2023 será o ano em que várias novas regulamentações entrarão em vigor, mas também podemos esperar que ainda mais novas regulamentações sejam adotadas. Considerando o papel de liderança da União Europeia no desenvolvimento de regulamentações modernas de dados e privacidade e a chegada de vários estados dos EUA no mapa de regulamentações de privacidade, aqui estão algumas das coisas que estaremos acompanhando de perto em 2023.
Desde a adoção do Regulamento Geral sobre a Proteção de Dados (GDPR), vimos o número de novas leis de privacidade crescer e 2022 não foi diferente.
Países como Austrália e Argentina começaram a revisar suas regulamentações de privacidade já existentes, enquanto vários estados dos EUA celebraram a adoção de sua primeira regulamentação de privacidade. À luz da estratégia mais ampla de dados da União Europeia, novas regulamentações também foram adotadas na Europa e várias ainda estão em andamento.
2023 será o ano em que várias novas regulamentações entrarão em vigor, mas também podemos esperar que ainda mais novas regulamentações sejam adotadas. Considerando o papel de liderança da União Europeia no desenvolvimento de regulamentações modernas de dados e privacidade e a chegada de vários estados dos EUA no mapa de regulamentações de privacidade, aqui estão algumas das coisas que estaremos acompanhando de perto em 2023.
Os Estados Unidos têm se esforçado para acompanhar a Europa, e várias leis estaduais de privacidade entrarão em vigor em 2023. Embora as novas leis reflitam a direção geral do GDPR, existem diferenças no escopo das definições principais, direitos de privacidade e exceções que devem ser observadas.
De certa forma, as leis estaduais dos EUA são mais amigáveis aos negócios do que o GDPR, mas pequenas variações entre diferentes estados tornam a conformidade com todas elas muito mais desafiadora. Como se diz, o diabo está nos detalhes. Por essa razão, esperamos que haja desenvolvimentos em relação à Lei de Proteção da Privacidade de Dados dos EUA. A proposta será analisada pelo Congresso em 2023, mas parece ainda haver esperança de que uma lei federal seja aprovada no próximo ano.
A União Europeia também não ficou parada, tentando manter seu ambiente regulatório atualizado com os desenvolvimentos tecnológicos. A Lei dos Mercados Digitais será aplicada em 2023 e a Lei dos Serviços Digitais seguirá em 2024.
As novas leis visam permitir mais concorrência no setor de negócios centrados em dados, abrindo monopólios de dados dentro das grandes empresas de tecnologia e criando mais transparência. Os textos da Lei de IA e da Lei de Dados estão atualmente sendo negociados.
A redação final das leis pode mudar, mas como o nome sugere, a Lei de IA começará a regular sistemas de inteligência artificial (IA), criando novas obrigações de documentação e gerenciamento de riscos, principalmente voltadas para empresas que utilizam IA de alto risco e proibindo o uso de IA para alguns fins.
A Lei de Dados introduzirá regulamentações para tornar o compartilhamento e a portabilidade de dados mais eficazes.
Nós também não esquecemos da regulamentação de ePrivacy. O progresso sobre isso tem sido lento e é difícil prever se o texto final será finalmente acordado.
Do ponto de vista dos estados membros, 2023 é um ano em que os estados membros devem implementar a Diretiva de Denúncia de Irregularidades para empresas de médio porte. Embora as leis já devam estar em vigor para empresas privadas com mais de 250 funcionários e para o setor público, os países não têm sido excelentes nesse aspecto. Vários estados membros, liderados pela França e Irlanda, adotaram suas leis de implementação em 2022, mas alguns ainda estão trabalhando no projeto de lei
Tópicos de privacidade e proteção de dados não são apenas populares na UE e nos EUA. Espera-se que uma nova lei de proteção de dados seja adotada na Índia e também estamos monitorando desenvolvimentos em outras regiões para garantir que o serviço da Veriff esteja em conformidade com todos os requisitos do mercado.
Enquanto a quantidade de legislações de proteção de dados parece crescer, as leis já adotadas não podem ser consideradas finais e esquecidas. Existem muitos casos relacionados à privacidade atualmente no Tribunal de Justiça da União Europeia (CJEU) que podem mudar a compreensão do GDPR.
Primeiramente, no caso nº C-300/21, o CJEU decidirá os limites das reivindicações de danos civis por infrações à proteção de dados. Nos últimos anos, houve um aumento na aplicação privada das regras de proteção de dados. Espera-se que isso cresça em 2023, quando todos os estados membros terão que adotar um procedimento que permita ações coletivas na área de proteção de dados. O advogado geral expressou a opinião de que o GDPR não permite danos punitivos e que o mero fato de uma infração não justifica indenizações. Se o tribunal seguir a opinião do advogado geral, isso provavelmente desencorajará a aplicação privada do GDPR no futuro, pois limitaria os casos em que danos podem ser reivindicados.
O segundo caso que estaremos acompanhando é o nº C-621/22, que foi recentemente apresentado por um tribunal holandês. O GDPR permite o processamento de dados quando há uma base legal para o processamento. Uma das bases legais mais flexíveis no GDPR é o interesse legítimo. A autoridade supervisora holandesa acredita que o interesse comercial puro não pode ser um interesse legítimo. Uma interpretação tão rígida forçaria várias empresas a repensar a legalidade de seu processamento de dados. Espera-se que os Países Baixos estejam na minoria com sua abordagem rigorosa, mas onde o CJEU equilibra o interesse comercial e o interesse legítimo terá consequências comerciais para as empresas.
Voltando ao plano da UE de permitir mais concorrência em relação aos dados pessoais, no caso nº C-252/21, o CJEU decidirá sobre os limites do controle supervisório. Notavelmente, o Escritório Federal de Cartéis na Alemanha interveio sobre como a Meta Platforms pode processar dados pessoais e proibiu certas atividades de processamento. A Meta recorreu da decisão. A opinião do advogado geral foi liberal, permitindo que as autoridades de concorrência cobrissem questões incidentais de proteção de dados em certos casos. O tribunal não precisa seguir a mesma opinião, mas deve decidir onde estão os limites de competência entre diferentes autoridades supervisórias e, esperançosamente, a decisão final dará uma explicação facilmente compreensível para manter o escopo dos procedimentos supervisórios previsível para as empresas.
A Veriff tem como objetivo tornar a internet um lugar mais seguro. A missão da Veriff não é alcançada assim que a identidade de alguém é verificada — temos que garantir que os dados de nossos usuários permaneçam seguros além da verificação. Uma parte importante da segurança na internet é manter os dados seguros e a transparência no processamento de dados.
Para enfrentar os desafios de diferentes regulamentações de privacidade, a Veriff está determinada a oferecer a todos os titulares de dados um alto nível de proteção, independentemente de sua localização. Isso simplifica os processos de trabalho e fornece proteção igual aos titulares de dados. Além disso, monitoramos constantemente as mudanças no quadro legal e tecnológico, não apenas quando uma nova lei é adotada, mas também como o significado muda ao longo do tempo, seja por causa de uma interpretação judicial ou devido a desenvolvimentos tecnológicos, para oferecer o melhor serviço possível e segurança online às pessoas.