Notícias

A Privacidade e a Proteção de Dados como uma vantagem competitiva

Sessão de continuidade sobre “Privacidade e economia”

A privacidade cria valor? Esta foi uma das perguntas que norteou a sessão de continuidade que teve como oradora convidada Elsa Veloso, CEO e fundadora da DPO Consulting, Knowledge On Data Protection e 36.º PADE. “A Privacidade e a Economia: Como se Orientar na Selva Digital?” teve lugar na AESE, em Lisboa, a 22 de janeiro de 2018.

Numa entrevista concedida à Escola, Elsa Veloso detalhou alguns dos tópicos desenvolvidos com os Alumni, em sala.  

Como pode a privacidade criar valor para as pessoas e empresas?
EV: “As pessoas sentindo que os seus dados pessoais só serão usados de modo legal e para os fins que foram obtidos, sentem os seus direitos protegidos e incentivam a circulação de informação crítica para a criação de valor.
O Futuro Digital da Europa tem de ser construído com base na confiança dos cidadãos.
Com o Regulamento Geral de Proteção de Dados (RGPD), os titulares dos dados pessoais têm a garantia de poderem controlar melhor a sua informação pessoal. O RGPD vem dar a oportunidade às pessoas, titulares de dados pessoais, de fruírem de todos os serviços e oportunidades proporcionadas pelo mercado único digital. Na minha opinião, devemos ver o RGPD mais como uma oportunidade reforçada de defesa da privacidade de cada um e respetivos dados pessoais, do que um entrave à Economia.
A Privacidade e a Proteção de Dados devem ser encaradas como uma vantagem competitiva e uma forma de criação de valor para as empresas, a vários níveis, ao nível da Inovação, dos Clientes, Financeiro e Reputacional.
Ao Nível da Inovação, as empresas que estejam a cumprir, vão poder transmitir confiança acrescida a potenciais clientes. Estes podem confiar que os produtos ou serviços estão conformes e foram concebidos tendo a proteção de dados pessoais como um dos objetivos. Ao Nível dos Clientes, as empresas vão ter a capacidade de demonstrar que as suas organizações controlam plenamente os dados pessoais, dando garantias acrescidas em face de usos ilícitos, faltas de segurança ou inexistência de políticas de privacidade. Ao Nível Financeiro, as empresas vão conseguir reduzir os riscos financeiros resultantes de eventuais aplicações de multas que neste Regulamento são especialmente impactantes, podendo ascender a €20 000 000 (vinte milhões de euros) nos casos mais graves, ou a 4 % do volume de negócios global do ano anterior. Ao Nível Reputacional, a reputação das marcas que tanto tempo, recursos e empenho levam a construir, pode ser seriamente abalada publicamente em casos como fugas de dados, utilizações negligentes ou dolosas, notícias e denúncias por parte dos clientes. Cumprindo o RGPD, a reputação das marcas sairá reforçada, tornando-se uma mais-valia com a consequente valorização dos ativos.”

Quais as implicações do Novo Regulamento Geral de Proteção de Dados, na competitividade das empresas e na vida das pessoas?
EV: “O RGPD vai regular a proteção dos dados pessoais na UE nas próximas décadas e altera significativamente as “regras do jogo” na proteção de dados pessoais e a sua gestão pelas empresas. O novo modelo de regulação impõe que as organizações terão que demonstrar conformidade com o Regulamento: a autorregulação, i.e, a responsabilidade pela interpretação, operacionalização e manutenção do cumprimento com o RGPD, ficando sujeitas à Autoridade de Controlo (que, à partida, continuará a ser a Comissão Nacional de Proteção de Dados, mas com uma significativa alteração ao nível da estrutura interna e organizativa). As empresas terão ainda a obrigatoriedade de reporte à Autoridade de Controlo de quaisquer incidentes relativos ao comprometimento de dados pessoais e, em certas condições, aos próprios titulares afetados. Este facto aumenta significativamente a probabilidade de exposição mediática negativa das empresas, com o correspondente aumento do risco reputacional.
Por outro lado, destaca-se o alargamento do conceito de dados pessoais, que confere mais direitos aos cidadãos. O RGPD passa a incluir quaisquer dados suscetíveis de identificar, mesmo que de forma indireta, um determinado indivíduo (Endereços IP; dados biométricos, como as impressões digitais, os dados obtidos através de análise de retina, entre outros, dados de geolocalização; identificadores de dispositivos móveis; cookies). Percebe-se que esta solução protege os cidadãos, mas que poderá ter um forte impacto no comércio eletrónico.
Outra importante alteração é o reforço dos direitos dos titulares dos dados pessoais, cuja implementação pode exigir alterações ao nível dos processos de negócio e dos sistemas de informação das organizações.”

Quais as diferenças da proteção de dados na Europa e nos EUA e as suas consequências?
EV: “Para a compreensão adequada do direito europeu de proteção dos dados pessoais, é imprescindível tomar como ponto de partida o facto de que as normas que regulam o tratamento de informações pessoais por meios automatizados ou não, serem uma questão, para os Estados membros do Conselho da Europa e da União Europeia, de tutela de direitos e liberdades fundamentais. A Convenção Europeia de Direitos do Homem – CEDH, de 1950, prevê o “direito ao respeito da sua vida privada e familiar, do seu domicílio e da sua correspondência” (art. 8.º, 1). O direito à privacidade é aí concebido como liberdade negativa,devido aos avanços da tecnologia da informação e ao aparecimento das bases de dados informatizadas.
Com o RGPD, avançou-se com uma regulação que reforça o privacy by design e o privacy by default. Pretende-se que a tecnologia e a cultura da privacidade sejam incorporadas na legislação de proteção de dados, que é cada vez mais exigente para as empresas.
Nos EUA, ao contrário da Europa, a tutela da privacidade no sentido de proteção dos dados pessoais não configura um direito fundamental. A abordagem norte-americana tem um aspeto mais prático, mais voltado para a solução e proteção de situações específicas, que culminam em legislações separadas para cada uma delas (v.g, o Children’s Online Privacy Protection Act – COPPA, ou o Health Insurance Portability and Accountability Act – HIPAA). Esta ideia cultural de privacidade encontra-se bem presente aquando da eliminação, a 23.3.2017, pelo Senado dos Estados Unidos da América, dos regulamentos de proteção de privacidade na Internet, que os fornecedores de serviços de Internet tinham de garantir. A lei foi criada durante a presidência de Obama e obrigava os fornecedores de Internet a garantirem o consentimento dos utilizadores para poderem recolher informação dos comportamentos dos utilizadores, nomeadamente geolocalização, informação financeira ou de saúde, histórico de navegação nos browsers para efeitos de publicidade e marketing, ou até informação sobre o agregado familiar. A 14.12.2017, a FCC, autoridade reguladora para as comunicações norte-americana, votou a favor do fim da neutralidade da rede, com o propósito de “promover a livre concorrência no mercado”. Assim que esta alteração entrar em vigor (daqui a cerca de dois meses), as operadoras de telecomunicações norte-americanas passam a poder vender pacotes de Internet que permitem o acesso a apenas alguns conteúdos da rede, e não a todos, como tem sido norma até ao momento.
Com este intuito de proteger direitos individuais e proporcionar segurança jurídica às empresas, a 12 de julho de 2016, a Comissão Europeia criou o Escudo de Proteção da Privacidade UE-EUA (Privacy Shield, em inglês). Este novo quadro protege os direitos fundamentais de todas as pessoas na UE cujos dados pessoais são transferidos para os Estados Unidos e proporciona segurança jurídica para as empresas que recorrem às transferências transatlânticas de dados.”

Quais as regras a ter em conta para gerir o limite entre a privacidade e a exposição pública dos cidadãos, quando as fronteiras se atenuaram significativamente com o uso da Internet e das redes sociais?
EV: “A privacidade é a vontade de controlar a exposição e a disponibilidade de informações acerca de si mesmo. Relaciona-se também, com a capacidade de existir na sociedade de forma anónima (inclusivamente, pelo disfarce de um pseudónimo ou por uma identidade falsa). Com o exponencial desenvolvimento das Tecnologias da Informação e Comunicação, cresceram também as ameaças à nossa privacidade, nomeadamente nas redes sociais (extremismos, tráfico de pessoas, Darknet), através da definição de perfis comportamentais online e do RFID (Radio-Frequency Identification), um método de identificação automática através de sinais de rádio, recuperando e armazenando dados remotamente.
Perante estas ameaças, é importante que os cidadãos tenham a noção de que os seus dados estão a ser tratados e exerçam os seus direitos. Direitos estes que se encontram reforçados no novo RGPD, como, por exemplo, o direito de informação e de acesso, de apagamento, limitação do tratamento e portabilidade. Outro importante ato que nos define nesta ténue fronteira, é o uso que fazemos do nosso consentimento perante determinadas solicitações para a definição de perfis nos meios de comunicação. O consentimento do titular dos dados deve ser uma “ação positiva e explícita” no momento da recolha dos seus dados.
O mesmo se aplica às organizações. O posicionamento competitivo no mercado passa também pela confiança dos clientes e dos fornecedores. Além da gestão da relação com os consumidores, as novas regras obrigarão a um trabalho atento nas áreas jurídica, recursos humanos, informática e de compliance. E uma das medidas com mais impacto nas empresas é a dos contratos de subcontratação de serviços realizados no âmbito de tratamentos de dados pessoais, onde se deve “verificar se contêm todos os elementos exigidos pelo regulamento”. É necessário rever procedimentos internos, analisar o que há de novo e pôr em prática todas as medidas necessárias para o preenchimento das lacunas identificadas.
Com um bom plano para implementação do RGPD, que permita garantir políticas de segurança e proteção de dados mais eficientes, consegue-se transformar esta oportunidade em vantagens de negócio e garantir a confiança dos cidadãos.”

O que distingue as figuras públicas que sabem proteger a sua privacidade das outras que veem a sua vida devassada?
EV: “Vou ser breve nesta resposta, que proporciona verdadeiramente uma conferência só por si própria. As figuras públicas, pela sua relevância e impacto social e político, tornam-se atores fundamentais na sociedade civil e, pelo seu cariz particular, dão ao público em geral o direito a obter informação acerca da sua vida, o Direito à Informação. Este Direito distende-se ou contrai-se atendendo ao Princípio da Proporcionalidade. O Princípio da Proporcionalidade aplica-se, quando estão em causa direitos de personalidade com equivalente proteção jurídica.
Sendo que o grau de proteção da privacidade que as figuras públicas escolhem, pela sua atuação social, é importante no dirimir do que é efetivamente a sua esfera privada. Pelo facto de revelarem por sua iniciativa determinados dados pessoais na esfera pública, por exemplo, nas redes sociais, não podem, por exemplo, proibir a divulgação dessa informação.”