Confidențialitatea datelor: costul greșirii

Publicat: 2022-10-12

Când Regulamentul general european privind protecția datelor (GDPR) a intrat în vigoare în mai 2018, acesta a stabilit o bază pentru o nouă generație de legi privind confidențialitatea datelor care oferă o protecție mai mare consumatorilor. Principii de bază, cum ar fi consimțământul neechivoc, minimizarea datelor, limitarea scopului și dreptul la opoziție, au scris în mod efectiv cele mai bune practici stabilite în materie de date în lege.

De atunci, legislația privind confidențialitatea în stil GDPR a fost adoptată în întreaga lume. CCPA din California a pus balonul în SUA, urmând multe alte state (Colorado, Connecticut, Utah și Virginia) sau în proces de urmare (Michigan, New Jersey, Ohio și Pennsylvania). În întreaga lume, am văzut și introducerea LGPD în Brazilia și PIPL în China, pentru a numi doar două.

O provocare cu care se confruntă acum operatorii de date și procesatorii de date este ambiguitatea. Adică, ce înseamnă de fapt clauzele cheie din aceste noi acte legislative? Adesea, ele trebuie testate în instanțele de judecată pentru a-și clarifica adevărata intenție și pentru a stabili un precedent legal. Acest lucru se întâmplă acum în Europa, iar practicienii din alte părți pot învăța din aceste cazuri și pot aplica concluziile înainte de a le înfrunta în propriile țări.

Europa reprimă confidențialitatea datelor

Cu siguranță, autoritățile de reglementare europene și-au dezvăluit dinții în 2022.

Clearview AI, o firmă de recunoaștere facială, a fost amendată cu 20 de milioane de euro de către agenția italiană de protecție a datelor și cu încă 9 milioane de euro de către Biroul Comisarului pentru Informații (ICO) din Marea Britanie pentru procesarea ilegală a datelor cu caracter personal biometrice și de geolocalizare.

Autoritatea de reglementare irlandeză a impus Meta (Facebook) o sumă de 17 milioane de euro pentru că nu a pus în aplicare măsurile tehnice și organizatorice adecvate.

În Spania, Google a fost amendat cu 10 milioane de euro pentru că a forțat utilizatorii să accepte transferul cererilor de eliminare a conținutului către o terță parte.

Cel mai recent, ca urmare a eșecului de a proteja confidențialitatea copiilor în timpul utilizării platformei, TikTok s-ar putea confrunta cu o amendă de 27 de milioane de lire sterline în urma unei potențiale încălcări a legilor privind protecția datelor din Regatul Unit.

O temă comună care parcurge aceste cazuri sunt principiile de bază ale „legalității, corectitudinii și transparenței”, ceea ce înseamnă că întreprinderile trebuie să fie clare cu persoanele despre modul în care vor fi prelucrate datele lor personale și că a fost stabilit un temei legal adecvat pentru a face acest lucru.

În Regatul Unit, măsurile de aplicare în 2022 s-au concentrat în mare parte pe trimiterea neautorizată de mesaje de marketing. Noile legi privind confidențialitatea datelor, cum ar fi GDPR, necesită o bază legală – de obicei consimțământ sau interes legitim – pentru prelucrarea datelor cu caracter personal, care include activitatea de marketing.

Cazurile recente* arată că această cerință nu este încă înțeleasă clar (sau este ignorată în mod intenționat!):

  • Finance Giant Ltd ( 60.000 GBP ): a instigat trimiterea unui total confirmat de 505.759 de mesaje de marketing direct nesolicitate.
  • Bizfella Limited ( 30.000 GBP ): a instigat trimiterea a 224.550 de mesaje SMS de marketing direct nesolicitate.
  • H&L Business Consulting Limited ( 80.000 GBP ): a instigat trimiterea a 451.705 de mesaje SMS nesolicitate în scopuri de marketing direct.

*Cititorii pot obține textele complete pentru toate hotărârile de pe site-ul ICO și, de asemenea, se pot înscrie pentru a primi buletinul informativ al ICO „Acțiuni de executare”.

Consumatorii doresc să știe cum sunt folosite datele lor

O temă importantă care parcurge toate aceste cazuri (și altele) este că au fost scoase la lumină inițial de plângerile consumatorilor. Consumatorii au acum o mai bună înțelegere a drepturilor lor privind confidențialitatea datelor și sunt pregătiți să-și exercite aceste drepturi dacă cred că datele lor personale sunt utilizate abuziv.

Când manipulați datele despre consumatori, este important să rețineți:

  • Consimțământul valid necesită ca indivizii să aibă posibilitatea de a alege și de a avea control real.
  • Persoanele fizice ar trebui să fie informate în mod explicit că vor primi mesaje de marketing.
  • Consimțământul ar trebui să fie separat de celelalte politici de confidențialitate și/sau termeni și condiții ale expeditorilor.
  • Consimțământul indirect poate fi valabil numai dacă este suficient de clar și specific.
  • Trebuie să existe un mijloc simplu pentru ca persoanele fizice să refuze utilizarea datelor lor de contact.

Unele companii au căzut în alte capcane legate de confidențialitate

În urma unei migrări la un nou sistem CRM, Reed Online a programat din neatenție e-mailuri de marketing către clienții care anterior fuseseră dezabonați/suprimați.

Tuckers Solicitors a suferit un atac ransomware, care a dus la o încălcare a datelor cu caracter personal. ICO a decis că eșecul companiei de a implementa măsurile tehnice și organizatorice adecvate le-a făcut vulnerabile la atacuri.

Biroul de cabinet al guvernului Regatului Unit a dezvăluit online adresele poștale ale destinatarilor onorurilor de Anul Nou 2020 – un eșec în a preveni dezvăluirea neautorizată a informațiilor oamenilor.

Multe incidente privind confidențialitatea datelor nu fac titluri

În timp ce încălcările importante fac titluri, multe incidente sunt mult mai banale.

ICO publică un raport trimestrial de securitate a datelor, cu cele mai recente probleme „non-cibernetice” (adică, auto-provocate), inclusiv:

  • Date trimise prin e-mail unui destinatar incorect ( 22 la sută )
  • Acces neautorizat ( 14 la sută )
  • Date postate sau trimise prin fax către destinatar incorect ( 13 la sută )
  • Pierderea/furtul de documente sau de date lăsate în locație nesigură ( 8 la sută )
  • Eșec la redactare ( 6 la sută )

Aceste tendințe indică în mare măsură eroarea umană și/sau formarea inadecvată și prezintă un argument convingător în favoarea implementării practicilor de „confidențialitate prin proiectare” în care procesele robuste minimizează oportunitățile de neconformitate.

Încă nu vedem cu adevărat amenzile de „patru procente din veniturile globale” care pot fi percepute teoretic, deși nu înseamnă că acest lucru nu se va întâmpla. Amenda British Airways (BA) – așa cum a fost propusă – s-a apropiat înainte de a fi redusă pentru o serie de factori atenuanți, inclusiv impactul crizei Covid-19 asupra finanțelor BA. Deși nicio companie nu dorește să se ocupe de o încălcare a confidențialității, există factori de atenuare care vor fi luați în considerare dacă se întâmplă, inclusiv:

  • Fie că a fost o încălcare pentru prima dată
  • Severitatea încălcării
  • Fie că a fost deliberat sau accidental
  • Notificare proactivă către autoritatea de supraveghere
  • Acțiuni întreprinse pentru a reduce impactul asupra persoanelor vizate

Autoritățile de reglementare vor fi, în general, mai îngăduitoare cu întreprinderile care sunt transparente cu privire la ceea ce a mers prost, sunt cooperante în asistența anchetei și vor adopta rapid măsuri care vor preveni reapariția.

Acesta este doar inceputul…

Mai sunt multe de spus pe această temă. Doriți să aflați mai multe despre legislația privind confidențialitatea datelor din întreaga lume? Consultați Ghidul nostru pentru legile globale privind confidențialitatea și conformitatea .

Descărcați Ghidul