A maioria dos sítios Web recolhe informações sobre os seus utilizadores, quer submetidas pelos utilizadores, quer recolhidas automaticamente através de cookies e outras tecnologias. Os proprietários de empresas precisam de informações para entregar os seus produtos, anunciar os seus serviços, comunicar com clientes e potenciais clientes, e melhorar a funcionalidade do seu sítio web. Os clientes e visitantes do seu site estão naturalmente preocupados com o que acontece à sua informação pessoal – como é armazenada, quem tem acesso a ela, e que salvaguardas existem para proteger a sua privacidade.
Virtualmente, todos os países promulgaram algum tipo de leis de privacidade de dados para regular a forma como a informação é recolhida, como as pessoas em causa são informadas, e que controlo têm as pessoas em causa sobre a sua informação uma vez transferida. O não cumprimento das leis aplicáveis sobre privacidade de dados pode levar a multas, processos judiciais, e até à proibição da utilização de um site em certas jurisdições. A navegação nestas leis e regulamentos pode ser assustadora, mas todos os operadores de websites devem estar familiarizados com as leis de privacidade de dados que afectam os seus utilizadores. Algumas destas incluem:
US Data Privacy Laws
Não há nenhuma lei federal abrangente que regule a privacidade de dados nos Estados Unidos. Há uma complexa manta de retalhos de leis sectoriais e médias específicas, incluindo leis e regulamentos que tratam de telecomunicações, informação sobre saúde, informação sobre crédito, instituições financeiras, e marketing.
A Lei da Comissão Federal de Comércio (15 USC § 41 e seguintes) tem uma ampla jurisdição sobre entidades comerciais sob a sua autoridade para impedir práticas comerciais desleais ou “enganosas”. Embora a FTC não regulamente explicitamente quais as informações que devem ser incluídas nas políticas de privacidade do website, usa a sua autoridade para emitir regulamentos, aplicar as leis de privacidade, e tomar medidas coercivas para proteger os consumidores. Por exemplo, a FTC pode tomar medidas contra organizações que…
- Failing to implement and maintain reasonable data security measures.
- Failing to comply with any applicable self-regulatory principles of the organization’s industry.
- Failing to follow a published privacy policy.
- Transferir informações pessoais de uma forma não divulgada na política de privacidade.
- Fazer representações inexactas de privacidade e segurança (mentir) aos consumidores e nas políticas de privacidade.
- Não fornecer segurança suficiente aos dados pessoais.
- Violação dos direitos de privacidade dos dados do consumidor através da recolha, processamento, ou partilha de informações do consumidor é uma violação do quadro de privacidade do consumidor da FTC ou das leis e regulamentos nacionais sobre privacidade.
li>Iniciativa em práticas publicitárias enganosas.
Outras leis federais que regem a recolha de informações online incluem:
- A Lei de Protecção da Privacidade Online das Crianças (15 USC §6501 et seq.), também conhecida como COPPA, que rege a recolha de informações sobre menores.
- A Lei de Portabilidade do Seguro de Saúde e Contabilidade (HIPAA – P.L.104-191), que rege a recolha de informação sobre saúde.
- A Lei Gramm Leach Bliley (15 USC § 6802 et seq.), que regula a recolha de informações pessoais recolhidas por bancos e instituições financeiras.
- A Lei de Informação de Crédito Justo (15 USC § 1681), que regula a recolha e utilização de informações de crédito.
Lei de Privacidade de Dados do Estado
Além das leis e regulamentos federais, os EUA têm centenas de leis de privacidade e segurança de dados entre os seus estados, territórios, e localidades. Actualmente, 25 procuradores-gerais estaduais dos EUA supervisionam as leis de privacidade de dados que regem a recolha, armazenamento, salvaguarda, eliminação e utilização de dados pessoais recolhidos dos seus residentes, especialmente no que diz respeito às notificações de violação de dados e à segurança dos números da Segurança Social. Algumas aplicam-se apenas a entidades governamentais, outras aplicam-se apenas a entidades privadas, e outras aplicam-se a ambas.
A Lei da Privacidade do Consumidor da Califórnia (CCPA)
A legislação estadual mais abrangente sobre privacidade de dados até à data é a Lei da Privacidade do Consumidor da Califórnia (CCPA), assinada em 28 de Junho de 2018, e que entrou em vigor em 1 de Janeiro de 2020. A CCPA é legislação intersectorial que introduz definições importantes e amplos direitos do consumidor individual e impõe deveres substanciais a entidades ou pessoas que recolhem informações pessoais sobre ou de um residente na Califórnia. Estes deveres incluirão informar as pessoas em causa quando e como os dados são recolhidos, e dar-lhes a capacidade de aceder, corrigir e apagar tais informações. Esta informação deve ser divulgada numa política de privacidade apresentada no website da entidade que recolhe os dados.
New York SHIELD Act
Em Julho de 2019, Nova Iorque aprovou a Stop Hacks and Improve Electronic Data Security (SHIELD) Act. Esta lei altera a lei de notificação de violação de dados existente em Nova Iorque e cria mais requisitos de segurança de dados para empresas que recolhem informações sobre residentes de Nova Iorque. A partir de Março de 2020, a lei é plenamente aplicável. Esta lei alarga o âmbito da privacidade do consumidor e proporciona uma melhor protecção dos residentes de Nova Iorque contra violações de dados das suas informações pessoais.
Outros Estados – Leis de Privacidade de Dados ao Nível do Estado
Califórnia e Nova Iorque são os primeiros estados a promulgar legislação ampla que cria impacto nacional, mas muitos outros estados americanos estão também a considerar leis de privacidade de dados. Não terão o mesmo aspecto do CCPA ou da SHIELD Act, mas provavelmente conterão requisitos semelhantes para as necessidades específicas do estado.
Como pode imaginar, a colmeia de leis de privacidade estaduais e federais nos EUA são demasiado complexas para serem resumidas na íntegra. É pouco provável que vejamos em breve uma lei federal abrangente (apesar de estar a crescer o apoio a uma). Assim, como uma organização que recolhe e processa dados pessoais, é essencial que se associe a um serviço como Osano para o manter em conformidade neste ambiente desafiante.
Lei Internacional de Privacidade de Dados: a GDPR
A legislação mais importante de protecção de dados promulgada até à data é o Regulamento Geral de Protecção de Dados (GDPR). Regula a recolha, utilização, transmissão e segurança dos dados recolhidos de residentes de qualquer um dos 28 países membros da União Europeia. A lei aplica-se a todos os residentes da UE, independentemente da localização da entidade que recolhe os dados pessoais. Podem ser impostas multas até 20 milhões de euros ou 4% do volume de negócios global total às organizações que não cumpram com o GDPR. Alguns requisitos importantes da GDPR incluem:
Consentimento
Os sujeitos dos dados devem ser autorizados a dar consentimento explícito e inequívoco antes da recolha de dados pessoais. Os dados pessoais incluem informações recolhidas através da utilização de cookies. Algumas informações normalmente não consideradas “informações pessoais” nos Estados Unidos, tais como o endereço IP do computador do utilizador, são consideradas como “dados pessoais” de acordo com a GDPR.
Notificação de violação de dados
As organizações são obrigadas a notificar as autoridades de supervisão e os sujeitos dos dados no prazo de 72 horas no caso de uma violação de dados que afecte as informações pessoais dos utilizadores na maioria dos casos.
Direitos dos sujeitos dos dados
Os sujeitos dos dados (pessoas cujos dados são recolhidos e processados) têm certos direitos relativamente às suas informações pessoais. Estes direitos devem ser comunicados aos sujeitos dos dados numa política de privacidade clara e de fácil acesso no website da organização.
- O direito a ser informado. Os titulares dos dados devem ser informados sobre a recolha e utilização dos seus dados pessoais quando os dados são obtidos.
- O direito de acesso aos seus dados. O titular dos dados pode solicitar uma cópia dos seus dados pessoais através de um pedido do titular dos dados. Os responsáveis pelo tratamento de dados devem explicar os meios de recolha, o que está a ser processado e com quem os dados são partilhados.
- O direito de rectificação. Se os dados do titular dos dados estiverem incorrectos ou incompletos, têm o direito de lhe pedir que os rectifique.
- O direito de rectificação. Os titulares dos dados têm o direito de solicitar o apagamento dos dados pessoais que lhes digam respeito, por determinadas razões, no prazo de 30 dias.
- O direito de restringir o processamento. Os titulares dos dados têm o direito de solicitar a restrição ou supressão dos seus dados pessoais (embora ainda se possa armazená-los).
- O direito à portabilidade dos dados. Os titulares dos dados podem ter os seus dados transferidos de um sistema electrónico para outro em qualquer altura, de forma segura e segura, sem perturbar a sua usabilidade.
- O direito de objecção. Os titulares dos dados podem opor-se à forma como a sua informação é utilizada para fins de marketing, vendas, ou não relacionados com serviços. O direito de oposição não se aplica quando se realiza uma tarefa de interesse público, ou quando a organização necessita de processar dados para lhe fornecer um serviço para o qual se tenha inscrito.
Importância de Políticas de Privacidade nas Leis de Privacidade de Dados
A qualquer website deve ter uma política de privacidade que explique aos seus utilizadores que informação é recolhida, como é utilizada, como pode ser partilhada, e como é assegurada. A fim de estarem em plena conformidade com as leis americanas e europeias de protecção de dados, todos os titulares dos dados devem ter a oportunidade de consentir na recolha de informações pessoais. Enquanto muitas informações sobre os utilizadores são fornecidas voluntariamente quando se inscrevem para boletins informativos, formulários completos, ou enviam pedidos por correio electrónico, as informações recolhidas de terceiros e através da utilização de cookies também devem ser divulgadas, e deve ser dada aos utilizadores a oportunidade de consentir, bloquear, ou desactivar cookies.
Fazer com que a sua empresa cumpra as leis de privacidade de dados
Even se a sua empresa estiver sediada numa jurisdição que não tenha implementado legislação abrangente sobre privacidade de dados, é essencial considerar onde os seus potenciais utilizadores podem residir e que regulamentos se aplicam. Se pretende fazer qualquer negócio na Califórnia, Nova Iorque, ou União Europeia, deve estar familiarizado com os requisitos da CCPA, da SHIELD Act, e da GDPR. Na maioria dos casos, é mais simples e menos dispendioso para a sua organização aderir a estas normas para todos os seus clientes, em vez de aplicar regras diferentes baseadas na localização.
A protecção de dados está a tornar-se mais importante e irá afectar as decisões dos utilizadores sobre onde fazem as suas pesquisas e compras online. Cada vez mais, a reputação de uma empresa pelo tratamento responsável de dados pessoais será um trunfo que pode conduzir a mais tráfego de websites, conversões, e um impacto positivo nos lucros.
Se estiver pronto a levar a sério as suas leis de privacidade de dados, inscreva-se com Osano. Osano é uma plataforma de privacidade de dados fácil de usar que torna o seu website instantaneamente compatível com a CCPA, SHIELD Act, GDPR, e outras leis de privacidade. Osano é “conformidade numa caixa”, ajudando imediatamente o seu sítio web a cumprir as leis de privacidade de dados. Torne-se compatível agora.