O que é a proteção de dados e a privacidade de dados?
O conceito do direito à privacidade surgiu em 1948, quando a Declaração Universal dos Direitos Humanos foi adotada pela ONU. Esta estabelece que “ninguém sofrerá intromissões arbitrárias na sua vida privada, na sua família, no seu domicílio ou na sua correspondência”. Em 1978, o primeiro e-mail de marketing foi enviado a 400 destinatários e, em 1994, o primeiro banner publicitário apareceu na internet. No ano 2000, muitos bancos começaram a oferecer serviços bancários online. Em 2006, o Facebook foi criado e as redes sociais cresceram exponencialmente, tornando-se uma parte integrante do nosso quotidiano.
Atualmente, 137 de 197 países implementaram algum nível de legislação para garantir a proteção de dados e a privacidade. Alguns dos maiores nomes do planeta foram sujeitos a multas resultantes de violações, como a Google, o WhatsApp e o Facebook, tendo uma das maiores multas de sempre por proteção de dados sido aplicada à Amazon, no valor de 877 milhões de dólares, em 2021.
Neste blogue, analisaremos três das principais leis de privacidade de dados do mundo: o GDPR, a CCPA e a LGPD. Apresentaremos um breve resumo da lei, o que acontece em caso de incumprimento e como a plataforma Purple permite recolher dados dos visitantes do seu espaço em total conformidade.
Europa: Regulamento Geral sobre a Proteção de Dados (GDPR)
O que é o GDPR?
Sendo talvez a lei de proteção de dados mais conhecida do mundo, o GDPR foi criado pela União Europeia e entrou em vigor a 25 de maio de 2018. A legislação impõe obrigações legais a qualquer organização que recolha e conserve dados relacionados com pessoas na UE e cidadãos da UE, mesmo que a própria organização não esteja sediada na UE.
O GDPR fornece uma estrutura para os responsáveis pelo tratamento de dados (e subcontratantes), através de sete princípios, que incluem a minimização da quantidade de dados recolhidos e os prazos para o seu armazenamento. Impõe também regras específicas, como o requisito de notificação de 72 horas para violações de dados.
O GDPR também impõe claramente direitos aos titulares dos dados (indivíduos) no que diz respeito às informações que uma organização recolhe sobre eles, por exemplo, o direito de serem informados sobre os dados a serem processados. Em algumas circunstâncias, o titular dos dados pode ter de dar um consentimento inequívoco para o processamento dos dados, como a subscrição da sua lista de e-mails de marketing, enquanto existem outras situações em que os dados podem ser processados sem consentimento (como situações de risco de vida ou por motivos de interesse público).
O que acontece se não cumprir o GDPR?
As multas por incumprimento são substanciais. As infrações menos graves podem resultar numa multa de até 10 milhões de euros (9,8 milhões de dólares) ou 2% da receita anual global da empresa no exercício financeiro anterior. Para infrações mais graves, incluindo ir contra os princípios do direito à privacidade e do direito ao esquecimento, as multas podem ir até 20 milhões de euros (19,7 milhões de dólares) ou 4% da receita anual global da empresa no exercício financeiro anterior, consoante o valor que for mais elevado.
América do Norte: California Consumer Privacy Act (CCPA) da Califórnia
O que é a CCPA?
A California Consumer Privacy Act de 2018 (CCPA) visa dar aos consumidores mais controlo sobre os dados que as empresas recolhem sobre eles e inclui novos direitos de privacidade para os consumidores da Califórnia. Estes direitos incluem o direito de saber que dados estão a ser recolhidos sobre eles, o direito de os eliminar, o direito de recusar a venda das suas informações pessoais e o direito à não discriminação pelo exercício dos seus direitos CCPA .
Para cumprir a CCPA, os websites devem informar os seus utilizadores, no momento da recolha de dados, sobre as informações pessoais que recolhem e para que fins. Os websites devem apresentar um link “não vender as minhas informações pessoais” para recusar a venda de dados a terceiros e, caso o consumidor solicite os dados que a empresa detém sobre ele, estes devem ser fornecidos gratuitamente.
O que acontece se não cumprir a CCPA?
Se a sua empresa não estiver em conformidade com a CCPA, os consumidores podem intentar uma ação privada, dando à empresa 30 dias para corrigir a violação. A empresa tem então de demonstrar que a “ violação foi sanada e não ocorrerão mais violações ”. Se a empresa não o fizer, o consumidor tem o direito de apresentar a ação ao Procurador-Geral. O Procurador-Geral pode intentar uma ação civil e impor uma providência cautelar e uma coima de 2500 dólares por violação. Se a violação for considerada intencional, este valor pode subir para 7500 dólares por violação. Isto é considerado por consumidor, pelo que, se 1000 dos seus clientes fossem afetados, a sua empresa seria multada em 7,5 milhões de dólares!
América do Sul: Lei Geral de Proteção de Dados (LGPD) do Brasil
O que é a LGPD?
A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 2020 e afeta qualquer empresa ou organização que processe dados pessoais de pessoas no Brasil, independentemente de ser aí que a empresa ou organização está localizada.
A LGPD especifica que apenas pode processar dados pessoais para fins legítimos, específicos e claramente comunicados. À semelhança do GDPR, os princípios da LGPD incluem a transparência e a minimização de dados, ou seja, informar os seus clientes sobre os dados que está a recolher e para que os irá utilizar, e recolher apenas os dados de que necessita. As empresas são obrigadas a nomear um DPO (Encarregado da Proteção de Dados) para cumprir a lei.
O que acontece se não cumprir a LGPD?
Se não cumprir a LGPD, poderá enfrentar multas de até 2% da faturação anual da sua empresa, até um máximo de 50 milhões de reais brasileiros, cerca de 8 milhões de euros ou 9 milhões de dólares. Existem outras ações corretivas para os infratores, incluindo a publicitação da infração e o bloqueio ou eliminação das atividades de processamento ou dos dados pessoais que causaram o problema. Isto significa que o responsável pelo tratamento de dados infrator pode perder toda a lista de e-mails associada e a base de dados relacionada com o incidente pode ser suspensa por até 6 meses.
Como a plataforma Purple pode ajudar as empresas a recolher e gerir dados em conformidade com as principais leis de proteção de dados
Captive Portal para o consentimento dos visitantes
As splash pages personalizáveis da Purple permitem a inclusão de links para os termos e condições no momento do login, bem como caixas de seleção opcionais de opt-in para materiais e comunicações de marketing, ou uma caixa de opt-out para a venda de dados pessoais, para quem necessita de estar em conformidade com a CCPA.
Além disso, o Captive Portal da Purple pode garantir que os clientes que iniciam sessão concordaram com os termos e condições, bem como com a política de privacidade.
Portal MyData para total transparência de dados
Através do My Data Portal da Purple, que pode ser encontrado no website da Purple, os titulares dos dados podem visualizar os dados que a empresa recolheu sobre eles através do portal da Purple, de forma totalmente gratuita, e retirar o consentimento, caso o pretendam.
Marketing WiFi automatizado
Se estiver a recolher dados de contacto de clientes através da plataforma Purple e um cliente optar por não receber comunicações de marketing, isso impedi-lo-á de lhe enviar e-mails através das nossas ferramentas automatizadas de marketing WiFi. Mesmo que tenha uma integração na plataforma Purple com um sistema de CRM externo, pode mapear os dados aí utilizando o software integrado da Purple para atualizar a sua base de dados com estas informações, o que mantém a sua base de dados em conformidade.
