Estamos analisando o novo padrão global de privacidade de dados?

Michael Morgan, da McDermott Will & Emery, conversa com Vivienne Artz, da Thomson Reuters, sobre a possibilidade de o GDPR ser uma exportação global.

Como líder da prática global de privacidade e segurança cibernética do seu escritório de advocacia, Michael Morgan prestou consultoria a clientes em incidentes complexos de violação de dados envolvendo mais de 50 milhões de registros e afetando pessoas em mais de 100 países. Sua lista de clientes abrange diversos setores, incluindo serviços financeiros, automotivo, telecomunicações, saúde, seguros e big data.

A Diretora de Privacidade da Thomson Reuters, Vivienne Artz, reuniu-se com Michael Morgan, sócio da firma de advocacia internacional McDermott Will & Emery, para discutir as implicações de longo alcance do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia e o que ele significa, em termos práticos, agora e no futuro, para empresas em todo o mundo.

 

A entrevista abaixo foi editada para fins de tamanho e clareza. Clique aqui para ouvir a conversa completa (em inglês).

 

VIVIENNE ARTZ: Na sua opinião, quais são as maiores questões provenientes do GDPR para as empresas globais que você está aconselhando?

MICHAEL MORGAN: Para muitas empresas dos EUA, o desafio tem sido que — ao contrário de suas contrapartes na UE — elas não têm uma experiência considerável em trabalhar com a Diretiva de Proteção de Dados. As grandes empresas podem ter profissionais de privacidade inteligentes e experientes que foram expostos de maneira geral aos princípios de proteção de dados europeus, mas as iniciativas de cumprimento do GDPR exigiam um profundo entendimento dessas questões. Isso forçou muitas grandes empresas norte-americanas a investigar as questões de uma maneira que não haviam feito anteriormente.

Apenas para dar um exemplo, o mapeamento de dados é algo que muitas organizações dos EUA tinham em suas listas de tarefas, mesmo antes do GDPR. Com o GDPR, atualmente ele se torna uma parte essencial do processo de compliance. As organizações tiveram que realmente ampliar seus conhecimentos e capacidades em questões de proteção de dados da Europa à luz do GDPR.

ARTZ: Qual é o desafio para as organizações dos EUA coordenarem um número crescente de obrigações de comunicação de violações quando você tem 50 normas diferentes nos EUA, bem como a notificação de violação de 72 horas na UE?

MORGAN: Esse é um desafio, mas aparentemente está indo razoavelmente bem. As organizações dos EUA estão sujeitas a requisitos de notificação de violações há muitos anos. Certamente, a exigência de notificação rápida representará um desafio nas fases iniciais de respostas a incidentes. O prazo de 72 horas representa um gatilho rápido. Portanto, as organizações terão de tomar uma decisão de notificação em um estágio muito inicial de uma resposta a um incidente, quando houver muita ansiedade, uma carga de trabalho pesada e, muitas vezes, incerteza considerável sobre os fatos. Isso será algo inconveniente e apresentará um desafio em muitos casos. No entanto, no final do dia, conheço muitas organizações que estão razoavelmente bem preparadas para esta situação.

Muitas vezes, sua capacidade de cumprimento dependerá do seu nível de efetividade em executar os fundamentos da resposta a incidentes, que são bem compreendidos neste momento. Por exemplo, sua preparação para uma resposta a incidentes precisa ser completa e adaptada aos tipos de incidentes que são mais prováveis e mais desafiadores. Se você se preparou bem, então refletiu sobre como vai tomar uma decisão de notificação em uma fase inicial do processo de resposta.

O requisito de notificação rápida apresentará um desafio específico para as empresas europeias, pois a maioria delas está enfrentando os requisitos de notificação pela primeira vez. Essas empresas levarão algum tempo para se acostumar.

ARTZ: Acho que uma das analogias que usei no passado é que o GDPR (ou a privacidade na Europa) é parecido com um vírus que se liga aos dados e, para onde quer que os dados forem, ele os segue. Você acha que o GDPR está levando as empresas a criar padrões muito mais altos em jurisdições nas quais isso não é necessário para obter consistência, ou considera que as empresas estão conseguindo separar as jurisdições, de maneira que isso só se aplique aos dados europeus e não aos demais? Porque, caso contrário, existe uma possibilidade real de que o GDPR seja uma exportação global.

MORGAN: O GDPR é uma exportação global, e você está certo ao mencionar que algumas empresas estão optando por adotar políticas globais impulsionadas pelos princípios de proteção de dados europeus, pois acham muito difícil tentar acompanhar os desenvolvimentos globais e manter práticas diferentes para a Europa. Mas eu não iria tão longe a ponto de dizer que a maioria das empresas adotará os padrões europeus globalmente por padrão. Em vez disso, elas estão analisando o que faz mais sentido para a sua empresa, considerando a variedade de considerações, incluindo o escopo de suas operações globais e a base de clientes. Se uma empresa tiver acordos específicos e localizados, como por exemplo relacionamentos com fornecedores locais, ela normalmente não desejaria assumir uma relação contratual que é ditada pelos altos padrões europeus.

Dito isto, muitas organizações estão analisando esse cenário e se preocupando se podem permanecer anuentes se tentarem rastrear os requisitos em mudança em todo o mundo e modificar suas práticas somente conforme exigido pelas leis de determinadas regiões ou nações.

Michael Morgan, sócio do escritório de advocacia internacional McDermott Will & Emery, e líder da prática global de privacidade e segurança cibernética da empresa.

ARTZ: Vamos passar para a Internet das Coisas (IoT), que está abrindo enormes oportunidades para automatizar, personalizar e conectar as pessoas. Vimos muito recentemente sobre os riscos da segurança cibernética em relação à Internet das Coisas. O que você acha dos desafios de privacidade para a Internet das Coisas daqui para frente?

MORGAN: Os desafios são consideráveis. Uma questão muito importante é como você configura os dispositivos para que eles possam respeitar as preferências de privacidade dos indivíduos e permitir que essas pessoas exerçam uma escolha significativa. Os dispositivos de IoT são onipresentes, e muitos consumidores querem que seus dispositivos respeitem suas preferências de privacidade individualizadas. No entanto, os consumidores muitas vezes não têm tempo para gerenciar todos os seus dispositivos e assegurar que eles reflitam suas preferências. Precisamos criar alguns atalhos para gerenciar as preferências de privacidade em todos os dispositivos.

Esse é um problema com muitas plataformas e mídias, mas há desafios específicos que surgem da própria natureza dos dispositivos de IoT. Esses dispositivos tendem a coletar dados e interagir com o ambiente de uma maneira nova e diferente. Eles observam o ambiente de maneiras que potencialmente podem implicar direitos de terceiros. Se você estiver em uma configuração privada, isso não significa que o dispositivo de IoT não esteja coletando dados. Há situações nas quais terceiros podem potencialmente se opor se considerarem que um dispositivo de IoT estava escutando-os ou observando-os.

Da mesma forma, aplicativos avançados, como o de veículos autônomos, dependem muito de dispositivos sensoriais, que levantam informações sobre o ambiente, incluindo terceiros nesse ambiente. Novamente, esses dispositivos potencialmente podem implicar problemas de privacidade, pois eles geralmente não são programados para tomar decisões sobre o que é socialmente apropriado registrar.

Muitos desses produtos de IoT são implementados globalmente. Isso exige que as empresas enfrentem a questão de como abordarão os problemas de privacidade em jurisdições em todo o mundo, o que inclui os requisitos legais e regulamentares referentes à privacidade e proteção de dados, além das questões culturais. Falamos anteriormente sobre a possibilidade de usar os padrões da UE como um ponto de partida, mas manter-se atualizado sobre todas as regras que mudam em todo o mundo é um desafio para qualquer organização que implemente esses dispositivos globalmente.

ARTZ: Devido à mudança significativa que todo esse esforço de cumprimento do GDPR envolveu, como você vê o cenário de privacidade de dados evoluindo no futuro?

MORGAN: Isso será fascinante. Algumas organizações tentarão encontrar e definir uma “marca d'água” internacional sofisticada e usar esse padrão globalmente, pois consideram que é complicado demais gerenciar as variações regionais ou nacionais em dezenas ou centenas de países. Nos próximos anos, provavelmente veremos uma disseminação contínua de proteções de privacidade de dados e requisitos de segurança cibernética em todo o mundo. O GDPR terá uma grande influência nesse desenvolvimento.

Algumas organizações que estão decidindo seguir os padrões europeus agora podem ser recompensadas, pois pode ser mais fácil administrá-los e aplicá-los globalmente. Outras organizações tomarão uma decisão diferente, que pode ser o caminho certo para elas, dependendo de diversos fatores, incluindo o escopo de suas operações internacionais, a disponibilidade de recursos globais de compliance de privacidade e o volume de processamento de dados pessoais.

Com o aumento da regulamentação em todo o mundo, você terá desenvolvimentos como a Lei de Segurança de Redes da China e outros requisitos de localização e privacidade de dados que vão se impor sobre como as grandes empresas gerenciam dados globais. Esse será um momento muito dinâmico nos próximos cinco anos. Um fator complicador poderá ser a escalada das tensões comerciais, possivelmente prejudicando a cooperação internacional em questões de dados. Isso também pode impedir a globalização de dados e a disseminação de empresas globais. Além disso, essa questão afetaria significativamente a maneira na qual as organizações gerenciam suas redes globais e suas práticas globais de privacidade e segurança cibernética.

Materias Relacionadas

As posições mais altas de gestão estão se transformando junto com as novas tecnologias, para alcançar a inovação é preciso reconhecer o caminho de desenvolvimento, veja os principais paços que os CFOs terão de dar para o crescimento de suas empresas até 2020.

A GDPR entrou em vigor e irá revolucionar a forma com que empresas captam e utilizam dados de cidadãos da União Europeia.

As capacidades da Inteligência Artificial precisam de uma dedicação maior de tempo, estratégia e alocação de recursos para evitar um estilo de operação "entra lixo, sai lixo".