Por Joshua Mooney , Daniel Marvin , John R. Fitzsimmons | Fonte Revista Risk Management -RIMS

Nos últimos anos, os litígios sobre privacidade – especialmente ações coletivas – explodiram. Muitas ações coletivas de privacidade de dados foram baseadas em leis antigas que foram aprovadas antes mesmo da criação da Internet. Por exemplo, a Lei de Proteção à Privacidade de Vídeos (VPPA) foi aprovada em 1988, depois que o histórico de locação de vídeos do juiz Robert Bork foi publicado após sua nomeação para a Suprema Corte. A VPPA proíbe o compartilhamento do histórico de visualização de vídeos de um cliente sem o seu consentimento expresso, incluindo vídeos visualizados online. O VPPA agora está sendo usado em reclamações sobre o uso de um plug-in comumente conhecido como Meta Pixel. Esta linha de código é incorporada a um site para rastrear a atividade de navegação do usuário na web e transferir esses dados para o Meta para colocar anúncios direcionados. Os tribunais interpretaram que a transferência do histórico de visualização de vídeo de um usuário pelo Meta Pixel é uma violação potencial do VPPA.

Uma segunda área de risco decorre de reivindicações relacionadas à Lei de Invasão de Privacidade da Califórnia (CIPA). Originalmente aprovado para evitar escutas telefônicas, o precedente recente do Nono Circuito abriu a porta para reivindicações da CIPA com base na gravação e transcrição de conversas online com funções de bate-papo em sites. Com um direito privado de ação e danos legais de até US$ 5.000, as reivindicações da CIPA apresentam um risco crescente e potencialmente grave para empresas que fornecem funções de chat online.

Embora as empresas continuem a investir na proteção de dados e na resiliência cibernética, muitas vezes ignoram o impacto significativo de termos de utilização e políticas de privacidade de websites bem elaborados. As cinco considerações a seguir podem ajudar a mitigar o risco de litígio sobre privacidade de dados:

1. Disposições de consentimento afirmativo

Com a proliferação de leis de privacidade de dados e litígios nos Estados Unidos, o consentimento tornou-se uma ferramenta fundamental na redução do risco de litígio civil. O consentimento do usuário para o compartilhamento de suas informações deve ser afirmativo, consciente e voluntário. Uma política de privacidade enterrada na parte inferior de uma página da Web, afirmando que um usuário concorda com certos termos e condições simplesmente por visualizar uma página da Web, provavelmente não reduzirá o risco de litígio. Estas políticas de “navegação” muitas vezes não resistem ao escrutínio judicial. Em vez disso, os tribunais preferem uma política de “click-wrap”, que exige ação afirmativa do usuário, como marcar a caixa “Aceito estes Termos” antes de acessar o site. Também é importante certificar-se de que a exigência de marcar a caixa aconteça antes que as funções dos cookies sejam iniciadas em seu site. A aceitação dos termos de uso não funciona após o fato.

Além disso, o consentimento deve estar de acordo com a presença online da sua empresa. Para reivindicações de VPPA, por exemplo, políticas prontas para uso contendo linguagem padronizada não fornecerão proteção adequada. A VPPA exige consentimento expresso dos consumidores especificamente relacionado ao compartilhamento de seus hábitos de visualização de vídeos. Embora esta linguagem seja supérflua se o site da sua empresa não tiver vídeos, o princípio deve ser aplicado a qualquer cláusula de consentimento. Primeiro, compreenda as capacidades do site relacionadas à coleta, processamento ou transferência de dados. Em seguida, entenda o esquema estatutário e regulatório em jogo. Por fim, insira a linguagem de consentimento necessária para reduzir riscos futuros.

2. Isenções de ações coletivas

A menos que haja uma disposição legal sobre danos, como acontece com as reivindicações da Lei de Privacidade de Informações Biométricas de Illinois, os acordos de alto valor costumam ser uma função do grande número de reclamantes em casos de violação de dados. As isenções de ações coletivas são uma ferramenta fundamental para reduzir esse risco. Comumente incluídas em acordos de arbitragem, essas renúncias impedem que usuários ou clientes entrem com uma ação coletiva, exigindo que os clientes apresentem ações individuais, muitas vezes por danos nominais. Ao minar a economia do litígio nestes casos, reduz-se o risco de grandes acordos. Semelhante ao consentimento, a aplicabilidade das renúncias a ações coletivas em contratos é uma consideração crítica. Geralmente, os tribunais são mais propensos a aplicar uma renúncia à ação coletiva incluída em um contrato click-wrap do que em um contrato de navegação.

3. Cláusulas de seleção do fórum

As cláusulas de seleção de foro podem ajudar a reduzir os custos de litígio e permitir que as empresas litigam com o seu advogado preferido ao abrigo da legislação familiar. Geralmente, essas cláusulas vêm em duas formas: obrigatórias ou permissivas. Como os termos sugerem, uma cláusula obrigatória exige que os demandantes registrem todos os litígios em um foro designado, enquanto as cláusulas permissivas de seleção de foro identificam um foro preferencial, mas permitem o litígio em outro lugar. Uma redação inteligente e detalhada é fundamental, pois cláusulas de seleção de foro mal formuladas podem ser inexequíveis, levando a custos crescentes de litígio e decisões desfavoráveis.

4. Cláusulas de Arbitragem

Os acordos de arbitragem obrigatórios pré-disputa são uma ferramenta eficaz e bem estabelecida, usada para gerenciar responsabilidades e controlar custos de litígio em muitos setores. Estas cláusulas são especialmente importantes à medida que os litígios por violação de dados se tornam mais difundidos. Os tribunais da Califórnia, Illinois e Nova Iorque mantiveram cláusulas de arbitragem obrigatórias em litígios de violação de dados, criando um precedente útil para empresas que procuram incluir estas condições nos contratos de utilização. As cláusulas de arbitragem não se aplicam apenas aos contratos de consumo. Numa relação entre empresas, uma cláusula de arbitragem pode ajudar a reduzir custos de litígio, agilizar resoluções e manter a confidencialidade. Os árbitros são frequentemente especialistas no assunto, por isso são capazes de compreender rapidamente as principais questões da disputa e orientar as partes para um acordo final. Isto é especialmente importante para empresas que armazenam ou processam informações comerciais críticas para terceiros, onde uma violação de dados pode levar à perda de segredos comerciais, à interrupção dispendiosa dos negócios ou a sérios danos à reputação.

5. Limitações sobre cookies desnecessários e coleta de dados

Uma organização só deve usar rastreadores, cookies ou outros plug-ins de sites de terceiros quando puder identificar especificamente os benefícios que essas ferramentas proporcionam à organização. O uso desnecessário dessas ferramentas e dos dados que elas coletam, retêm e transferem acarreta riscos, que são amplificados pelo cenário em constante mudança nos litígios sobre privacidade de dados. Novas reivindicações e teorias de responsabilidade estão surgindo à medida que leis antigas são aplicadas a novas tecnologias. Por exemplo, os queixosos em Massachusetts e na Califórnia já garantiram acordos multimilionários em casos de escuta telefónica. Os demandantes alegaram que o uso de Meta Pixel, Session Reply, Heatmaps e outras ferramentas que coletam dados ou observam as atividades de um usuário em um site estavam transmitindo ilegalmente o conteúdo de uma comunicação por fio a terceiros. É improvável que estes casos ocorram apenas em Massachusetts e na Califórnia. Todos os 50 estados têm estatutos de escuta telefônica, que muitas vezes incluem danos legais que levam a riscos multimilionários.

O primeiro passo para reduzir este risco é simples, mas requer a colaboração de toda a organização: limitar o uso de rastreadores de terceiros. Embora a eliminação completa destes rastreadores seja provavelmente irrealista, reduzir o âmbito da sua utilização pode reduzir o risco envolvido. Por exemplo, limitar o uso de rastreadores de terceiros quando um usuário insere ou visualiza dados confidenciais, como histórico médico ou resultados de diagnóstico, pode ser um mitigador de risco eficaz. Além disso, as organizações devem usar as configurações de privacidade da ferramenta para limitar o tipo de dados do usuário coletados ou transferidos a terceiros. Finalmente, incluir divulgações relacionadas ao rastreamento em uma política de privacidade pode reduzir o risco, solicitando o consentimento dos usuários para o rastreamento de terceiros.

Da mesma forma, os princípios de minimização de dados podem ser ferramentas eficazes de mitigação de riscos. Para reduzir riscos futuros, examine quando, por que e por quanto tempo sua organização retém dados. Manter os dados “por precaução” aumenta o risco de um processo judicial bem-sucedido no caso de violação de dados, especialmente se você reter informações confidenciais, como números de Seguro Social ou dados médicos. Embora alguns serviços financeiros ou organizações de saúde sejam obrigados a reter determinadas informações dos clientes, todas as organizações devem auditar consistentemente as suas práticas de retenção de dados e eliminar dados desnecessários do seu sistema.

Joshua A. Mooney é sócio e chefe do setor cibernético e de privacidade de dados dos EUA na Kennedys.

Daniel Marvin é sócio da prática de segurança cibernética e privacidade de dados do escritório de advocacia Kennedys.

John R. Fitzsimmons é associado da prática de segurança cibernética e privacidade de dados do escritório de advocacia Kennedys.

https://www.rmmagazine.com/articles/article/2023/12/01/5-ways-to-reduce-legal-risk-with-privacy-policies

-------------------------------------------------------------