GDPR após 4 meses, isso importa? TL: DR sim.

Nos últimos meses, semanas ou dias (dependendo do nível de procrastinação) que antecederam a data de aplicação do GDPR em 25 de maio, houve uma enxurrada de atividade e preparação nos mundos da tecnologia e do marketing.

Políticas de privacidade foram alteradas e publicadas, listas de e-mails foram reativadas e algumas empresas retiraram todos os seus produtos da UE temendo as penalidades que o GDPR poderia impor (multas de até 20 milhões de euros ou 4% da receita global anual, o que for superior ).

Houve quem dissesse que seria como o Y2K, uma enxurrada de trabalho que inevitavelmente não levaria a nada, e outros que alertaram que esse novo regime mudaria os mundos do marketing e da privacidade para sempre.

Estamos há quatro meses, quem estava certo entre esses dois pontos de vista?

Na minha opinião, parece que a cada dia que passa os mundos da privacidade e do marketing passam por uma mudança significativa e impactante. Minhas razões para descer daquele lado da cerca são as seguintes:

1. O GDPR está pegando, nos EUA e globalmente;
2. A execução está chegando;
3. E a preparação teve seus próprios efeitos duradouros

PIB O quê?

Comumente referido por sua sigla, GDPR é o Regulamento Geral de Proteção de Dados da União Europeia. Ele entra em vigor em 25 de maio de 2018. Produzimos bastante informação sobre o novo regulamento, incluindo podcasts, postagens em blogs, e-books e webinars. Assista ao nosso webinar sob demanda sobre conformidade e marketing com GDPR.

Em poucas palavras, GDPR:

• O princípio-chave do GDPR dá aos consumidores o controle de seus dados
• Aplica-se aos mais de 510 milhões de cidadãos da União Europeia de 28 países, bem como a qualquer empresa que faça negócios com eles, independentemente de onde estejam baseados
• Multas de até 4% da receita global total por violações

O fogo da privacidade está se espalhando

Desde que o GDPR foi totalmente implementado, Califórnia, Vermont, Japão, Brasil e Índia estão todos em processo de adoção ou consideração de alguma versão de legislação semelhante. Todos esses esforços são diferentes em escopo e aplicação. O escopo de Vermont é puramente em torno de revendedores de dados. E a lei brasileira é tão ampla quanto a GPDR.

O tema em toda esta legislação: Direitos de Privacidade de Dados. A privacidade dos dados e os direitos do indivíduo é algo que diferentes jurisdições consideram sagrado e não é protegido adequadamente pela indústria.

Esse tipo de regulamentação de privacidade das empresas de tecnologia tem estado marcadamente ausente desde o advento da internet. E eles estão lutando o melhor que podem contra essa onda que está por vir, pelo menos nos EUA. Aqui está uma parte da resposta da AT&T à legislação da Califórnia:

“A legislação da Califórnia e iniciativas semelhantes… ameaçam criar uma colcha de retalhos altamente problemática de regulamentação de privacidade. … a regulamentação de privacidade estado a estado levaria todos os provedores a adequar suas práticas … aos elementos mais restritivos das várias leis estaduais.”

Essa tática de lobby provou ser popular entre os tipos anti-regulamentação em Washington, DC. Agora, seu argumento é menos eficaz para os gigantes da tecnologia, como AT&T ou Google, que podem segregar o tráfego com base em linhas estaduais. Mas para empresas de tecnologia menores, esse tipo de processo é difícil, se não impossível, sem grandes gastos e muito trabalho.

Diante desses desafios, as pequenas e médias empresas precisam decidir entre duas más escolhas: retirar-se dos mercados com essas restrições; ou fazer com que seus produtos e serviços estejam em conformidade com a norma mais rígida da legislação aplicável.

A aplicação do GDPR está chegando

Essa respiração que você está segurando, continue segurando, a aplicação está chegando

Houve uma calmaria silenciosa, não muito diferente do olho de um furacão, desde que o GDPR entrou em vigor nas Autoridades de Proteção de Dados que administram a lei. Mas isso não significa que eles não estejam buscando e investigando ativamente as reclamações. Ainda não houve nenhuma ação, mas como várias fontes confirmaram, isso se deve mais à necessidade de contratar e treinar a equipe necessária do que à não ação. Houve relatos de que o DPA irlandês tinha quase 100 vagas de emprego em maio. É muita mão de obra que será dedicada à fiscalização e às investigações, uma vez que todos sejam contratados, treinados e integrados.

A integração média para alguém em um trabalho de fiscalização dessa natureza (embora isso seja o primeiro de seu tipo) parece ser de 3 a 6 meses. E as investigações devem levar algumas semanas para as violações menores, e meses para as maiores. Portanto, já se passaram 4 meses desde que o GDPR entrou em vigor e não ver nenhuma ação não é tão surpreendente.

Descubra essa dívida de tecnologia!

Um dos efeitos colaterais mais interessantes na preparação para o GDPR para empresas de tecnologia foi descobrir dívidas técnicas que passaram despercebidas. Para quem não conhece, a dívida técnica é o equivalente em engenharia de software do seu empréstimo estudantil; ele precisa ser pago de volta e cresce com juros ao longo do tempo se você não trabalhar muito para isso. A dívida tecnológica é natural em qualquer negócio baseado em código ou dependente de código que muitas vezes precisa de soluções rápidas (um empréstimo de curto prazo) para colocar um produto no mercado.

Vários dos requisitos do GDPR eram muito difíceis para os engenheiros de software encontrarem soluções para seus produtos atuais. Por exemplo, os direitos concedidos pelo GDPR (Acesso, Portabilidade, Correção, Apagamento, Limitação) muitas vezes não eram algo que havia sido incorporado às plataformas e aplicativos.

Inserindo-os agora em um produto exigia tempo e energia. Mas esse trabalho deve poder ser usado para coisas que estão por vir, como ePrivacy. Da mesma forma, as políticas mais recentes e mais aceitas de segurança e privacidade por design que a tecnologia está adotando em grande parte exigiram muito do mesmo trabalho. Os esforços em torno do GDPR expuseram a facilidade ou dificuldade com que os sistemas de segurança e privacidade projetados de uma empresa podem ser implementados.

As empresas de tecnologia muitas vezes relutam em mergulhar profundamente em seu código, pois geralmente funcionam sem relação com o próximo lançamento do produto. Ter que fazer isso para GDPR, ou algum regulamento de privacidade futuro, é sempre um benefício; pelo menos a longo prazo.