Nos últimos anos, todos nós ouvimos a frase “dados pessoais”. Em maior ou menor grau, adequaram os seus processos de negócio aos requisitos da legislação nesta área.
O número de inspeções de Roskomnadzor que revelaram violações nesta área este ano busca persistentemente 100%. Estatísticas do Gabinete Roskomnadzor para o Distrito Federal Central para o primeiro semestre de 1 – 2019 violações em 131 inspeções.
Ao mesmo tempo, a nossa realidade diária são chamadas “frias” de várias organizações com as quais talvez nunca tenhamos lidado. Desde telemóveis em nome de grandes empresas (bancos, seguradoras, etc.). Boletins informativos por SMS que você não pode recusar. Seus números parecem estar apenas crescendo.
Manter um equilíbrio entre os interesses empresariais e cumprir os requisitos regulamentares é um verdadeiro desafio para empresas de qualquer dimensão. A lei propõe avaliar a lista e a suficiência das medidas aplicadas de forma independente. Do lado positivo, os riscos podem ser reduzidos evitando as violações mais comuns. Além disso, isto não exigirá custos adicionais nem medidas tecnicamente complexas.
E assim, o primeiro lugar da lista é a violação dos termos de processamento de dados pessoais. Exemplos: lista incompleta de finalidades de tratamento, categorias de sujeitos, bem como terceiros a quem é concedido acesso aos dados.
Uma verdade que terá de ser aceite: é impossível dar um consentimento padrão para todas as situações - nem para funcionários, nem para clientes, nem para utilizadores de um produto de software. Embora eu realmente queira.
Cada vez que você lançar uma nova campanha de marketing ou alterar seu sistema de vendas, gaste 5 minutos e verifique se o consentimento contém:
1) nome e endereço da empresa operadora,
2) finalidades de processamento,
3) lista de dados,
4) uma lista de ações com dados e métodos para processá-los,
5) transferência transfronteiriça e/ou transferência para terceiros (indicando países e terceiros específicos),
6) o período de validade do consentimento e
7) método de sua retirada.
Um modelo raro da Internet pode se orgulhar de atender a todos os critérios, então você pode pegá-lo emprestado, mas com cautela e acréscimos.
Os auditores obtiveram acesso a documentos contendo dados pessoais? — É necessário consentimento indicando a finalidade (auditoria), nome e endereço da empresa do auditor. A empresa que entrega produtos da loja online mudou? — O consentimento obtido ao registar um cliente no site já não é suficiente. A opção com link para lista de parceiros não proporcionará 100% de tranquilidade, mas é melhor que nada.
O tratamento de dados dos utilizadores finais do software merece destaque especial. Quando você deseja conhecer o seu usuário da melhor forma possível e enviar-lhe ofertas atuais. Quando os dados são coletados e armazenados, embora uma chave de licença seja suficiente para registrar um produto de software. Poderemos utilizar tais dados com o consentimento do titular, mas não vinculamos a possibilidade de prestação do serviço principal/venda de produto a mailings de marketing obrigatórios. Não se trata apenas de dados pessoais, mas também de legislação publicitária.
Outras condições não são menos difíceis de satisfazer. A lista de objetivos não deve ser redundante. O princípio é um objetivo – um acordo. Ou seja, não será possível obter consentimento para processar os dados do currículo do candidato e incluí-lo na reserva de pessoal com apenas uma assinatura. Como compromisso, exemplos viáveis parecem ser aqueles em que, num documento, cada objetivo é destacado num parágrafo separado e é dada ao sujeito a oportunidade de inserir “concordo”/“discordo” em cada caso.
E finalmente, o que são dados pessoais? Como se pode determinar, a partir da definição vaga dada na lei (“qualquer informação relativa a uma pessoa singular directa ou indirectamente identificada ou identificável”), se um caso específico se enquadra no seu âmbito? Roskomnadzor prometeu aprovar a matriz de dados pessoais até o final de 2018. O prazo foi adiado para o final de 2019. Estamos aguardando.
O que mais estamos esperando:
- Projeto de Lei nº 04/13/09-19/00095069. Simplificação do formulário de consentimento. Legalização do termo de consentimento eletrônico (tick, SMS, etc.). Hoje, a prática é dupla: o tribunal pode aplicar as regras sobre o consentimento em papel, por analogia, ou reconhecer o consentimento eletrónico como impróprio.
- Projeto de Lei nº 729516-7. Aumento de multas. Por violação repetida do requisito de localização (coleta inicial de dados em um banco de dados no território da Federação Russa) – 18 milhões de rublos. Mudanças no procedimento de cálculo de multas. Multiplicaremos o valor da multa pelo número de sujeitos cujo consentimento foi considerado impróprio?
E os titulares de dados pessoais aguardam ligações e correspondências intrusivas que não podem ser interrompidas. Não estou interessado em um empréstimo, a publicidade contextual interfere na visualização do conteúdo e lembro que o seguro do meu carro está sendo baixado.
Fonte: habr.com