Ce este Scutul de confidențialitate și cum afectează consumatorii și întreprinderile?

Problemele de confidențialitate se află în partea de sus a listei pentru utilizatorii de internet din întreaga lume. Creșterea comerțului online și a schimburilor de date care traversează frontierele internaționale, în special între S.U.A. și Europa, a ridicat, de asemenea, o serie de preocupări privind confidențialitatea la nivel guvernamental. Nu toate acestea se datorează piratării criminale. Mult are legătură cu modul în care întreprinderile mari și mici folosesc datele clienților.

În efortul de a servi mai bine utilizatorii europeni ale căror date traversează frontiera SUA, Departamentul de Comerț al SUA și Comisia Europeană au lucrat împreună pentru a dezvolta ceea ce este cunoscut sub numele de Privacy Shield, o implementare de reglementare concepută pentru a garanta cetățenii europeni sunt protejați în mod adecvat în conformitate cu datele UE legile de protecție pe măsură ce datele lor trec în și în afara Statelor Unite.

O introducere în Privacy Shield

Logo Shield de confidențialitate

Pe 12 iulie 2016, guvernul SUA și Comisia Europeană au aprobat în comun Cadrul de protecție a vieții private. Documentația reală pentru Cadrul de protecție a confidențialității oferă o mulțime de informații valoroase pentru consumatori. Cu toate acestea, poate fi dificil să analizați documentele și să clarificați exact ce înseamnă totul. Iată un mod simplu de a înțelege conceptul.

Statele Unite și statele membre ale Uniunii Europene fac multe comerț. De fapt, comerțul transatlantic produce aproape 5 trilioane de dolari pe an. O mare parte din acest comerț impune companiilor să colecteze date peste granițele internaționale. În unele cazuri, companiile care aduc o multitudine de clienți și utilizatori din Uniunea Europeană, precum Google sau Facebook, colectează și prelucrează cantități imense de date despre utilizatori.

Uneori, Google și Facebook pot prelucra aceste date, să le mențină pentru o perioadă nedeterminată de timp, să le utilizeze pentru valori și analize sau chiar să le transmită terților pentru alte scopuri. În mod similar, guvernul american poate monitoriza unele dintre aceste date sau chiar să le colecteze de la aceste companii.

Uniunea Europeană are o lege foarte specifică, Directiva privind protecția datelor, care limitează sever modul în care întreprinderile precum Google sau Facebook sau organizații precum ANS pot utiliza sau chiar colecta date. Aceasta include modul în care guvernele pot colecta date de la întreprinderi în scopuri de supraveghere. (DPD urmează să expire în 2018, urmând să fie înlocuit cu noi reglementări despre care discutăm la final.)

Cadrul de protecție a vieții private funcționează ca un set de reguli care guvernează întreprinderile americane cu operațiuni europene. Permite întreprinderilor să facă două lucruri:

  • Certificați-vă de comun acord că sunt de acord cu Cadrul de protecție a vieții private
  • Promovează-se și respectarea lor la Principiile scutului de confidențialitate

În ceea ce privește scutul de confidențialitate, este important de menționat următoarele:

  • Respectarea cadrului este voluntară. Cu toate acestea, există în prezent sute de afaceri americane care s-au certificat de bună voie. Acest lucru creează o cale ușoară pentru aceste companii de a colecta date private de la cetățenii UE în scopuri de afaceri, crescând fluxul de comerț pe internet.
  • Toate întreprinderile care acceptă să participe la program trebuie să își publice public participarea. Odată ce acest lucru este finalizat, întreprinderile sunt puternic menținute la acest standard, nerespectând cadrul, ceea ce duce la amenzi potențiale de 21.842.000 USD sau 4 la sută din veniturile brute ale companiei pe parcursul anului, indiferent de numărul acestora. Aplicarea provine direct din regulile Comisiei Federale pentru Comerț care interzic „actele nedrepte și înșelătoare”.
  • Raportarea încălcării datelor trebuie făcută în termen de 72 de ore. Întrucât Privacy Shield include securitatea informațiilor în cadrul Principiilor sale, acest lucru trebuie să ia serios companiile.

În mod pozitiv, multe întreprinderi aveau deja protocoale adecvate pentru a se auto-raporta cu ușurință.

Ce este scutul de confidențialitate? O privire de ansamblu detaliată

Scutul de confidențialitate Google

În primul rând, cel mai bine este să înțelegeți ce nu este Scutul de confidențialitate, pentru a ajuta la o mai bună încadrare în discuția despre ceea ce este de fapt.

Privacy Shield nu este un program sau un software de securitate a datelor

Este important să înțelegem, deoarece numele poate părea să transmită un mesaj diferit. Privacy Shield nu este ceva ce utilizatorii pot instala pe computerele lor pentru a-și proteja confidențialitatea și nici nu este un fel de filtru internet care monitorizează și filtrează sau criptează datele utilizatorului.

Confidențialitatea scutului nu este obligatorie pentru toate companiile din SUA

Poate una dintre cele mai mari puncte slabe ale cadrului de protecție a vieții private este faptul că este un program complet voluntar. De fapt, nici măcar nu este obligatoriu pentru companiile americane care desfășoară activități în Europa. Întreprinderile care doresc să participe trebuie să finalizeze procesul de auto-certificare, care verifică dacă modelul de confidențialitate al datelor lor de afaceri se aliniază principiilor de bază ale cadrului.

Privacy Shield nu este o stradă cu două sensuri

În toate scopurile și scopurile, Privacy Shield există ca un fel de mustrare pentru SUA și lipsa reglementărilor organizate în numele datelor personale ale consumatorului. Privacy Shield a fost conceput special pentru întreprinderile din SUA, ca parte a efortului de bună-credință din partea întreprinderilor americane pentru a trata în siguranță datele obținute de la utilizatorii de internet din UE, într-o manieră mai adecvată legilor privind protecția datelor Uniunii Europene..

Diferențele dintre standardele din SUA și UE privind protecția datelor sunt semnificative?

Iată versiunea scurtă: Uniunea Europeană are standarde foarte stricte pentru a proteja modul în care datele personale ale cuiva sunt atât colectate cât și utilizate de companii și de guverne. Aceasta se reduce la ideea că persoanele fizice au dreptul la confidențialitate mai presus de dreptul guvernului sau al întreprinderii sau de dorința de a colecta date cu caracter personal în diverse scopuri, chiar în scopuri care pot fi considerate demne. În plus, acesta prevede că orice persoană care consideră că datele lor au fost folosite în mod eronat, are dreptul de a depune spre redresare din partea companiei sau a guvernului care a folosit-o greșit.

Dacă aveți câteva ore libere (și poate o abilitate de a analiza legal) puteți naviga în limba specifică din Inițiativa pentru protecția datelor.

Între timp, SUA nu are legislație oficială la nivel federal care protejează drepturile individuale ale consumatorilor. Acesta este motivul pentru care dezvăluirea sordidă a lui Edward Snowden a programului de spionaj al ANS a provocat atât de multe valuri. Mulți americani și alții din întreaga lume ar fi putut suspecta că guvernul federal al SUA spionează cetățeni nevinovați, dar, până la acel moment, nu exista prea puțin în calea probelor verificate. În 2013, Snowden a furnizat această verificare. Programul de spionaj din SUA a fost atât de extins și atât de larg încât Snowden s-a simțit obligat să scurgă informații despre el doar la câteva luni după ce a fost angajat de către NSA..

Actul Patriot din SUA a dat naștere unor programe precum PRISM și Legea privind supravegherea informațiilor externe (FISA) care colectează date de la cetățeni americani și din străinătate. Multe dintre intruziunile din Legea Patriotului au fost grav limitate de Legea privind libertatea din 2015, o lege care extindea Legea Patriotului cu limitări semnificative la modul în care guvernul putea colecta date. Aceste legi guvernează multe dintre protecțiile pe care americanii nu le aveau deja, impunând în același timp limitări ale libertăților în moduri nepopulare în Europa. (Am explorat amploarea Legii Patriot, a Legii privind libertatea și FISA, despre care puteți citi aici.)

Acestea fiind spuse, SUA nu este un Vest Sălbatic al datelor personale furate ale utilizatorilor, nici de la guvern și nici în alt mod. Există legi privind cărțile din toate departamentele guvernamentale, atât la nivel de stat, cât și la nivel federal. Cea mai mare preocupare pentru UE este legată de lipsa generală a unui mesaj complet și clar în SUA cu privire la modul în care se pot obține și prelucra datele utilizatorilor, precum și nicio indicație clară cu privire la drepturile individuale pentru remediere. Legile care reglementează parțial protecția datelor cu caracter personal în SUA includ:

  • Legea Comisiei federale pentru comerț
  • Legea privind modernizarea serviciilor financiare
  • Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA)
  • Regula de notificare a încălcării securității
  • Legea privind raportarea creditului echitabil
  • Controlul Asaltului Pornografiei și a Comercializării Non Solicitate (CAN-SPAM)
  • Legea privind protecția consumatorului telefonic
  • Legea privind confidențialitatea comunicațiilor electronice
  • Legea privind fraudele și abuzurile pe calculator
  • Legea privind reparația judiciară (o lege din SUA care oferă numai cetățenilor statelor membre UE dreptul de a solicita remedierea de la datele lor personale ale guvernului sau ale forțelor de ordine)

În timp ce Directiva UE privind protecția datelor este departe de a fi citită ușor, mixul extrem de variat de legislație din SUA care acoperă acest subiect constituie un coșmar birocratic, limitând în același timp capacitatea unei persoane de a înțelege mai bine drepturile sale cu privire la modul în care guvernele și întreprinderile colectează. și utilizați date cu caracter personal. În plus, multe dintre aceste legi, aplicate, sunt foarte depășite și nu au limbajul care să se potrivească cel mai bine generației actuale de calcul și procesare a datelor..

Cum rezolvă Privacy Shield Framework probleme de confidențialitate?

Potrivit Comisiei Europene,  transferurile de date cu caracter personal în afara UE sau SEE nu sunt permise atunci când nu se poate garanta un nivel adecvat de protecție. Acest lucru înseamnă că întreprinderile care colectează date de la cetățenii UE și transferă datele peste granițe, sau cetățenii UE care trimit datele lor către companiile americane, se confruntau cu un impas legal. Soluția pentru aceasta a fost Privacy Shield Framework.

Pentru națiunile membre ale Uniunii Europene și cetățenii acestora, Privacy Shield este destinat să facă mai multe lucruri:

  • Oferă transparență companiilor sub formă de declarații publice cu privire la politicile lor de utilizare a datelor
  • Oferă persoanelor fizice posibilitatea de a renunța la transferul datelor către o terță parte
  • Puneți măsuri de protecție pentru a vă asigura că organizațiile care transferă date către terțe părți le transferă numai părților respective pentru o utilizare limitată și că acești terți destinatari respectă, de asemenea, cerințele privind protecția datelor
  • Asigurări că companiile și organizațiile protejează datele împotriva pierderilor prin metode de securitate și criptare
  • Protecție împotriva utilizării incorecte a datelor cu caracter personal, în afara scopului prevăzut
  • Oferiți persoanelor acces la informațiile pe care organizațiile le dețin, cu opțiunea de a modifica, corecta sau șterge aceste date acolo unde fie are inexactități, fie au fost folosite în mod incorect în conformitate cu Principiile scutului de confidențialitate
  • Punerea în aplicare a principiilor protecției datelor prin arbitraj rapid pentru persoanele care depun reclamații, fără costuri pentru persoana care depune o cerere, cu investigații adecvate asupra revendicării, verificări sau protecții de confidențialitate, precum și procese rapide de rezoluții

Toate acestea se pot simți puțin grele pentru utilizatorii de internet obișnuiți. Mai simplu spus, Privacy Shield există ca un set de proceduri pe care organizațiile și întreprinderile americane trebuie să le respecte atunci când prelucrează datele individuale ale utilizatorilor, asigurându-se că colectarea și utilizarea acestora sunt conforme cu legile Uniunii Europene.

Ce înseamnă Privacy Shield pentru consumatori?

Pentru consumatori, Privacy Shield îndeplinește un scop principal: protecția împotriva utilizării necorespunzătoare și a colectării nejustificate a informațiilor de identificare personală. Întrucât Privacy Shield este conceput pentru a proteja cetățenii Uniunii Europene de utilizarea necorespunzătoare a datelor lor în timp ce acestea trec în și în afara Statelor Unite, Privacy Shield protejează doar membrii UE și cele trei țări din Spațiul Economic European: Norvegia, Liechtenstein și Islanda.

Nu este conceput pentru a proteja consumatorii americani sau pentru a extinde consumatorilor americani aceleași protecții acordate membrilor UE în temeiul Directivei privind protecția datelor. În schimb, Privacy Shield este un acord între SUA și UE care se concentrează pe comerțul electronic și supravegherea guvernului. Aceste protecții includ, de asemenea, colectarea de date în vrac, atât de la întreprinderi, cât și de la guvernul SUA, în care formularea include limitări semnificative pentru ceea ce atât întreprinderile, cât și agențiile de informații și forțele de ordine ale guvernului american pot și nu pot face cu datele personale.

Cel mai important pentru cetățenii UE, încorporarea unui mecanism de reparație și a unei sarcini de Ombudsman cu gestionarea problemelor de confidențialitate au fost esențiale pentru a garanta că acordul neputincios a fost capabil să răspundă.

Ce înseamnă Privacy Shield pentru companii?

Pentru companii, Privacy Shield oferă un element de încredere pentru consumatorii din UE și o cale mai ușoară de a utiliza datele UE privind clienții. Înainte de Privacy Shield, sistemul în loc era cunoscut sub numele de Safe Harbor. Aceste principii au fost similare cu cele existente în prezent în Privacy Shield, doar cu protecții private mai puține, mai puțin restrictive. După ce avocatul austriac Max Schrems a dovedit că Principiile portului sigur SUA-UE nu au reușit să-și acopere datele private de Facebook, Curtea de Justiție a Uniunii Europene a invalidat legea în 2015. Safe Harbor a existat timp de 15 ani, din 2000 până la invalidarea sa în 2015. Că a fost redactat înainte de servicii majore de colectare a datelor de socializare, precum Facebook și Patriot Act, indică motivul pentru care nu a reușit să răspundă cerințelor în materie de confidențialitate în schimbare și în special a celor enunțate în Directiva privind protecția datelor.

Atunci când Safe Harbour a fost invalidat, multe companii din SUA nu au putut colecta sau stoca date de la clienții europeni. Ca atare, UE și SUA au lucrat rapid la redactarea unui înlocuitor, ducând în cele din urmă la scutul de confidențialitate. Pentru întreprinderi, acest lucru a permis reluarea operațiunilor ca de obicei, oferind în același timp clienților din UE protecțiile adăugate pe care le-au dorit odată cu utilizarea datelor lor. Actualizările la Privacy Shield de la Safe Harbour au impus câteva modificări pentru companii:

  • O declarație publică obligatorie și detaliată privind participarea la program. Această declarație trebuie să includă o explicație specifică cu privire la pașii pe care compania le face pentru a asigura protecția vieții private și că compania respectă Principiile scutului de confidențialitate.
  • O înăsprire a transferurilor de date și a schimbului de date. În conformitate cu Safe Harbour, terții aveau puține limitări asupra modului în care puteau folosi datele transferate către aceștia. În conformitate cu Shield Privacy, terții sunt la fel de limitați în utilizarea lor de date ca și primele părți de la care le obțin și trebuie să indice și conformitatea lor cu Privacy Shield.
  • FTC menține acum un „zid de rușine” pentru acele companii care încalcă Principiile scutului de confidențialitate după ce s-au abonat public la acestea.
  • Întreprinderile trebuie să răspundă la problemele de remediere și trebuie să permită utilizatorilor să actualizeze, să schimbe sau să șteargă datele la cerere, atât timp cât aceste solicitări sunt în termen.

Întreprinderile implicate în programul Privacy Shield trebuie să se asigure că datele lor sunt sigure, că respectă în totalitate Principiile și că echipa lor juridică și personalul sunt pe deplin conștienți de cerințele FTC legate de participarea la Shield Privacy.

Marile corporații au un impact unic

Pentru întreprinderile mari, cum ar fi Apple, Facebook și Google, principiul Integrității Datelor și Limitarea Scopului este într-adevăr cel mai limitat aspect al Protecției Confidențialității. Acest principiu limitează în mod semnificativ modul în care întreprinderile pot utiliza date în vrac pentru scopuri de analiză a datelor, precizând că „informațiile personale trebuie limitate la informațiile relevante în scopul prelucrării”. Marile site-uri de socializare au îngrijorări legale și profunde legale. Omul responsabil direct pentru declinul final al Safe Harbor, Max Schrems, consideră că Privacy Shield nu este suficient pentru companii precum Facebook, Apple și Google și se așteaptă ca acesta să nu reușească în cele din urmă..

De asemenea, companiile mari sunt mult mai susceptibile să stocheze date și mai probabil să trimită date despre clienți către terți. Acest lucru creează o poziție tenuoasă pentru aceste companii, deoarece limitele de stocare a datelor și de transfer a datelor către terți sunt extrem de limitate. Șansele de a face față principiilor într-un mod negativ sunt crescute doar pentru aceste mari corporații.

Participarea la Shield Privacy este voluntară

Lista activă a scutului de confidențialitate
Nicio activitate din SUA nu este obligată să participe la Shield Privacy. Nici întreprinderile care doresc să aducă clienți din Europa nu trebuie să participe. Acestea fiind spuse, participarea este puternic încurajată pentru întreprinderi, pentru un singur motiv: consecințe legale.

Acele întreprinderi care aleg să se auto-certifice în conformitate cu scutul de confidențialitate identifică că și-au aliniat standardele de protecție a datelor cu cele care respectă standardele legale ale UE pentru achiziția și procesarea datelor. Această claritate merge mult spre furnizarea de protecții legale pentru compania respectivă. Cu toate acestea, companiile care aleg să nu adopte aceste standarde își fac viața mai dificilă. Deși este posibil să desfășori în continuare afaceri în UE, lipsa de claritate lasă întreprinderile mai deschise provocărilor legale. Pentru cei mai mulți participanți, participarea la Shield Privacy este o modalitate simplă de a ajuta la reducerea oricăror provocări legale care pot apărea.

Privacy Shield nu protejează întreprinderile de solicitările de date guvernamentale

Este important atât pentru companii cât și pentru consumatori să înțeleagă faptul că Privacy Shield nu împiedică guvernul american sau agențiile de aplicare a legii să solicite date de la companii precum Facebook sau Google. Cu toate acestea, Privacy Shield, alături de o versiune revizuită a Patriot Act, a limitat semnificativ ce tip de informații pot fi obținute și în ce premisă.

Cu toate acestea, mulți observatori subliniază că Principiile scutului de confidențialitate au deficiențe clare în acest scop, în special atunci când vine vorba de aplicarea de către autoritățile de reglementare din SUA. Rămâne de văzut dacă o companie americană ar putea fi sancționată în conformitate cu Shield Privacy pentru respectarea unei cereri de date guvernamentale federale sau de aplicare a legii. Cu toate acestea, Privacy Shield oferă întreprinderilor o cale și o justificare pentru refuz, cel puțin în ceea ce privește datele cetățenilor UE..

Confidențialitatea scutului ar trebui să se schimbe în 2018 cu noile reglementări ale UE

Privacy Shield a fost conceput pentru a satisface problemele de confidențialitate ale statelor membre ale UE și ale cetățenilor acesteia, prin colaborarea cu Directiva privind protecția datelor. Cu toate acestea, în aprilie 2016, Comisia Europeană a adoptat o nouă lege care reglementează problemele de confidențialitate a datelor: Regulamentul general privind protecția datelor. GDPR a fost proiectat pentru a înlocui DPD în 2018. Acest lucru se datorează faptului că DPD, care a fost trecut în 1995, nu reușește să abordeze în mod adecvat schimbările tehnologiei cu care se ocupă acum întreprinderile și consumatorii, în special cele legate de datele mari și importanța acesteia pentru Afaceri.

Există mai multe diferențe notabile între directivă și regulament:

  • Noul GDPR nu lasă prea mult loc interpretării de către statele membre individuale, în timp ce directiva a fost interpretată în mod variabil de diferite națiuni ale UE. Aceasta include o definiție nouă și unică a ceea ce înseamnă de fapt „datele personale”, lucru pe care DPD l-a lăsat și pentru interpretare.
  • Noul GDPR ia o linie durabilă asupra modului în care datele personale pot fi utilizate de către organizații, solicitându-le să afișeze și să explice în mod proeminent cum intenționează să utilizeze date și să informeze de fapt utilizatorii atunci când doresc să utilizeze aceste date în moduri diferite. Există, de asemenea, o nouă clauză „de înscriere” pentru stocarea datelor, astfel încât organizațiile nu pot pur și simplu să stocheze datele în mod implicit.
  • Noul GDPR se aplică tuturor întreprinderilor și organizațiilor care gestionează datele cetățenilor UE, indiferent dacă participă sau nu la Shield Privacy. Aceasta extinde domeniul de aplicare al regulamentului pentru a acoperi datele private ale cetățenilor UE dincolo de granițele UE.
  • Organizațiile trebuie acum să urmărească, de asemenea, modul în care utilizează datele și unde merg aceste date. Aceste informații trebuie să fie ușor disponibile la cerere. Organizațiile mari (250 de angajați sau mai mulți) trebuie să aibă un responsabil pentru protecția datelor care să ajute la urmărirea deplasării datelor în interiorul și în afara organizației.
  • Atât controlorii de date, cât și procesatorii de date sunt acum responsabili și responsabili pentru modul în care datele sunt utilizate și protejate. Aceasta înseamnă că organizațiile terțe sunt la fel de responsabile ca și părțile secundare.
  • GDPR include o politică necesară de notificare a încălcării. Orice încălcări ale datelor trebuie raportate în termen de 72 de ore. De asemenea, rezultă o investigație externă a metodelor de securitate a datelor utilizate în momentul încălcării.

Toate aceste reguli ar trebui să pară familiare. Ele coincid cu o mare parte din ceea ce găsim în Principiile scutului de confidențialitate. Acest lucru nu este întâmplător. Privacy Shield și noul GDPR au fost elaborate concomitent și concepute pentru a lucra împreună. Cu toate acestea, GDPR nu intră în vigoare până în 2018. Mulți observatori așteaptă să vadă dacă Privacy Shield va ține suficient de bine pentru a-l face un partener eficient la noile reglementări GDPR..

Cea mai mare preocupare rezidă în prezent în procesul de „auto-certificare”, pe care unii observatori îl consideră cea mai mare slăbiciune a Scutului de confidențialitate. Cu mai puțin de doi ani pentru ca GDPR să intre în vigoare, rămâne de văzut dacă Privacy Shield va fi în continuare pentru a examina în continuare.

„Safe Harbor” de Simon McGarr Licențiat sub CC BY 2.0

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

55 + = 65

Adblock
detector