O estado da privacidade de dados em 2024
Publicados: 2023-09-11O marketing costumava ser uma profissão relativamente simples. Não é fácil nem simples, mas havia alguma clareza quanto aos limites da função. Isto aplicava-se particularmente às comunicações. Antes da ascensão do online e do digital, nossos canais de comunicação eram relativamente poucos. Nas últimas décadas, e especialmente nos últimos cinco a dez anos, tem havido uma rápida expansão nas opções disponíveis aos profissionais de marketing, especialmente na área da privacidade de dados.
A introdução do Regulamento Geral de Proteção de Dados (RGPD) da UE em 25 de maio de 2018 foi, em muitos aspectos, uma resposta a esta expansão tecnológica. Os legisladores europeus procuraram fornecer um conjunto de princípios que protegeriam os dados dos cidadãos. Desde então, o RGPD deu o tom para que outras regiões do mundo considerassem a sua própria abordagem à regulamentação de dados.
Como alguns dos maiores usuários de dados pessoais em nossas empresas, cabe a nós, profissionais de marketing, garantir que tenhamos um conhecimento sólido das melhores práticas de proteção de dados. Em particular, precisamos de acertar no básico. Neste breve artigo, identificarei algumas das principais áreas que os líderes de marketing e suas equipes devem estar atentos agora.
Dica profissional : ouça Steven Roberts cobrir Data Protection 101 no podcast DMI.
“A transparência é um princípio fundamental que sustenta o GDPR. Os profissionais de marketing que utilizam ferramentas de IA que processam dados pessoais devem ser capazes de explicar em termos claros e simples como esses dados estão sendo usados. ” Steven Roberts
Um ecossistema de privacidade em rápida mudança
O GDPR desencadeou uma série de legislações semelhantes em todo o mundo, com novas leis em países como China, Singapura e África do Sul.
A Lei de Privacidade do Consumidor da Califórnia (CCPA) é a mais conhecida de uma série de leis locais e estaduais nos EUA . Isto contribuiu para um ecossistema internacional de privacidade de dados mais complexo.
No Reino Unido , o governo britânico está a considerar uma revisão do RGPD do Reino Unido com uma nova lei de dados atualmente em desenvolvimento (em setembro de 2023). As empresas que negociam com o Reino Unido terão de acompanhar de perto esta evolução, especialmente se afetar a decisão de adequação entre a UE e o Reino Unido*.
Na Europa , uma série de legislação adjacente da UE está em processo de introdução. Isso inclui:
- A Lei dos Mercados Digitais
- A Lei dos Serviços Digitais
- Um regulamento sobre IA. Este último é particularmente premente num momento de rápida expansão na gama e utilização de tecnologias de IA, como o ChatGPT.
Estão também em curso discussões para rever a atual Diretiva Privacidade Eletrónica, que é amplamente considerada como já não adequada à sua finalidade. Toda esta legislação tem o potencial de impactar as atividades de processamento de dados dos profissionais de marketing que operam na União Europeia.
A proteção de dados deve ser incluída desde o início
De acordo com Chiefmartech.com, existem mais de 11.000 plataformas de tecnologia de marketing; um número que cresce a cada ano. Muitas dessas tecnologias usam dados pessoais para atingir e atingir de forma mais eficaz vários públicos de consumo.
Os profissionais de marketing que contemplam uma nova plataforma, ou mesmo quaisquer novas estratégias que envolvam a utilização de dados pessoais, devem garantir que a privacidade dos dados seja considerada desde o início. O princípio do GDPR de proteção de dados desde a concepção e por defeito é fundamental aqui. Uma das melhores formas de cumprir este princípio é realizar o que é conhecido como Avaliação de Impacto na Proteção de Dados (DPIA).
Isso envolve um processo de duas etapas. Primeiro, é realizada uma pré-AIPD, através da qual é feita uma série de perguntas de alto nível para avaliar se o projeto tem o potencial de representar riscos significativos para a privacidade. Se tais riscos forem identificados, uma AIPD completa deverá ser concluída. Neste ponto ocorre uma análise detalhada do projeto, incluindo consultas com as principais partes interessadas. Tal abordagem permite a recalibração de um projeto se os riscos de privacidade forem demasiado elevados, ou a adoção de ações de mitigação para reduzir o nível de risco.
Exemplos para profissionais de marketing podem incluir a introdução de uma nova estratégia de dados próprios ou a introdução de uma plataforma de CRM. Geralmente é considerada uma prática recomendada que quaisquer novas ferramentas de marketing que possam utilizar dados pessoais sejam submetidas a uma DPIA.
IA e privacidade de dados
As plataformas de Inteligência Artificial (IA) estão se tornando cada vez mais populares entre os profissionais de marketing, potencializando atividades como chatbots automatizados de sites. A introdução do ChatGPT e de outros grandes modelos de linguagem (LLMs) oferece um potencial significativo para os profissionais de marketing aumentarem sua produtividade. Por exemplo, gerar blogs e artigos como parte de uma estratégia de marketing de conteúdo.
Os profissionais de marketing que consideram essa tecnologia devem estar cientes dos riscos de proteção de dados. A transparência é um princípio fundamental subjacente ao GDPR. Os profissionais de marketing que utilizam ferramentas de IA que processam dados pessoais devem ser capazes de explicar em termos claros e simples como esses dados estão sendo usados. Este é um desafio considerável, uma vez que muitas vezes não é fácil identificar exatamente como os dados estão a ser processados pela tecnologia de IA.
Além disso, o Artigo 22 do RGPD confere aos indivíduos o direito de se oporem a decisões automatizadas que possam ter efeitos jurídicos. Por exemplo, «recusa automática de um pedido de crédito online ou de práticas de recrutamento eletrónico sem qualquer intervenção humana. Nestes casos, têm o direito de obter intervenção humana como parte do processo de tomada de decisão.
Destacando as potenciais preocupações em matéria de proteção de dados decorrentes da utilização de IA, a Google foi obrigada a adiar a introdução de um novo chatbot de IA, Bard, na sequência de uma intervenção por parte da Comissão de Proteção de Dados (DPC) da Irlanda. A Comissão afirmou que o gigante tecnológico precisava de fornecer mais informações sobre a forma como os direitos de privacidade dos cidadãos da UE seriam protegidos. Posteriormente, o Google lançou o Bard na UE, seguindo o que o DPC descreveu como “uma série de mudanças, em particular maior transparência e mudanças nos controles para os usuários”.
“A conformidade de dados é uma jornada contínua. A prioridade inicial é acertar o básico. ” Steven Roberts
Aumento de multas e conscientização do consumidor
Como profissionais de marketing, somos a voz do consumidor, responsáveis por proteger a marca e a reputação das nossas empresas. Os consumidores estão mais conscientes dos seus direitos em matéria de proteção de dados. Grande parte disto é impulsionado pela publicidade que tem rodeado multas pesadas.
De acordo com o escritório de advocacia DLA Piper, as autoridades de supervisão da UE emitiram 1,6 mil milhões de euros em multas nos 12 meses a partir de 28 de janeiro de 2022. Esta tendência continuou em 2023, principalmente com a emissão pela DPC irlandesa de uma multa de 1,2 mil milhões de euros contra a Meta pela transferência de utilizadores da UE. ' dados pessoais para os EUA sem ter mecanismos adequados de proteção de dados em vigor.
Em abril de 2023, o Gabinete do Comissário de Informação do Reino Unido (ICO) emitiu uma multa de £ 12,7 milhões ao TikTok por violações relacionadas ao uso indevido de dados de crianças.
Enquanto isso, nos EUA, a privacidade de dados tem visto mais posições políticas, com tentativas de proibir o TikTok a nível estadual, como em Montana, e uma nova liderança visivelmente mais dura na FTC processando a Amazon por inscrever clientes no Prime sem consentimento. Na Irlanda, os funcionários das agências governamentais e estaduais são obrigados a remover o aplicativo TikTok dos dispositivos oficiais; embora também tenham sido introduzidas restrições em jurisdições como o Reino Unido e os Países Baixos.
É importante notar que, embora a AdTech e a publicidade comportamental fossem prioridades de aplicação para a DPC e outras autoridades de supervisão, foram aplicadas sanções contra empresas em muitos setores da economia; embora não nos níveis surpreendentes que vimos nas empresas de tecnologia.
Transferência de dados internacionais
As transferências internacionais de dados têm causado dores de cabeça significativas às empresas que procuram transferir dados pessoais para fora da União Europeia. É um aspecto da privacidade de dados que testemunhou mudanças substanciais nos últimos anos. Em julho de 2020, o Tribunal de Justiça Europeu declarou inválido o acordo existente do Escudo de Privacidade para transferências de dados entre a UE e os EUA. Desde essa decisão, conhecida como Schrems II , ambas as jurisdições têm procurado um mecanismo alternativo que seja compatível com o GDPR.
Um novo Quadro de Privacidade de Dados foi aprovado pela União Europeia no início de julho. Embora seja bem-vindo, resta saber se isto estará sujeito a desafios semelhantes por parte dos defensores da privacidade, como foi o caso dos seus dois antecessores. Nesse ínterim, as empresas tiveram que encontrar abordagens alternativas, como o uso de cláusulas contratuais padrão (conhecidas como SCCs)***.
Para as empresas que negociam com o Reino Unido, o governo britânico indicou a sua intenção de simplificar certos aspectos do RGPD do Reino Unido com a ambição de tornar as regras actuais menos onerosas para as empresas ****.
Como se manter informado sobre privacidade de dados
Muitos profissionais de marketing estão a lutar para acompanhar este ritmo de mudança, especialmente aqueles nas PME que podem não ter acesso aos mesmos recursos que as equipas de grandes empresas multinacionais.
Vale a pena lembrar que a conformidade de dados é uma jornada contínua. A prioridade inicial é acertar o básico. Com isso em mente, vários aspectos são cruciais como parte de qualquer cultura eficaz de privacidade de dados dentro de uma empresa:
1. O treinamento é vital
A formação deve ser regular e contínua, tanto para o pessoal novo como para o pessoal existente. É particularmente importante dados os níveis de rotatividade que estamos a testemunhar em muitas funções de marketing atualmente, juntamente com o ritmo de desenvolvimento na área de conformidade em geral. Alguns especialistas estimam que 90% de todas as violações de dados resultam de erro humano. A formação é essencial para compensar este risco.
2. Conhecer as 6 bases jurídicas e os 7 princípios fundamentais do RGPD
Muitas das violações que vimos nos últimos cinco anos poderiam ter sido reduzidas ou eliminadas se as empresas tivessem considerado as seguintes questões;
- Em primeiro lugar, existe uma base jurídica clara para o tratamento destes dados pessoais?
- Em segundo lugar, o tratamento está de acordo com os princípios do RGPD?
3. Defina o tom desde o início
Todas as empresas seguem a liderança daqueles que estão na alta administração. O conselho e a equipe executiva devem apoiar e defender abertamente, por meio de palavras e ações, uma forte cultura de privacidade de dados em toda a organização.
4. Implemente registros e processos detalhados
A responsabilidade é um dos princípios gerais do GDPR. O artigo 30.º do Regulamento exige a manutenção de registos precisos como parte de uma cultura de privacidade eficaz. As empresas também obtêm benefícios significativos de produtividade e eficiência ao terem processos claros em vigor, com antecedência, para aspectos como solicitações de acesso de titulares e relatórios de violação de dados.
5. Compreender os requisitos de conformidade mais elevados para dados infantis e de categorias especiais
Os profissionais de marketing precisam estar atentos aos requisitos adicionais de conformidade quando se trata de dados de menores e também a uma série de dados de categorias especiais identificados no GDPR.
Conclusão
A proteção de dados evoluiu rapidamente nos últimos anos. A introdução do RGPD em 2018 gerou uma maior consciencialização dos consumidores e sanções mais elevadas para as empresas que não o cumprissem. Foi também o catalisador de uma onda de legislação semelhante a nível internacional em países como a China, Singapura e África do Sul. Este ritmo de mudança e a complexidade crescente que a acompanha significam que é crucial que os profissionais de marketing e as suas empresas estabeleçam uma cultura de proteção de dados eficaz.
As novas tecnologias com utilização intensiva de dados, como a IA, apenas reforçam este requisito. Ao concentrarem-se em acertar os princípios básicos, com formação regular sobre os principais aspectos do Regulamento, processos claros e manutenção de registos, e apoio do topo da organização, os profissionais de marketing e as suas equipas estão bem posicionados para garantir que permanecem em conformidade.
Notas
* A decisão de adequação da UE, acordada em 2021, afirma essencialmente que o Reino Unido opera um ambiente de proteção de dados semelhante ao da UE. A decisão deverá ser revista após quatro anos e poderá ser comprometida se se considerar que o Reino Unido se desviou do nível de proteção de dados atualmente em vigor.
** Considerando 71, GDPR
*** Quando incorporadas a um contrato, as SCCs podem fornecer conformidade com as obrigações de transferência de dados do GDPR.
**** A Lei de Proteção de Dados e Informações Digitais (Nº 2).