Por que as empresas americanas devem se preocupar com Dados de Identificação Pessoal, não-PII e Dados Pessoais
Para muitos no mundo da mídia e da publicidade, particularmente nos Estados Unidos, as Informações de Identificação Pessoal (IPI) há muito tempo estão fora dos limites para coleta e rastreamento. Esforços significativos são feitos para traçar uma linha entre as informações que identificam pessoalmente e não identificam pessoalmente, e até mesmo para mascarar ou pseudonimizar as informações que identificam pessoalmente de forma a torná-las não mais identificáveis (e, portanto, utilizáveis para marketing). Contudo, a linha nos EUA está a mudar e na Europa, com o GDPR a entrar em vigor em 25 de Maio de 2018, pode não existir.
O que é o SRCP?
O Departamento de Defesa (DoDD 5400.11, 29 de outubro de 2014) define PII como:
“Informações usadas para distinguir ou rastrear a identidade de um indivíduo, tais como nome, número de segurança social, data e local de nascimento, nome de solteira da mãe, registros biométricos, números de telefone residencial, outras informações demográficas, pessoais, médicas e financeiras. Os Dados de Identificação Pessoal incluem qualquer informação que esteja ligada ou possa ser ligada a um indivíduo específico, isoladamente ou quando combinada com outra informação pessoal ou de identificação. Para efeitos desta emissão, o termo DP também inclui informações pessoais e informações em forma identificável”
Aumentando esta definição, a maioria dos organismos governamentais dos EUA distingue entre DP não sensível e DP sensível (aquilo que, se divulgado, pode causar danos ao indivíduo). Isto é para ajudar a diferenciar a informação publicamente disponível de informação mais potencialmente prejudicial, como o estatuto de cidadania, afiliação religiosa ou orientação sexual (Guia do DHS). Se o DP é ou não sensível pode muitas vezes depender do contexto e da interpretação. Os comerciantes e editores são muito cuidadosos para evitar o uso de IPI e, em vez disso, concentram-se em não IPI para fazer anúncios mais relevantes para os consumidores.
Não IPI
De acordo com a Mobile Marketing Association, não IPI é “Informação que pode corresponder a uma determinada pessoa, conta ou perfil, mas não é suficiente para identificar, contactar ou localizar a pessoa a quem essa informação pertence. Não qualificado chumbo”. Exemplos disso são:
- IDs do dispositivo
- Endereços IP
- Cookies
- Browser Type
- Detalhes do plug-in
- Preferência de idioma
- Zonas de Tempo
Ao analisar essas informações, as empresas de dados são capazes de criar perfis detalhados dos consumidores, a fim de prever o interesse e a intenção de compra. Isto permite aos marketeiros visar os públicos certos com anúncios relevantes no lugar certo e na hora certa.
Expansão das IPI
Actualmente, os defensores da privacidade começaram a mover a linha entre IPI e não IPI para incentivar a proteção de mais informações. Por exemplo, a Diretora da FTC Jessica Rich indicou que identificadores persistentes provavelmente devem ser considerados Dados de Identificação Pessoal. “consideramos os dados como “pessoalmente identificáveis” e, portanto, garantimos a proteção da privacidade, quando eles podem ser razoavelmente ligados a uma determinada pessoa, computador ou dispositivo. Em muitos casos, identificadores persistentes tais como identificadores de dispositivos, endereços MAC, endereços IP estáticos ou cookies satisfazem este teste”. Exemplos da FTC incluem:
- Número do cliente mantido em um cookie
- Endereço IP
- Número de série do processador ou dispositivo
- ID do dispositivo único
Esses identificadores persistentes adicionais expandem significativamente o que constituiu historicamente o PII e indicam a vontade reduzida da FTC de ignorar os métodos modernos de rastreamento.
Todos os dados são pessoais sob GDPR!
No contexto da regulação de privacidade da UE GDPR, a distinção entre PII e não-PII não importa. Na verdade, pode-se argumentar que quase tudo deve ser protegido como Dados Pessoais segundo a GDPR. Em vez do teste de “ligação razoável” da FTC, a GDPR distingue entre dados Pseudónimos e Anónimos. Em termos gerais, os dados pseudónimos são protegidos como Dados Pessoais enquanto que os Dados Anónimos não o são. No entanto, o limiar a ser anónimo é um desafio a ultrapassar enquanto se mantém o valor para os profissionais de marketing. Na verdade, pede aos controladores de dados e processadores que considerem “a tecnologia disponível no momento do processamento e dos desenvolvimentos tecnológicos” para determinar se um envolvido (leia-se: pessoa) poderia ser identificado através da combinação de quaisquer dados pseudônimos ou díspares. Por esta definição, os Dados Pessoais têm uma amplitude tal que os controladores e processadores podem querer assumir que a maioria dos seus dados são Pessoais, e trabalhar para trás a partir daí.
E agora?
Com a GDPR a entrar em vigor em Maio de 2018, devemos reconhecer que a nomenclatura comum dos EUA de IPI e Não IPI já não é aplicável a uma parte significativa da comunidade internacional. A GDPR está forçando as empresas em todo o mundo que lidam com dados europeus a repensar e reequipar suas políticas de dados. Embora os EUA possam nunca adotar a GDPR como escrita, não podemos ignorar a mudança para a conscientização da privacidade e a alta barra de proteção de dados pessoais na Europa.
Quer saber mais sobre a GDPR? Veja o resto da nossa série:
- Tarefa GDPR doSpotX
- O que é GDPR? O que você precisa saber sobre a Ad Tech e o Regulamento Geral de Proteção de Dados
- GDPR: Top 7 Things Things Publishers Should Do to Protect Themselves
- Como as empresas baseadas nos EUA devem pensar sobre GDPR
- Por que as empresas dos EUA devem se preocupar com PII, não-PII e Dados Pessoais
- O que é ‘Privacidade por Projeto e Padrão’ e como isso pode me ajudar a fazer escolhas difíceis em um mundo pós-GDPR?
- Como a GDPR vai apertar o controle do Google e do Facebook sobre os dólares da publicidade global – não é irónico?
- Vlog: Gerente de Produtos Senior, Jessica Berman Fala sobre GDPR