Guia da MarTech para GDPR: O Regulamento Geral de Proteção de Dados

Quando a União Europeia adotou seu Regulamento Geral de Proteção de Dados em 2018, a lei foi anunciada como uma virada no jogo da privacidade que daria início a uma nova era de consentimento em torno da coleta de dados online e colocaria o direito de proteger informações pessoais diretamente nas mãos dos indivíduos.

Também pretendia padronizar as leis de privacidade nos países membros da UE. O GDPR eliminaria a necessidade de países individuais escreverem seus próprios regulamentos – além de exigir que qualquer empresa, independentemente da localização, que comercialize bens ou serviços para residentes da UE cumpra a lei.

Mas, cinco anos depois, os desafios de aplicação seguem a lei divisora ​​de águas, com queixas que foram apresentadas no dia em que o GDPR foi atingido - alegando que Facebook, Instagram, WhatsApp e Google forçaram os usuários a fornecer informações pessoais sem o devido consentimento - ainda passando pelo tribunal. sistema.

Enquanto isso, a tecnologia continua a evoluir em um ritmo com o qual o sistema jurídico glacial simplesmente não consegue acompanhar (este artigo sobre conformidade com o GDPR e ferramentas de IA como o ChatGPT ajuda a pintar uma imagem dos desafios futuros).

Essa desconexão, juntamente com os rumores sobre a aplicação negligente, especialmente em países onde os grandes fornecedores de tecnologia estão sediados, são apenas algumas das razões pelas quais os reguladores da UE estão agora procurando ajustar a forma como o GDPR é administrado.

Este artigo examinará mais de perto essas mudanças processuais - bem como outras regulamentações de privacidade de dados em andamento, examinará algumas das maiores multas da lei até o momento e examinará o que os profissionais de marketing precisam saber à medida que avançamos para o segundo semestre de 2023 .

Mudanças processuais no horizonte

No início deste ano, a Comissão Europeia anunciou que buscaria simplificar a maneira como as autoridades de proteção de dados em toda a UE trabalham juntas ao aplicar o GDPR em casos transfronteiriços. “Isso apoiará um bom funcionamento dos mecanismos de cooperação e resolução de disputas do GDPR”, observou a Comissão. A iniciativa – chamada de Regras de Execução Processual – visa resolver uma série de problemas, desde como as reclamações do GDPR são tratadas até a duração dos próprios processos. E quando o consenso não puder ser alcançado, as regras de aplicação propostas irão “esclarecer” os aspectos processuais da resolução de disputas.

Os críticos disseram que as novas regras de aplicação são leves em detalhes, mas com cerca de 800 casos pendentes sob o GDPR, a reforma processual é crítica. Como afirma o NOYB, ou Centro Europeu de Direitos Digitais, uma organização sem fins lucrativos com sede em Viena, na Áustria, o GDPR é aplicado apenas em teoria, com as empresas de tecnologia encontrando maneiras de interromper processos, apelar de decisões e contornar multas. (“NOYB” é a abreviação de “nenhum é da sua conta”.)

A influência do GDPR nos Estados Unidos

Nos EUA, leis de privacidade de dados novas ou alteradas estão em vigor na Virgínia, Califórnia, Colorado, Connecticut e Utah, com datas de aplicação variando de 1º de janeiro deste ano (Virgínia) a 31 de dezembro (Utah), com Califórnia, Colorado , e Connecticut a partir de 1º de julho (na Califórnia, a Lei de Direitos de Privacidade da Califórnia (CPRA) altera a Lei de Privacidade do Consumidor da Califórnia (CCPA)).

Além disso, nove outros estados propuseram leis que ainda estão pendentes, mas os comerciantes devem antecipar a eventual promulgação.

Essas leis são notáveis ​​no contexto atual porque — com exceção da Califórnia — todas elas “adaptam a terminologia” do GDPR, mas divergem na forma como são aplicadas, com procuradores distritais, procuradores gerais e, no caso da Califórnia, o California Agência de Proteção de Privacidade, tudo na mistura de aplicação.

Para os profissionais de marketing, o gerenciamento de cookies será de suma importância, pois as marcas/sites continuam a entender como os direitos do consumidor em relação a dados confidenciais são protegidos pelas leis estaduais.

No nível federal, há um esforço bipartidário para estabelecer uma nova lei de privacidade - chamada Lei Americana de Privacidade e Proteção de Dados (ADPPA) - que criaria um padrão nacional em torno dos direitos individuais. E em 1º de março, o Comitê de Energia e Comércio da Câmara realizou uma audiência sobre a proposta de lei.

Embora nenhuma votação tenha sido realizada, grupos de privacidade e outras partes interessadas observam que o desejo de uma legislação federal de privacidade existe e pode resultar em ação.

Vá mais fundo: apenas 11% das empresas dos EUA cumprem integralmente CCPA lei de privacidade

GDPR lança multas pesadas

De volta à Europa, deixando de lado os problemas de aplicação do GDPR, algumas reclamações resultaram em grandes multas, cobradas de empresas como Meta, Amazon e Google.

O ano começou com uma multa de US$ 413 milhões contra a Meta por violações do GDPR pelo Facebook e Instagram. Entregue pela Comissão Irlandesa de Proteção de Dados (DPC), que, aliás, tem enfrentado muitas críticas pela forma como lida com as reclamações do GDPR, as ações da agência afirmaram uma decisão do Conselho Europeu de Proteção de Dados que disse que a “necessidade contratual” não é um motivo apropriado para executar anúncios comportamentais. (Anúncios comportamentais referem-se a anúncios on-line ou mensagens de marketing entregues aos consumidores com base em seu histórico de pesquisa).

Durante anos, a Meta incluiu seu acordo de consentimento do usuário nos termos contratuais de serviços de seus aplicativos, o que efetivamente forçou os usuários a concordar com a coleta de dados se quisessem usar as plataformas.

A multa da Meta no início de janeiro veio logo após um 2022 muito caro para a empresa, que viu multas distribuídas em mais de US$ 800 milhões. Também foi informado que tinha três meses para implementar medidas para pedir permissão aos usuários para veicular anúncios comportamentais; no final de março, o Wall Street Journal informou que o Meta permitiria que os usuários na Europa optassem por não receber anúncios direcionados. Mas a empresa não está facilitando, exigindo que os usuários enviem um formulário online declarando suas objeções.

Juntamente com as multas da Meta, outras sanções notáveis ​​do GDPR incluem:

• $ 785 milhões contra a Amazon, decidido em julho de 2021 pela autoridade de dados de Luxemburgo. Esta decisão – até o momento a maior penalidade sob o GDPR e que se concentra em como a empresa processa dados pessoais – está atualmente sob apelação.
• $ 237 milhões contra o WhatsApp (o serviço de mensagens de propriedade da Meta), decidido em setembro de 2021 pela DPC, que sinalizou o culminar de uma investigação de três anos sobre como o aplicativo compartilhava dados do usuário com o Facebook.
• US$ 52 milhões contra o gigante de buscas Google, uma multa antecipada do GDPR (janeiro de 2019) que foi posteriormente mantida em apelação no tribunal francês. A Comissão Nacional de Proteção de Dados daquele país determinou que o Google não estava em conformidade com as diretrizes de transparência de dados do GDPR e que a empresa não deixou suficientemente claro como os dados do usuário foram coletados e usados ​​para anúncios direcionados.

O que os profissionais de marketing precisam saber

Duas palavras precisam estar no topo da lista de todos os profissionais de marketing quando se trata de GDPR: conformidade e consentimento. A conformidade, é claro, refere-se à necessidade de empresas com qualquer tipo de presença na Web que comercializam para clientes na UE entenderem a regulamentação, manterem-se atualizadas sobre as mudanças à medida que ocorrem e serem capazes de reagir rapidamente quando surgem problemas.

Obviamente, tangencial a isso é a necessidade de os profissionais de marketing entenderem os tipos de dados que suas empresas coletam e, mais importante, como esses dados são processados, armazenados e que tipo de informações pessoais confidenciais eles contêm. A conformidade também depende da coleta apenas dos dados necessários.

O mais importante para os profissionais de marketing deve ser a outra palavra-chave: consentimento. De um modo geral, é mais provável que as empresas permaneçam em conformidade com o GDPR quando obtêm a permissão adequada para coletar ou usar as informações pessoais dos usuários. Pode parecer óbvio, mas o GDPR tem uma definição específica para consentimento, que é “qualquer indicação dada livremente, específica, informada e inequívoca” de que o sujeito concorda em permitir que os sites coletem e processem seus dados pessoais.

Não é de surpreender que os profissionais de marketing tenham um grande papel a desempenhar, não apenas na compreensão, mas também na viabilização da conformidade com o GDPR e as regras e regulamentações dos EUA que ele influenciou. Enquanto o cenário regulatório continua a evoluir, o mesmo acontece com o desejo dos consumidores de proteger sua privacidade.

Nos cinco anos em que está nos livros, o GDPR provou, se nada mais, que a proteção de dados é uma responsabilidade corporativa. As empresas que lidam com dados com cuidado e mostram aos usuários que suas preocupações com a privacidade online são válidas terão uma vantagem sobre seus concorrentes menos prudentes.

Vá mais fundo: construa confiar , ganhe vendas