Executivos apontam quais serão os benefícios e os desafios da nova regulementação
O rastreamento da localização das pessoas está se tornando uma ferramenta cada vez mais útil para empresas, que desejem usar o recurso para conectar clientes com suas ofertas ou fornecer outros serviços baseados em localização.
No entanto, um obstáculo para essa estratégia vem na forma de regulamentação. Trata-se do General Data Protection Regulation (GDPR), lei geral de proteção de dados da União Europeia, que cria regras mais rígidas em torno da coleta e uso de dados pessoais. E os dados de localização podem certamente se qualificar como dados pessoais, sempre que se relaciona com um indivíduo identificável.
Reportagem publicada mo site IAPP mostra que a regulamentação não significa que os reguladores europeus não criticaram os abusos de proteção de dados baseados em localização antes. Em 2015, a CNIL francesa censurou o gigante de publicidade JCDecaux por causa da instalação de caixas Wi-Fi em seus outdoors, que capturaram os endereços MAC únicos identificavando smartphones que passavam – a empresa não estava anonimizando adequadamente os dados e não estava obtendo o consentimento informado das pessoas.
“A privacidade já foi uma consideração para nossos produtos e serviços por um longo tempo. Portanto, os conceitos de privacidade por design e privacidade por padrão não são novos. No entanto, os aspectos formais das avaliações de impacto da proteção de dados são novos requisitos que precisam ser integrados ao processo de desenvolvimento de produtos “, disse Philip Fabinger, conselheiro de privacidade global da HERE Technologies – divisão de mapas que a Nokia vendeu para Audi, Daimler e BMW alguns anos atrás.
A HERE pode ter uma história de privacidade por design – sem surpresa, para uma empresa com sede na Alemanha -, mas outras empresas não, e terão de mudar seus caminhos. Giulio Coraggio, sócio do escritório do DLA Piper em Milão, observou que a obrigação de “provar” – após uma avaliação de impacto da proteção de dados – a implementação de proteções e salvaguardas adequadas para os direitos dos indivíduos “limitaria a” liberdade “de operação que os provedores de ferramentas de localização seguiram até agora.
“O consentimento geralmente é o fundamento aplicável para legitimar o processamento de dados quando se trata do processamento das localizações de um dispositivo móvel inteligente. Enquanto hoje, em alguns casos, a permissão de saída é permitida, isso não será mais suficiente no âmbito do GDPR. Um consentimento compatível com GDPR deve ser afirmativo na natureza”, disse Fabinger.
De acordo Coraggio, a retenção de dados de localização para sempre e a obtenção de um único consentimento de privacidade para múltiplos propósitos de privacidade são práticas já inaceitáveis no atual regime, mas o GDPR obriga a fornecer informações mais detalhadas sobre uso e retenção de dados para indivíduos e o consentimento torna-se ainda mais específico.
O GDPR não torna clara a definição de dados de localização, nem fornece orientações específicas sobre como lidar com isso, disse Fabinger. Ele argumentou que isso apresenta um “desafio específico neste domínio”.
“Os dados de localização nem sempre são dados pessoais”, disse Fabinger. “Depende muito do contexto e do caso de uso. O mesmo conjunto de dados pode ser neutro para a privacidade quando usado para rastreamento de ativos como parte de serviços de otimização de logística e privacidade sensível quando usado para rastreamento de uma criança ou pacientes em um hospital”, exemplifica.
O regulamento proposto pela UE para a privacidade aborda mais especificamente a questão dos dados de localização, observando que sua coleção às vezes pode introduzir “altos riscos de privacidade”, particularmente quando indivíduos estão sendo acompanhados ao longo do tempo pelo monitoramento de suas conexões Bluetooth ou Wi-Fi.
“Os provedores envolvidos em tais práticas devem exibir avisos localizados na borda da área de cobertura informando os usuários antes de entrar na área definida que a tecnologia está em operação em um determinado perímetro, o objetivo do rastreamento, a pessoa responsável por e a existência de qualquer medida que o usuário final do equipamento terminal possa tomar para minimizar ou interromper a coleta”, diz.
Se isso acontecer como proposto, Coraggio aponta: “uma” revolução “pode acontecer [o que] pode representar um limite adicional para o atual modelo comercial de provedores de localização de rastreamento”.
Isso seria ruim para as empresas? Não necessariamente. “Após um período de transição, as companhias que poderão adotar a abordagem correta para a conformidade com a privacidade e poderão obter uma vantagem competitiva, uma vez que seus clientes comerciais não aceitarão mais [o uso de] tecnologias que possam potencialmente desencadear as multas GDPR”, alerta Coraggio.
