Violação do GDPR da Experian deixa empresas lutando para entender ‘interesse legítimo’

Views: 206
0 0
Read Time:4 Minute, 4 Second

Um aviso geral de aplicação do Regulamento de Proteção de Dados dos reguladores do Reino Unido poderia deixar a gigante de relatórios de crédito Experian no gancho por até US$ 24 milhões – desconcertante empresas dos EUA e da União Europeia, dizem especialistas jurídicos.

A investigação que levou ao edital encontrou problemas em cada uma das três grandes agências de relatórios de crédito, e na economia de corretagem de dados em geral. Enquanto a Experian, TransUnion e Equifax receberam elogios por trabalharem com reguladores em vários dos problemas aparentemente endêmicos para a indústria, a Experian supostamente não atendeu a todos os seus pedidos.

Um aviso de execução é um aviso de que uma multa virá caso uma empresa não tome medidas. A Experian tem agora nove meses para fazê-lo, aguardando recurso.

A questão-chave sinalizada na aplicação da Experian é aquela que todas as empresas que lidam com dados de corretores precisam considerar ao estabelecer práticas de privacidade de dados.

“Em alto nível, a questão é a transparência. É um dos principais pilares da proteção de dados”, disse Sarah Pearce, advogada do escritório de Paul Hastings em Londres. “Você precisa de uma base legal para cada uso de dados.”

No GDPR, existem várias categorias de formas de obter dados legalmente. As empresas podem obter permissão para armazenar e processar dados, por exemplo. Ou, as empresas podem reivindicar “interesse legítimo”, onde o uso de dados é necessário para fins comerciais que não são vistos como ameaças à privacidade.

O marketing direto via correio é considerado interesse legítimo. Mas, neste caso, o consentimento para usar os dados foi recebido por um corretor que não especificou que os dados seriam vendidos. Isso nega ao comprador (neste caso a Experian) ser capaz de reivindicar o marketing direto como um interesse legítimo.

“Como o consentimento para usar dados foi obtido por um corretor, você está confundindo os usuários”, disse Frederica De Santis, advogada da prática de privacidade e segurança cibernética da Goodwin.

Este aviso de execução abrange correspondência física. De Santis observa que o e-mail marketing é regido por um padrão totalmente diferente que sempre requer consentimento.

Para empresas que usam corretores de dados, a De Santis aconselha primeiro a fazer a due diligence nas práticas de consentimento de uma empresa e não depender apenas de contratos. Ela também sugere seguir orientações do Escritório do Comissário de Informações do Reino Unido para empresas que lidam com corretores de dados.

Empresas do setor de marketing direto dizem que estão fazendo o seu melhor para atender a essas demandas.

“Para que este espaço continue a florescer, a confiança pública é imperativa e, portanto, as empresas devem agir como administradoras responsáveis de dados”, disse John Story, vice-presidente e vice-presidente geral do Acoustic, uma plataforma em nuvem usada para gerenciar dados de marketing direto. Acústico criou um escritório para um diretor de ética de dados, acrescentou.

Muitos oficiais de privacidade aplaudiram o aviso da ICO.

“Precisamos de mais decisões como essa para definir o tom que as pessoas e suas questões de privacidade importam”, disse Alok Ojha, vice-presidente de produtos de segurança, privacidade e conformidade da empresa de gerenciamento de conteúdo em nuvem Box.

O relatório da ICO menciona que todos os três escritórios de relatórios de crédito trabalharam com investigadores para resolver problemas durante a investigação. A TransUnion e a Equifax retiraram produtos e serviços para se tornarem totalmente compatíveis.

O fato de a ICO não precisar emitir avisos à TransUnion ou à Equifax e que nenhuma das empresas está atualmente em risco de ser multada não deve deslizar a atenção das empresas, disse Shane McNamee, diretor de privacidade da empresa de segurança cibernética Avast e ex-regulador da Comissão de Proteção de Dados da Irlanda.

“Acho que o que é mais interessante do que a multa potencial para uma agência de relatórios de crédito é que duas agências de relatórios de crédito fizeram a remediação exigida pelos reguladores e não recebiam avisos de execução”, disse ele.

McNamee disse que, embora muitas empresas possam ver as multas potenciais como um custo de fazer negócios na Europa, elas devem estar cientes de que o verdadeiro poder regulatório vem de sua capacidade de proibir totalmente as práticas comerciais. É sempre mais prudente, portanto, ter tempo para trabalhar com advogados durante o processo de engenharia, em vez de ser forçado a reconstruir do zero depois que um regulador pesa.

Outras estratégias-chave para evitar a aplicação regulatória incluem a contabilização de um cenário de mudança dos requisitos do GDPR, disse Bridget Treacy, a advogada que lidera a prática de privacidade no Reino Unido de Hunton Andrews Kurth.

“As organizações precisam rever seus programas de conformidade com o GDPR de forma contínua”, disse ela. O que poderia ter sido bom quando o GDPR entrou em vigor em 25 de maio de 2018 pode muito bem estar desatualizado agora.”

FONTE: SECURITY MAGAZINE

Previous post Google divulga windows zero-day explorado
Next post A ofuscação do JavaScript se move para e-mails de phishing

Deixe um comentário