Introducing G2.ai, the future of software buying.Try now

Processar Solicitações de Portabilidade de Dados: O que as Empresas Precisam Saber

5 de Dezembro de 2019
por Merry Marwig, CIPP/US

Já ficou farto do seu provedor de telefonia celular? Talvez você tenha conseguido um bom negócio nos primeiros meses, mas de repente suas tarifas disparam ou seu serviço fica instável. Talvez você tenha terminado uma ligação com o atendimento ao cliente dizendo: "Bem, já tive o suficiente. Vou trocar de provedor."

Graças às leis de portabilidade de número de telefone, deixar um provedor não é uma ameaça vazia. As pessoas podem trocar de provedor de serviços sem temer a perda do número de telefone que sua família e amigos (e spammers!) usam para contatá-las.

E se essa mesma funcionalidade de portabilidade se aplicasse a... seus dados?

Direitos dos usuários sob as leis de portabilidade de dados

Se você mora na Califórnia, na União Europeia e, potencialmente, em outras jurisdições como a Austrália, você pode levar seus dados - sejam eles listas de contatos, fotos, documentos, playlists - com você quando trocar de provedor. Leis de privacidade, incluindo o Regulamento Geral sobre a Proteção de Dados (GDPR) e a Lei de Privacidade do Consumidor da Califórnia (CCPA) já codificaram a portabilidade de dados em lei, enquanto vários governos começaram a introduzir legislação semelhante.

Leve seus dados com você

Mas, o que exatamente significa portabilidade de dados?

Por exemplo, digamos que você não está satisfeito com seu atual provedor de streaming de música online. Usando os direitos de portabilidade de dados, você pode facilmente copiar todas as suas playlists para outro provedor de streaming de música. Ou, se você é um cinéfilo, pode levar dados sobre suas preferências de streaming de filmes e seus programas favoritos com você para outro provedor de streaming de vídeo.

O que as leis realmente dizem, especificamente, sobre portabilidade de dados?

“O titular dos dados terá o direito de receber os dados pessoais que lhe digam respeito, que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento sem impedimentos por parte do responsável pelo tratamento ao qual os dados pessoais foram fornecidos.”

-Artigo 20 do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

A CCPA concede direitos semelhantes de portabilidade de dados sob a Seção 1798.100(d), que afirma: “Uma empresa que receba um pedido verificável de um consumidor para acessar informações pessoais deve tomar medidas imediatas para divulgar e entregar, gratuitamente ao consumidor, as informações pessoais exigidas por esta seção. As informações podem ser entregues por correio ou eletronicamente, e se fornecidas eletronicamente, as informações devem estar em um formato portátil e, na medida do tecnicamente viável, em um formato de fácil uso que permita ao consumidor transmitir essas informações para outra entidade sem impedimentos.”

Atualmente, há legislação semelhante pendente sobre portabilidade de dados na Austrália. A Comissão Australiana de Concorrência e Consumidores (ACCC) e a Legislação de Direito de Dados do Consumidor (CDR) visam transferir a propriedade dos dados do cliente das empresas para os clientes, permitindo que os clientes compartilhem seus próprios dados com outras empresas. O governo australiano pretende aplicar esses novos direitos de dados do consumidor ao setor bancário, seguido pelo setor de energia, e possivelmente outros.

Há também legislação proposta nos Estados Unidos em nível federal. Os senadores Mark Warner, Richard Blumenthal e Josh Hawley introduziram o Ato de Aumento de Compatibilidade e Competição por Meio da Habilitação de Troca de Serviços (ACCESS Act) em outubro de 2019. Em relação à portabilidade de dados, o projeto de lei afirma: “Provedores de plataformas de comunicação de grande porte — ou seja, provedores que operam plataformas de comunicação com mais de 100 milhões de usuários ativos mensais nos EUA — devem operar interfaces transparentes e acessíveis a terceiros que permitam aos usuários transferir seus dados com segurança (diretamente para o usuário ou para um provedor de comunicação concorrente agindo sob a direção de um usuário)... provedores concorrentes que recebem dados portados devem proteger adequadamente os dados portados.”

Em um comunicado à imprensa, o senador Josh Hawley disse: “Seus dados são sua propriedade. Ponto final. Os consumidores devem ter a flexibilidade de escolher novas plataformas online sem barreiras artificiais à entrada. Este projeto de lei cria requisitos há muito esperados que aumentarão a concorrência e darão aos consumidores o poder de mover seus dados de um serviço para outro.”

O que a portabilidade de dados significa para as empresas?

A portabilidade de dados introduz impactos significativos nas empresas.

Primeiramente, as leis de portabilidade de dados podem ser usadas como uma medida antitruste, então prepare-se para uma concorrência mais acirrada nos respectivos mercados. Em particular, a concorrência de startups pode se tornar mais intensa. Startups, que historicamente tinham acesso limitado a dados de consumidores, agora terão uma vantagem quando os consumidores portarem seus dados para outro provedor.

Em segundo lugar, as empresas devem otimizar seu processo de transferência de dados para que seja oportuno, completo e legível por máquina quando receberem um pedido de acesso a dados do titular (DSAR) de um consumidor. Para isso, as empresas devem saber onde os dados dos consumidores estão em seus sistemas. Para isso, as empresas devem saber onde os dados dos consumidores estão em seus sistemas e ser capazes de recuperá-los quando necessário.

Uma solução projetada para lidar com todo esse processo — desde o mapeamento de dados até o processamento de pedidos de acesso a dados do titular — é uma plataforma de privacidade de dados. Considerando os requisitos legais em relação ao tempo que uma empresa tem para responder a um DSAR, considere usar uma plataforma de privacidade de dados ou software DSAR para ajudar a automatizar esses processos. (Para a CCPA, o prazo para responder a um DSAR é de 45 dias. Para o GDPR, é de 30 dias.)

Quais formatos de arquivo você pode usar para portar dados

Quando as empresas processam um DSAR, qual formato legível por máquina devem usar? A interoperabilidade de formatos de arquivo pode apresentar muitos problemas. Reconhecendo as limitações que os formatos de arquivo têm na pesquisa de dados, o Instituto Nacional de Padrões e Tecnologia (NIST) e mais de 800 especialistas da indústria, acadêmicos e governamentais começaram a avaliar essa questão em 2013; juntos, eles acabaram de lançar seu Big Data Interoperability Framework (NBDIF) em outubro. O NBDIF do NIST é um guia que permite que os dados sejam interoperáveis e portáteis entre plataformas.

RELACIONADO: O Framework de Privacidade do NIST ajuda empresas e organizações a entender, avaliar e mitigar seus riscos de privacidade. Leia mais aqui→

A boa notícia para as empresas que processam DSARs é que nem o GDPR nem a CCPA atualmente incluem formatos de arquivo específicos para portabilidade de dados. Portanto, agora, as empresas têm a oportunidade de selecionar qual formato é melhor para elas. No entanto, ainda é importante que as empresas considerem quais formatos são padrão para sua indústria. Se não houver um padrão, considere formatos abertos como CSV, XML e JSON.

Como realmente transferir os dados

As empresas devem encontrar uma maneira de transmitir com segurança esses dados sensíveis dos consumidores.

O Procurador-Geral da Califórnia divulgou regulamentos propostos em outubro de 2019 oferecendo orientações sobre como transferir dados com segurança.

“Se uma empresa mantém uma conta protegida por senha com o consumidor, ela pode cumprir um pedido de conhecimento usando um portal de autoatendimento seguro para os consumidores acessarem, visualizarem e receberem uma cópia portátil de suas informações pessoais, se o portal divulgar totalmente as informações pessoais às quais o consumidor tem direito sob a CCPA e esses regulamentos, usar controles razoáveis de segurança de dados e cumprir os requisitos de verificação estabelecidos no Artigo 4.”

A indústria em geral reconhece que pode ser difícil transferir dados de um provedor de serviços para outro. Um programa chamado Projeto de Transferência de Dados (DTP) é uma iniciativa de código aberto que permite a portabilidade de dados entre várias plataformas online. Google fundou o Projeto de Transferência de Dados em 2018; outros membros do projeto incluem Facebook, Microsoft, Twitter e Apple.

Software de transferência de arquivos gerenciada (MFT) pode ajudar as empresas com criptografia de dados sensíveis.

Quais dados você precisa incluir em um pedido de portabilidade de dados?

Quais dados precisam ser incluídos em um pedido de portabilidade de dados? A verdade é que isso ainda não está bem definido. Dados que os usuários desejam portar incluem dados gerados ou fornecidos pelo usuário, como suas agendas de endereços, diretórios de amigos ou gráficos sociais. Pode incluir informações passivas sobre os usuários, como preferências inferidas. Mas, e quanto a dados criados colaborativamente com outros? Isso deve ser incluído ao processar um DSAR?

Áreas problemáticas relacionadas ao processamento de pedidos de portabilidade de dados

O processamento de pedidos de portabilidade de dados pode abrir uma lata de minhocas emaranhadas. Por exemplo, se um usuário trabalhou colaborativamente com outra pessoa para criar alguns dados, um usuário deve portar esses dados? E se os dados de um usuário incluírem dados de outra pessoa também? Isso deve ser portátil? Você precisa obter consentimento dos colaboradores?

Em resposta a essas incógnitas, o Facebook publicou um whitepaper no qual a empresa questiona as melhores maneiras de proteger a privacidade de um usuário enquanto permite a portabilidade. Por exemplo, e se uma pessoa ou entidade solicitar dados em seu nome? As empresas devem cumprir tais solicitações? E se alguém apresentar um DSAR fraudulento? As empresas estão equipadas para validar adequadamente os usuários antes de fornecerem a eles seus dados sensíveis de consumidores? Depois que os dados das pessoas são transferidos, quem é responsável se os dados forem mal utilizados ou hackeados?

As incógnitas relacionadas a essas leis e a esse processo provavelmente serão resolvidas à medida que surgirem. Nos próximos meses, espere que os consumidores se tornem educados sobre seus direitos de acesso a dados em relação à portabilidade de dados, especialmente porque os usuários podem monetizar seus dados. As empresas podem se preparar tendo um plano de portabilidade de dados em vigor, juntamente com as políticas e ferramentas para implementar esses planos.

*Aviso: Não sou advogado e não estou oferecendo aconselhamento jurídico. Se você tiver dúvidas legais, consulte um advogado licenciado. Também não dou conselhos de moda, relacionamentos ou recomendações de filmes. Confie em mim, isso é para o melhor.

Quer aprender mais sobre Software de Verificação de Identidade? Explore os produtos de Verificação de Identidade.

Merry Marwig, CIPP/US
MMC

Merry Marwig, CIPP/US

Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.