Na Europa, o ano de 2020 está se tornando um ano crucial para a proteção de dados. O mecanismo de fiscalização das autoridades de proteção de dados está esquentando cada vez mais. Na Itália, por exemplo, o DPA italiano, o Garante, começou o ano com algumas multas muito importantes. As disposições nº 231 e nº 232, emitidas em 11 de dezembro de 2019 e publicadas em 17 de janeiro de 2020, contra uma das principais empresas de petróleo do mundo. Assim como disposição nº 7 emitida em 15 de janeiro de 2020, contra uma operadora de telecomunicações de alto nível. São exemplos que mostram o órgão de fiscalização italiano impondo penalidades de 11,5 e 27,8 milhões de euros, respectivamente. Essas são multas administrativas recorde, não apenas para a Itália, mas também estão entre as mais altas da Europa até o momento.
Essas decisões não deixam dúvidas de qual abordagem o Garante e as outras autoridades nacionais pretendem adotar nesta nova era de proteção de dados pessoais. A aplicação da lei não é um jogo fácil e as sanções não são o objetivo do Regulamento Geral de Proteção de Dados da UE. O principal escopo do GDPR é promover a prestação de contas e melhorar a conscientização sobre a questão do processamento de dados pessoais em qualquer nível. Essas disposições representam uma oportunidade preciosa para os profissionais se perguntarem sobre o status quo da questão. Lembrando a importância de considerar cada posição final como um mero ponto de partida.
Sobre consentimento para marketing
O DPA italiano destaca a centralidade do consentimento como base legal para a realização de comunicações comerciais. O consentimento dos titulares dos dados é a única opção adequada para buscar fins de marketing e telemarketing, sem prejuízo do regime de exclusão, conforme regulamentado pela legislação nacional. O consentimento também deve ser gratuito, pois não pode ser vinculado pelo fornecimento de programas que fornecem um serviço ao titular dos dados (ou seja, a assinatura de um programa de fidelidade para obter descontos). Ao mesmo tempo, as comunicações comerciais realizadas sob avisos de serviço são consideradas ilegais. Nas disposições, o Garante também se concentra na divulgação de dados a terceiros. Em outras palavras, foi categoricamente excluído como um “efeito cascata” do consentimento que permitiria qualquer transferência subsequente de dados entre outros controladores de dados não legitimados. Finalmente, o Garante observou a importância de manter o consentimento separado de acordo com os diferentes propósitos perseguidos (por exemplo, um único consentimento para marketing e criação de perfil é ilegal). E esse é outro ponto primordial: a criação de perfil ainda é considerada um propósito diferente de um meio de processamento.
Sobre processadores de dados
O Garante solicita que os controladores de dados verifiquem e monitorem a imparcialidade da conduta dos processadores de dados designados e que comprovem sua conformidade com as leis aplicáveis. Portanto, os controladores de dados precisam demonstrar que forneceram aos call centers scripts e instruções operacionais a serem usadas durante as chamadas.
Os direitos dos titulares dos dados
Vários perfis são considerados nessas disposições em relação à posição dos titulares dos dados. Por exemplo, o responsável pelo tratamento deve poder receber e gerenciar a solicitação do titular dos dados para exercer seus próprios direitos, particularmente seu direito de objetar e consentir a retirada. O controlador de dados também precisa fornecer medidas técnicas apropriadas que garantam uma representação adequada da solicitação do titular dos dados nos bancos de dados da empresa e no gerenciamento de relacionamento com o cliente.
Medidas técnicas e organizacionais
Destaca-se a importância de ter sistemas automatizados que garantam alinhamento constante entre o CRM e a lista para receber objeções às atividades promocionais e, portanto, manter uma atualização em tempo real dos consentimentos no CRM. Portanto, os controladores precisam avaliar as plataformas e ferramentas on-line para identificar e corrigir quaisquer vulnerabilidades nos serviços antes de serem disponibilizadas ao público. Também são feitas observações importantes com referência a 1) o sistema de autenticação de computador dos usuários (as senhas dos usuários dos sites precisam ter mais de oito caracteres, estão sujeitas ao controle automático de qualidade que evita senhas “fracas” e limita o número de tentativas de acessar o site com senhas incorretas para evitar ataques de força bruta); 2) protocolos de rede (a adoção de protocolos de transporte https / hipertexto seguro é necessária para acessar todo o conteúdo do site, e não apenas a página inicial, com base em um certificado digital emitido por uma Autoridade de Certificação reconhecida); e 3) como armazenar senhas de usuários registrados em plataformas online.
O GDPR ainda está vivo?
Não obstante o exposto, cresce um debate sobre a possível falha do GDPR sob o ponto de vista de aplicação. Talvez o mecanismo de balcão único esteja decolando mais devagar do que o esperado; talvez o procedimento de coordenação entre os APDs da UE ainda não seja eficiente e eficaz. O GDPR é uma legislação complexa, abrangente e uniforme, compartilhada entre 28 países da UE. Era esperado e previsto um atraso substancial na aplicação e multa de sanções pesadas em até 4% da rotatividade anual global do controlador de dados. Porém, o sucesso da legislação multinacional, como o GDPR, não é igual à quantidade e qualidade das sanções emitidas. Mas deve ser medido proporcionalmente ao amplo nível de conformidade alcançado em todo o mundo.
Fonte: Rocco Panetta