A violação do GDPR da Experian deixa as empresas lutando para entender o “interesse legítimo”
Um aviso de aplicação do Regulamento Geral de Proteção de Dados dos reguladores do Reino Unido poderia deixar a gigante de relatórios de crédito Experian à espera de até US $ 24 milhões – desconcertando as empresas dos EUA e da União Europeia, dizem especialistas legais.
A investigação que levou ao aviso encontrou problemas em cada uma das três grandes agências de relatórios de crédito e na economia de corretagem de dados em geral. Embora Experian, TransUnion e Equifax tenham recebido elogios por trabalhar com reguladores em vários dos problemas aparentemente endêmicos para a indústria, a Experian falhou em atender a todos os seus pedidos.
Um aviso de execução é um aviso de que uma multa será aplicada caso a empresa não tome medidas. A Experian agora tem nove meses para fazê-lo, aguardando recurso.
O principal problema sinalizado na aplicação da Experian é aquele que todas as empresas que lidam com dados de corretores precisam considerar ao estabelecer práticas de privacidade de dados.
“Em um nível alto, a questão é transparência. É um dos principais pilares da proteção de dados ”, disse Sarah Pearce, advogada dos escritórios de Paul Hastings em Londres. “Você precisa de uma base legal para cada uso de dados.”
No GDPR, existem várias categorias de maneiras de obter dados legalmente. As empresas podem abrir mão dos usuários para permissão para armazenar e processar dados, por exemplo. Ou as empresas podem alegar “interesse legítimo”, onde o uso de dados é necessário para fins comerciais que não são vistos como ameaças à privacidade.
O marketing direto por correspondência é considerado de interesse legítimo. Mas, neste caso, o consentimento para usar os dados foi recebido por um corretor que não especificou que os dados seriam vendidos. Isso impede o comprador (neste caso, a Experian) de reivindicar o marketing direto como um interesse legítimo.
“Como o consentimento para o uso de dados foi obtido por um corretor, você está confundindo os usuários”, disse Frederica De Santis, uma advogada da prática de privacidade e segurança cibernética da Goodwin.
Este aviso de execução cobre o correio físico. De Santis observa que o marketing por e-mail é regido por um padrão totalmente diferente que sempre requer consentimento.
Para empresas que usam corretores de dados, De Santis aconselha primeiro a fazer a devida diligência nas práticas de consentimento da empresa e não depender apenas de contratos. Ela também sugere seguir as orientações do Information Commissioner’s Office do Reino Unido para empresas que lidam com corretores de dados.
As empresas do setor de marketing direto dizem que estão fazendo o melhor para atender a essas demandas.
“Para que esse espaço continue a florescer, a confiança do público é imprescindível e, portanto, as empresas devem agir como administradoras responsáveis dos dados”, disse John Story, vice-presidente e conselho geral adjunto da Acoustic, uma plataforma em nuvem usada para gerenciar dados de marketing direto. A Acoustic criou um escritório para um diretor de ética de dados, acrescentou.
Muitos oficiais de privacidade aplaudiram o aviso da OIC.
“Precisamos de mais regras como essa para definir o tom que as pessoas e sua privacidade são importantes”, disse Alok Ojha, vice-presidente de segurança, privacidade e produtos de conformidade da empresa de gerenciamento de conteúdo em nuvem Box.
O relatório da OIC menciona que todas as três agências de relatórios de crédito trabalharam com os investigadores para resolver os problemas durante a investigação. TransUnion e Equifax retiraram produtos e serviços para se tornarem totalmente compatíveis.
O fato de que a ICO não precisou emitir avisos para TransUnion ou Equifax e que nenhuma das empresas está atualmente em risco de ser multada não deve deslizar a atenção das empresas, disse Shane McNamee, diretor de privacidade da empresa de segurança cibernética Avast e um ex-regulador da Comissão de Proteção de Dados da Irlanda.
“Acho que o mais interessante do que a multa potencial para uma agência de relatórios de crédito é que duas agências de relatórios de crédito fizeram a remediação exigida pelos reguladores e não receberam notificações de execução”, disse ele.
McNamee disse que embora muitas empresas possam ver as multas potenciais como um custo para fazer negócios na Europa, elas devem estar cientes de que o verdadeiro poder regulatório vem de sua capacidade de proibir totalmente as práticas comerciais. É sempre mais prudente, portanto, dedicar um tempo para trabalhar com os advogados durante o processo de engenharia, em vez de ser forçado a reconstruir do zero depois que um regulador pesa.
Outras estratégias importantes para evitar a aplicação de regulamentações incluem a contabilidade para um cenário de mudança de requisitos GDPR, disse Bridget Treacy, a advogada que chefia a prática de privacidade do Reino Unido de Hunton Andrews Kurth.
“As organizações precisam revisar seus programas de conformidade com o GDPR continuamente”, disse ela. “O que poderia estar bem quando o GDPR entrou em vigor em 25 de maio de 2018 pode estar desatualizado agora.”