Para onde estamos indo com os regulamentos de privacidade de dados?

Com o 65% da população global Espera-se que seus dados pessoais sejam cobertos por regulamentos de privacidade modernos até 2023, respeitar a privacidade dos dados nunca foi tão crítico. Por exemplo, a introdução da lei federal Lei americana de privacidade e proteção de dados (ADPPA), juntamente com a recente aprovação de uma colcha de retalhos de leis de privacidade em nível estadual, tornou o atual cenário de privacidade dos EUA cada vez mais complexo. Isso resulta em desafios para as organizações, tanto no gerenciamento de volumes explosivos de dados quanto na compreensão de como os regulamentos específicos de privacidade de dados se aplicam a eles.

À medida que empresas de todos os tamanhos tentam se manter atualizadas com as leis de privacidade de dados em constante mudança e monitorar proativamente as regras relevantes, elas também devem tomar as medidas necessárias para mapear onde estão os dados de consumidores e empregos e os riscos potenciais a esses dados. Ao reforçar as defesas de segurança cibernética, as organizações podem estar mais bem preparadas para os regulamentos de privacidade de dados, agora e no futuro.

Vamos lembrar por que isso se tornou tão vital. Em primeiro lugar, os consumidores e funcionários estão mais informados do que nunca sobre os direitos pessoais e como os regulamentos de privacidade de dados se aplicam a eles. Este é um desenvolvimento importante e positivo, considerando o aumento dramático no risco de multas e litígios por descumprimento — um dos fundamentos necessários para a proteção dos direitos individuais.

A convergência de informações de identificação pessoal (PII) e informações de saúde protegidas (PHI) também representa riscos de dados. Por exemplo, as informações de pagamento de uma reivindicação de seguro, juntamente com um endereço de e-mail e outras migalhas digitais encontradas na Internet, podem ser usadas para roubar identidades ou resultar na exfiltração de dados. Além disso, a adoção e aceitação a longo prazo de modelos de trabalho híbridos podem criar desafios. Algumas organizações fazem perguntas muito focadas a seus funcionários sobre comportamentos e acordos de trabalho em casa para medir a produtividade. Dependendo das questões específicas, pode haver outras implicações de privacidade.

Paisagem de Confusão

Dadas as vastas variedades e jurisdições dos atuais regulamentos de privacidade e proteção de dados, pode haver alguma confusão. Por exemplo, as empresas americanas localizadas em Dakota do Norte que realizam negócios no mercado interno podem estar um pouco menos preocupadas com as regras que se aplicam no exterior. Por outro lado, para organizações dos EUA que oferecem bens e serviços no Reino Unido ou na UE, regulamentos como o Regulamento Geral de Proteção de Dados (GDPR) – juntamente com o potencial de penalidades se forem violados – podem ser aplicados.

Além disso, em algumas organizações, preconceitos relacionados ao tamanho da empresa podem causar problemas de conformidade ou regulamentares, como acreditar que uma empresa é muito pequena para ser aplicada pelos regulamentos de privacidade de dados. Embora seja verdade que a maioria dos novos regulamentos se concentra em empresas de um determinado tamanho, os critérios de dimensionamento reais podem estar relacionados a uma série de fatores, como o número de funcionários ou a receita anual. Se os regulamentos de privacidade de dados se aplicam ou não, também pode depender do volume de informações do consumidor com que uma organização lida.

A questão é que cada conjunto de regulamentos tem nuances, e é por isso que é importante entender a relevância e os limites de cada um. Isso deve ser monitorado sob revisão regular, principalmente à medida que as organizações crescem e os regulamentos começam a ser aplicados onde não existiam antes. Por exemplo, houve desenvolvimentos recentes em torno da nova Estrutura de Privacidade de Dados UE-Reino Unido, também conhecida como Privacy Shield 2.0, relativa a atividades de inteligência.

Uma boa regra prática é seguir as práticas recomendadas o mais rápido possível, para que, quando a necessidade de conformidade formal chegar, tudo esteja em vigor. O risco de errar é sério, com as organizações potencialmente enfrentando multas pesadas por não conformidade. Isso não diz nada sobre o impacto na reputação da marca quando uma violação grave é revelada, incluindo a perda da confiança do consumidor, funcionário ou investidor, onde os efeitos podem ser prolongados e dolorosos.

Hora das Leis Federais?

Novas leis de privacidade de dados estão sendo propostas regularmente. Existem cinco estados dos EUA definidos para ter regulamentos importantes entrando em vigor em 2023: Califórnia, Virgínia, Colorado, Connecticut e Utah. Com 10% dos estados dos EUA cobertos pela legislação de privacidade de dados até o final do próximo ano, é claro que uma lei federal seria útil.

Em particular, a legislação federal pode desempenhar um papel crítico no alinhamento dos EUA com outros países no assunto de privacidade de dados. Também forneceria aos fornecedores e usuários a clareza necessária sobre como usar, armazenar e gerenciar dados confidenciais. Isso por si só ajudaria muito a esclarecer a confusão generalizada que abunda devido à colcha de retalhos existente de regulamentação. Embora o momento exato da legislação federal como o ADPPA proposto não seja claro, não é uma questão de se, mas de quando.

No geral, os dados e as leis que regem sua proteção existem dentro de um ecossistema regulatório em rápida evolução. Mais mudanças - tanto doméstica quanto internacionalmente - são inevitáveis. Portanto, as organizações devem se concentrar nas responsabilidades de curto e longo prazo de manipulação e proteção de dados. Não é apenas a coisa certa a fazer ética e moralmente, mas também representa uma boa tomada de decisão para a saúde do negócio.