A Internet criou mercados verdadeiramente globais para empresas que antes eram apenas locais e que podem ter lutado para alcançar um público grande o suficiente para serem lucrativas. O acesso a qualquer site, de praticamente qualquer lugar do mundo, e a existência de empresas que oferecem aos clientes a possibilidade de interagir com serviços ou produtos oferecidos em locais distantes, revolucionou as oportunidades de negócios.
Esse aumento de oportunidade traz muitos desafios: por exemplo, opções de pagamento e regulamentos tributários, que podem diferir de país para país. Felizmente, as empresas podem usar uma série de fornecedores externos e confiar neles para que proporcionem aos usuários sistemas de pagamento e a experiência necessária para o comércio eletrônico, ao mesmo tempo em que cumprem as leis e regulamentos locais. Dessa forma, o empreendedor pode se concentrar na entrega de bens ou serviços aos clientes. Isso permite que as pequenas empresas também possam comercializar seus produtos e/ou serviços em todo o mundo.
Conduzir negócios on-line normalmente requer a coleta de dados sobre clientes e visitantes de um site. Essas informações costumam ser usadas para a análise de páginas, assinaturas de newsletters, segmentação de anúncios ou até mesmo para a assinatura de um serviço ou compra de produto. Dependendo da localização da empresa, e da residência, localização ou cidadania do visitante ou cliente, a empresa pode precisar cumprir a legislação de privacidade de dados. Como consumidor, sou um defensor da necessidade de proteger minhas informações pessoais através de uma legislação sólida, mas as empresas que fazem negócios globais podem estar entrando em um campo minado.
Em fevereiro, fiz uma apresentação no CyberSecCon2020 em Auckland, na Nova Zelândia, sobre as lições aprendidas com os requisitos dos regulamentos de privacidade de dados, como o Regulamento Geral de Proteção de Dados (GDPR) e a Lei de Privacidade do Consumidor da Califórnia (CCPA), diante do projeto de Lei de Privacidade da Nova Zelândia, que atualmente está avançando através do processo legislativo e deve se tornar lei nos próximos meses.
Existem mais de 100 países no mundo que possuem alguma forma de legislação sobre privacidade de dados, variando de limitada a robusta. Além disso, adicione vários países, como os Estados Unidos, que possuem legislação individual para cada estado - algo muito complexo.
Dando um salto de fé
Imagine um cliente fictício: Francisco, um cidadão brasileiro, residente legal da Califórnia e que viaja a negócios com frequência. Francisco decidiu realizar um de seus sonhos: fazer bungee jumping no local em que essa prática nasceu: a Nova Zelândia. Ele irá viajar da Califórnia para a França a negócios e depois para a Nova Zelândia, mas enquanto ainda está na França ele resolve fazer uma reserva para realizar bungee jumping com uma empresa sediada na Nova Zelândia.
- Para o propósito do meu exemplo, imagine que 50.000 residentes da Califórnia por ano usam os serviços da empresa de bungee jumping na Nova Zelândia. Como residente da Califórnia, Francisco é protegido pela CCPA, já que a legislação se aplica aos residentes do estado, independentemente de onde eles estejam ou das empresas com as quais negociam.
- A transação foi iniciada na França, um país que faz parte da União Europeia (UE). A legislação da GDPR da UE abrange qualquer pessoa localizada em um país da UE no momento da coleta de informações pessoais.
- O site no qual Francisco realiza a transação está localizado na Nova Zelândia, onde a legislação proposta se aplica às agências (empresas) localizadas neste país.
Qual legislação a empresa deve cumprir na Nova Zelândia? No ano passado, quando perguntei a alguém da Comissão Europeia sobre uma hipotética situação semelhante, eles responderam "essa é uma ótima pergunta".
A confusão provavelmente também existe se considerarmos a perspectiva de Francisco. Como cidadão brasileiro, ele pode pensar que a Lei Geral de Proteção de Dados (LGPD) do Brasil oferece proteção ou que, como residente na Califórnia, a CCPA garante a proteção de seus dados.
Vamos estender o cenário hipotético: Francisco volta para casa, na Califórnia, e solicita que a empresa elimine suas informações pessoais, e eles se recusam ou não confirmam a solicitação. Para qual regulador ele deve fazer uma reclamação? É altamente provável que os consumidores não entendam seus direitos quando as empresas estão em países onde não são residentes ou até mesmo podem considerar que o processo é muito complicado quando uma empresa que mantém seus dados pessoais está em outro país.
Cada um dos regulamentos mencionados no meu exemplo tem requisitos diferentes: segundo a GDPR, os consumidores podem optar por permitir a coleta de dados, enquanto a CCPA permite que os consumidores possam optar por não dar o consentimento. A GDPR estabelece que os dados devem ser criptografados; a CCPA e a proposta de lei de privacidade da Nova Zelândia estabelecem que medidas razoáveis de segurança devem ser tomadas, mas não especificam mais detalhes. As diferenças nos requisitos são numerosas e no caso de uma brecha de dados: quem deve ser notificado? Vários reguladores podem aplicar multas em diferentes países? Um dos sistemas jurídicos será aplicado ou haverá vários? Pode haver um precedente legal para o qual a regulamentação tenha precedência, tudo isso não está claro para mim, já que não sou advogado.
Confuso? Provavelmente sim.
O empreendedor que mencionamos anteriormente precisa de clareza para que a privacidade dos dados não impeça ninguém de fazer negócios em qualquer lugar. E os consumidores devem poder visitar qualquer empresa on-line com a garantia de que seus dados serão protegidos com responsabilidade, independentemente de onde estejam localizados, mesmo em países sem uma legislação específica.
Uma regra que unifique todos os regulamentos
A Internet é um mercado global e existem alguns acordos de privacidade de dados que tentam fornecer uma linha de base. Estes acordos são limitados na participação e no nível regional. Uma lista desses acordos pode ser encontrada no site da Electronic Frontier Foundation.
Será que está na hora de estabelecer um conjunto comum de regras de privacidade de dados, independentemente do local de residência, cidadania ou localização? Existem precedentes para essas regras. Por exemplo, 123 países assinaram em 1994 o Acordo de Marraquexe da Organização Mundial do Comércio (OMC) que regula o comércio internacional entre nações. Se considerarmos que os dados agora também são um item de commodity que tem valor e são negociados, talvez eles possam ser incluídos em um contrato padrão, da mesma forma que a OMC regula as regras comerciais. Um padrão verdadeiramente internacional precisaria adotar princípios básicos e os países sempre poderiam complementá-los com suas próprias emendas, da mesma forma que os países adotam acordos comerciais entre si, além do atual padrão da OMC.
Estou usando a OMC como exemplo, mas existem inúmeras organizações globais nas quais um contrato centralizado de privacidade de dados pode residir. Provavelmente, o elemento mais importante de qualquer regulamento internacional amplamente aceito seria definir qual regulador é responsável e quando, esclarecendo se um cidadão, residente ou sua localização tem prioridade ou se uma empresa é responsável pela localização ou pelo lugar onde foi realizada a transação.
No CyberSecCon2020, todos os participantes com quem conversei estavam claramente envolvidos na preparação da Projeto de Lei de Privacidade da Nova Zelândia. Claro, era um evento com profissionais de segurança. No entanto, muitas empresas podem pretender cumprir todas essas regulamentações, já que desejam vender e realizar transações globais, mas também podem estar confusas sobre o que devem cumprir.
Existem princípios básicos para a privacidade de dados que são comuns na maioria dos regulamentos e leis:
- Os motivos pelos quais as informações pessoais são coletadas, onde são coletadas e como são coletadas.
- Como as informações pessoais são protegidas contra acesso não autorizado e como os dados são armazenados.
- O direito de uma pessoa de saber quais informações pessoais são coletadas.
- A capacidade de solicitar a correção de dados imprecisos e o direito de solicitar que os dados sejam excluídos.
- Limitações de como as empresas podem usar as informações coletadas.
Infelizmente, os mesmos princípios básicos não são tão claros quando se trata de requisitos de segurança, pois algumas leis detalham requisitos específicos e outras falam de segurança "razoável". Antes da entrada em vigor da CCPA em janeiro, fui co-autor de um white paper que fornece informações sobre o que poderia ser considerado um requisito essencial de segurança. Eu recomendo que qualquer empresa que colete ou armazene dados siga os princípios listados no capítulo ESET’s guide to reasonable security desse white paper.