes empresas multinacionais.

Isto porque a GDPR tem uma regra de "balcão único", que diz que as empresas devem ser processadas em qualquer estado membro que escolham para situar a sua sede.

A Irlanda é o destino número 1 das empresas de tecnologia dos EUA - o que significa que a DPC irlandesa está liderando investigações em algumas das mais ricas e poderosas empresas do Vale do Silício, em nome de toda a Europa.


Restringindo o crescimento empresarial e a inovação

A inovação entra em conflito com a protecção dos direitos individuais e o PIBR parece estar a prejudicar seriamente a capacidade da UE para desenvolver novas tecnologias.

O conhecimento de muitas tecnologias importantes para o futuro já estava generalizado quando a GDPR estava a ser elaborada, mas os regulamentos tornam praticamente impossível o seu desenvolvimento ou mesmo a sua utilização.

Isto acontece numa altura em que o continente precisa desesperadamente de soluções digitais, e não existe uma orientação prática sobre como a GDPR pode acomodar as novas tecnologias que avançam.

Inteligência Artificial (IA)

Esta situação é corrigida por rigorosos requisitos de GDPR para obter consentimento no processamento de dados, colocando as empresas da UE em desvantagem competitiva ao lado dos concorrentes norte-americanos e asiáticos.

Blockchain

Blockchain é um banco de dados digital de informações (como registros de transações financeiras) que pode ser usado e compartilhado através de uma rede descentralizada e acessível ao público.

Esta tecnologia é vista como uma ferramenta poderosa para aumentar a segurança dos dados e pode ser aplicada a tudo, desde o compartilhamento seguro de dados médicos e mecanismos de votação até os mercados NFT e pagamentos transfronteiriços.

Uma característica chave da tecnologia de cadeias de bloqueio é que os dados pessoais intrínsecos não podem ser modificados sem o consentimento de todos os envolvidos.

Assim, apesar da cadeia de bloqueio ter o potencial de cumprir os objetivos da GDPR - como o fluxo seguro de dados e informações - a lei exige que os consumidores possam solicitar a exclusão de informações pessoais, tornando as duas incompatíveis no momento.

Saúde

Os requisitos do GDPR para minimização de dados, limitação da finalidade e transferência de dados pseudonimizados fora da UE tornam difícil a partilha de dados de saúde.

Também tem funcionado como um poderoso controle na gestão da saúde durante a pandemia da COVID, uma vez que restringiu o uso de dados de rastreamento e intercâmbio de dados entre as autoridades de saúde locais.

eGovernança

Na última década, as medidas do Governo Electrónico tiveram um impacto profundo na qualidade da prestação de serviços públicos aos cidadãos, embora as questões de privacidade e segurança - centrais para o GDPR - estejam a causar a perda de dinamismo.

Como a GDPR irá mudar no futuro?

Facilidade de cumprimento

A Comissão Europeia quer facilitar às empresas mais pequenas o cumprimento dos regulamentos da GDPR.

Isto significaria fornecer-lhes orientação, apoio e ferramentas adicionais - como as Cláusulas Contratuais Padrão, que as empresas podem simplesmente colar nos contratos dos seus próprios clientes.

Facilidade de exercício dos direitos da GDPR

Isto inclui ver a portabilidade dos dados para além dos simples serviços bancários e de telecomunicações.

Processos judiciais privados

O direito de acção privada e os processos de acção colectiva são vias claras para avançar na forma como os cidadãos da UE podem exercer os seus direitos ao abrigo do GDPR.

Espera-se que esses processos judiciais privados se tornem mais comuns, e essas decisões terão um poderoso impacto na forma como a GDPR será interpretada nos próximos anos.

Proactivo em vez de reactivo

Em geral, a aplicação da GDPR durante os três primeiros anos da lei tem sido reactiva - resultado de notificações de violação de dados ou de queixas de pessoas em causa.

No entanto, as autoridades de protecção de dados estão agora a tornar-se muito mais pró-activas ao visarem as empresas antes de terem sido apresentadas quaisquer questões de incumprimento.

Esta sofisticação na aplicação da GDPR só deverá crescer nos próximos anos.

Eficácia das autoridades de protecção de dados

Há um impulso para melhorar a forma como as APD funcionam, especialmente dada a forma como o caso contra a Whatsapp ilustrou a natureza convolutiva dos mecanismos de aplicação da GDPR.

A melhoria da eficácia inclui uma melhor colaboração entre as autoridades de protecção de dados dos Estados-Membros, prosseguindo as discussões sobre como podem trabalhar melhor em conjunto para fazer cumprir a GDPR. Há também apoio para uma abordagem mais centralizada da aplicação da lei.

Essa harmonização inclui a consistência regional e a adequação dos recursos ao número crescente de solicitações.

O que o futuro reserva para as empresas?

Legislação futura a ser observada

Regulamento da ePrivacidade da UE

Isto irá substituir a Directiva Privacidade e Comunicações Electrónicas, introduzindo novas regras sobre comunicações electrónicas. Um projecto de proposta visto em Abril de 2021 incluía regulamentos para inteligência artificial que estavam de acordo com a GDPR.

Substituição do escudo de privacidade

O Privacy Shield permitiu às empresas norte-americanas processar dados de cidadãos da UE, desde que adoptassem os padrões de privacidade mais elevados da GDPR. No entanto, a lei dos EUA significava que o governo dos EUA ainda podia monitorar esses dados.

Depois que Max Schrems desafiou este conflito legal, a Proteção de Privacidade foi derrubada. Seria do interesse de todos concordar com um substituto,

Uma Lei Evolutiva

Dado o seu impacto sísmico nas leis de privacidade globais, não é de admirar que a GDPR esteja a demorar a deitar-se.

No entanto, desde a sua introdução em 2018, tem sem dúvida reforçado tanto as medidas de segurança como a protecção dos consumidores.

Muito se aprendeu também sobre onde a GDPR foi bem sucedida e onde podem ser feitas melhorias no futuro.

Sem dúvida que as melhorias introduzidas por outros países na legislação relativa à privacidade dos dados também influenciarão a regulamentação e a aplicação da privacidade dos dados na Europa.

7. Visitor Analytics - privacy-first, dados web compatíveis com a GDPR

O que torna a privacidade da Visitor Analytics - primeiro?

Para nós, a privacidade de dados é um princípio imbatível.

Nós não vendemos dados ou os transmitimos a terceiros.

Os dados são agregados e anonimizados e usados apenas para fornecer ao proprietário do site as estatísticas e insights necessários para melhorar o desempenho do site. Estes detalhes não podem ser rastreados até qualquer indivíduo.

Com que Leis de Protecção de Dados e Privacidade estamos em conformidade?

Desde a primeira versão do nosso aplicativo, nossa prioridade sempre foi a proteção e privacidade dos dados que nossos clientes confiam em nós. É por isso que estamos focados em nos manter atualizados com todas as leis de privacidade de dados e nos certificarmos de que estamos em conformidade com cada uma delas: BDSG, CCPA, CPA, DPA, ePrivacy, GDPR, LGPD, PECR, PIPEDA, PIPL, PDP, POPI, VCDPA, & TTDSG.

Que dados da Web processamos?

Os tipos e quantidades de dados pessoais que processamos são limitados aos indicados no contrato com o cliente. Não os partilhamos com terceiros. Apenas processamos dados pessoais tal como descrito na nossa Política de Privacidade.

Porquê e como processamos os dados da Web?

Na Visitor Analytics, estamos cientes da confiança que nossos clientes depositam em nosso produto e equipe, e de nossa responsabilidade em manter seus dados e privacidade seguros.

Portanto, somos transparentes quanto às informações que coletamos quando você usa nossos produtos e serviços, por que as coletamos, e como as usamos para melhorar o serviço para você!

Nossos Termos de Uso e Contrato de Processamento de Dados descrevem como tratamos os dados pessoais em conexão com o uso do nosso aplicativo e como cuidamos deles.

Quem tem acesso aos dados da Web?

Todos os dados que coletamos para nossos clientes são informações confidenciais.

Os controles de acesso dos funcionários da Visitor Analytics protegem os dados dos clientes contra acesso não autorizado, e usamos um script especial para acessar os dados do proprietário de um site (tanto os dados da conta como os dados de seus visitantes) e realizamos auditorias para garantir que os controles sejam aplicados.

O que é a ISO 27001?

Estamos orgulhosos de ter a certificação ISO 27001.

A ISO 27001 é uma norma reconhecida internacionalmente que garante que o nosso aplicativo atende às melhores práticas para um sistema de gestão de segurança da informação.

Elas ajudam a nossa organização a gerenciar a segurança de ativos como informações financeiras, propriedade intelectual, detalhes de funcionários ou informações que nos são confiadas por terceiros - como sites e outros clientes ou parceiros.

Como ajudamos os clientes a gerir a privacidade dos seus dados na Web?

Usando a inovadora abordagem da Visitor Analytics para rastreamento sem consentimento, as empresas não precisam mais de cookies ou banners de consentimento.

O aplicativo faz isso com um Centro de Privacidade, onde os usuários podem escolher entre quatro diferentes modos de privacidade:

  1. Privacidade Padrão
  2. Privacidade básica
  3. Rastreamento sem Cooki
  4. Proteção completa

O que é o Modo de Privacidade Padrão?

Esta é a configuração de privacidade padrão quando você configura o aplicativo pela primeira vez. Usando este modo, nada é anonimizado. Você poderá acessar os seguintes tipos de dados: Endereço IP, Histórico de páginas, Visitantes que retornam, Localização aproximada do visitante e Resolução de tela. Não são utilizados cookies, mas utilizamos a impressão digital. É necessário um banner de consentimento no site.

O que é o Modo Básico de Privacidade?

Usando este modo, os endereços IP são anonimizados. Você poderá acessar os seguintes tipos de dados: Histórico da página, Visitantes retornados, Localização aproximada do visitante e Resolução da tela. Não são utilizados cookies, mas utilizamos a impressão digital. É necessário um banner de consentimento no site.

O que é o Modo de Rastreamento sem Cooki?

Usando este modo, os endereços IP são anonimizados. Você não poderá mais acessar o histórico da página, mas ainda poderá acessar dados sobre Retorno de Visitantes, Localização Aproximada de Visitante e Resolução de Tela. Não são utilizados cookies, mas utilizamos a impressão digital. Um banner de consentimento não é mais necessário, pois nenhum dado está sendo armazenado.

Começando com o modo de rastreamento sem cookies, as empresas podem começar a acessar mais dados, legal e eticamente, sem perder nenhuma rejeição de banner de consentimento de cookies.

Esta abordagem utiliza impressões digitais que podem ser reconhecidas mais tarde.

Ao contrário dos cookies, as impressões digitais não são armazenadas no dispositivo de um usuário e, portanto, não podem fornecer dados sobre o que o visitante faz fora das sessões naquele site em particular. Isto torna impossível o rastreamento cruzado.

Alguns dados anonimizados são armazenados, mas apenas dentro do ambiente analítico e de forma agregada, tornando impossível associá-los aos hábitos e ao histórico de um indivíduo em particular.

O que é o Modo de Proteção Completa?

Usando este modo, os endereços IP são anônimos, o histórico da página não é exibido, os visitantes que retornam são apenas adivinhados e as resoluções de tela são aproximadas. Você ainda poderá acessar a localização aproximada do visitante. Este é o nosso modo mais seguro, uma vez que não são armazenados cookies, impressões digitais ou outros dados. Isto significa que não é necessário um banner de cookies.

Utilizando a Protecção Completa, não são gerados ou armazenados dados de rastreio ou cookies e os detalhes do dispositivo de um utilizador nunca são acedidos.

Não há nenhuma impressão digital. Nenhum dado pessoal é armazenado. Não são utilizados cookies. Apenas uma identificação única.

Portanto, não há necessidade de consentimento - uma coisa a menos para se preocupar ao gerenciar um site.

Isto também significa que 100% dos dados estatísticos e analíticos éticos estão disponíveis para que os utilizadores confiem quando tomam decisões de melhoria do website.

FAQs

A gravação da sessão e os dados do heatmap são considerados dados pessoais?

Estes dados não são considerados dados pessoais desde que não estejam ligados a um endereço IP específico. Ao utilizar o Modo de rastreamento sem Cooki e o Modo de proteção completa, os IPs são anonimizados.

Como funciona a impressão digital?

Ao contrário dos cookies (que são definidos pelos serviços no armazenamento do navegador do usuário), a impressão digital já está definida para cada navegador, como uma espécie de identificador de agente de usuário (nome do navegador, versão, resolução de tela, etc.)

Qual é a diferença entre a impressão digital e a identificação única?

A impressão digital não muda frequentemente, enquanto o ID único é um ID diferente gerado por nós, como um hash no servidor para cada sessão.

Onde estão armazenados os dados de impressão digital? Por quanto tempo são guardados? O que acontece com esses dados?

A impressão digital NÃO é armazenada em nenhum lugar no navegador. Normalmente não muda, a menos que haja uma atualização da versão do navegador, ou uma desinstalação e reinstalação. É sempre calculada de imediato.

Como é legal recolher dados sem utilizar cookies ou banners de consentimento?

A GDPR e outras leis de privacidade são muito específicas quando se trata de dados que podem criar um perfil individual aproximado. Não armazenando quaisquer dados e não usando endereços IP, padrões de atividade como histórico de páginas, ou locais exatos ou configurações de dispositivos, não há como identificar um perfil individual.