LGPD.In

Seu amigo na implantação da Lei Geral de Proteção de Dados

A localização é uma bomba-relógio na GDPR?

Na semana passada, surgiram as notícias de que o Google e o Facebook estão na doca da UE, novamente. Desta vez, acabou como eles coletam, processam e monetizam dados.

Sempre foi provável, considerando a história conturbada do duopólio com os reguladores (tanto em casa nos EUA quanto no exterior).

Se o RGPD for comparado à forma como esses gigantes da tecnologia se comportam, é provável que destaque alguns buracos flagrantes em torno do consentimento e a transparência das informações usadas para obter o consentimento.

Eu tive um ponto de interrogação diferente na parte de trás da minha cabeça nos últimos meses. Em uma palavra – localização. Raramente recebe mais do que uma menção passageira quando investigações sobre como os dados são tratados, mas, para mim, um dia será um grande problema.

Lembrei-me disso na semana passada ao ler sobre como a programação está mudando para o exterior digital. É verdade que a tecnologia é extremamente empolgante, mas quando conversei com especialistas do setor, parte da positividade está no público sendo rastreado por meio de seu smartphone. Ao saber onde as pessoas estão em diferentes momentos do dia, os proprietários de telas podem vender uma variedade de públicos-alvo em diferentes locais nos horários de trabalho, fim de semana e noite. 

Quando pergunto como isso é feito, geralmente há uma referência rápida a todas as informações em conformidade com o GDPR e a conversa segue em frente. 

No entanto, luto para ver como isso poderia acontecer, porque as regras de localização na nova legislação são muito rigorosas. Para começar, você precisa ser uma empresa de telecomunicações para capturar as informações ou ser alguém que oferece um serviço de valor agregado, como um negócio de avarias de carros, para garantir o rastreamento de uma pessoa. A idéia é que rastrear sua localização deve ser vital para fornecer um serviço ou incrivelmente útil para uma pessoa de alguma forma. 

O consentimento para que uma pessoa tenha sua localização processada só pode ser dada por esse usuário do smartphone, e há dois critérios. Deve ser anônimo e essencial para fornecer um serviço de valor agregado. 

Agora, poderíamos discutir até que as vacas voltem para casa se um ID de dispositivo móvel é pessoalmente identificável ou anônimo. Um ativista diria que é exclusivo para uma pessoa e, portanto, é identificável, enquanto um executivo de publicidade provavelmente argumentaria que é um número aleatório que não atribui à identidade de uma pessoa. Um ativista pode responder que os dados de localização, incluindo endereços “residencial” e “comercial” em um serviço de mapeamento, podem significar que o ID do dispositivo não é tão anônimo. Você pode escolher seu próprio lado do argumento aqui.

No entanto, as coisas se tornam difíceis para Adland quando se tenta provar que o outro lado da barganha é respeitado. Os dados de localização estão sendo processados ​​apenas quando é necessário fornecer um serviço de valor agregado, como apontar onde fica o restaurante mais próximo, fornecer instruções sobre como caminhar até uma reunião ou revelar como será o tempo na casa de viagem?

O ponto complicado é um serviço. Certamente, a adland provavelmente pode rastrear um telefone cujo usuário concordou em ser alertado ao passar por uma cafeteria ou restaurante com muita coisa para membros leais ou qualquer pessoa que utilize uma rede telefônica específica. 

No entanto, como o rastreamento de pessoas pode levar a qualquer outra forma de monetização ou pesquisa para adland é muito mais problemático. Acompanhe uma pessoa fisicamente para ver onde ela está no mundo e quais lojas passaram e por qual tela externa elas passaram. É muito difícil ver como isso pode ser feito dentro do âmbito rigoroso do GDPR. 

Também é difícil ver como as permissões foram obtidas legalmente para compartilhar dados de localização com terceiros quando o GDPR é muito claro que o rastreamento de alguém para um serviço não deve estar vinculado a forçá-lo a aceitar que informações podem ser passadas a terceiros . Mesmo assim, deve-se exigir que o terceiro forneça apenas o serviço de valor agregado, não apenas uma empresa de publicidade que rastreia o público em torno da cidade. 

Portanto, há problemas relacionados ao consentimento com a localização. Também há problemas com o uso de qualquer pessoa que não seja seu provedor de telecomunicações ou de alguém que forneça um serviço para o qual o processamento de local é necessário. 

poderia ser eu pegando o lado errado do bastão ou lendo as regras do GDPR com muita rigor, mas não vejo como a localização é outra coisa senão uma grande bomba-relógio do GDPR. 

Fonte: https://www.mediapost.com/publications/article/344173/is-location-a-ticking-gdpr-time-bomb.html