Preparar-te para as Mudanças: Guia de Ação para Operadores de Websites face à Turbulência do EU-US Data Privacy Framework (Atualização)

Vamos recuar um passo antes de analisarmos os impactos nos websites e explorarmos o que pode ser feito.

O básico: O EU-US Data Privacy Framework

O EU-US Data Privacy Framework é um acordo legal concebido para transferir dados pessoais de forma segura da UE para os EUA. As principais características incluem:

• Salvaguardas mais fortes: Novos requisitos legais limitam a vigilância pelos serviços de informação dos EUA e garantem que o acesso a dados da UE é necessário e proporcional.
• Recursos: O Framework fornece aos cidadãos da UE opções ampliadas para lidar com o uso indevido dos seus dados, incluindo acesso a um novo tribunal de revisão.
• Monitorização e Conformidade: A conformidade com o Framework é regularmente revista pelas autoridades dos EUA e da UE, sendo que as empresas devem autocertificar-se e divulgar as suas práticas de privacidade.

Ok, e porque é que precisamos mesmo disto? "De modo geral, a legislação da UE proíbe a exportação de dados pessoais para fora da UE desde 1995, a menos que haja uma necessidade absoluta (p. ex., ao enviar um email para qualquer país fora da UE) ou quando o país não pertencente à UE forneça uma proteção 'essencialmente equivalente' dos dados pessoais dos europeus." (Fonte: Noyb.eu)

Podes encontrar uma descrição muito detalhada deste framework por Thomas Schwenke aqui (em alemão!) ou claro na Wikipédia.

O problema atual

Sobre os problemas com o acordo, Max Schrems comentou: "Este acordo foi sempre construído sobre areia, mas o lobby empresarial da UE e a Comissão Europeia quiseram-no na mesma. Em vez de limitações legais estáveis, a UE aceitou promessas executivas que podem ser anuladas em segundos. Agora que as primeiras ondas de Trump atingem este acordo, ele pode em breve dissolver-se em segundos e colocar muitas empresas da UE num limbo legal. [...]" (Fonte: Noyb.eu)

O advogado Thomas Schwenke escreve sobre isto no LinkedIn

Porque é que te deves preocupar? ... ou o que isto significa para o teu próprio website.

Assim que o acordo colapsar, ficas numa zona cinzenta legal com todos os serviços que se baseiam neste acordo. No fundo, isto inclui tudo o que passa pelos EUA. Uma verificação simples para ti: Abre a política de privacidade do teu website e pesquisa por "Data Privacy Framework". Tudo o que aparece está na tua lista de potenciais problemas.

Por exemplo: Vimeo, Webflow, Cloudflare, WhatsApp, Google Tag Manager, Google Analytics, Google reCAPTCHA, YouTube, Facebook Pixel, Calendly ... mer*a!!

Em alternativa, também podes visitar websites e clicar em "Rejeitar" no banner de cookies. Muito do que então desaparece é afetado, como podes ver pela lista, incluindo coisas que tu como visitante não consegues ver.

Também podes consultar a lista aqui: https://www.dataprivacyframework.gov/list

Se percorreres a lista, vais rapidamente perceber que um website é apenas uma pequena parte do problema. O framework regula grande parte da nossa vida e trabalho diário na internet.

O que fazer enquanto operador de um website?

Ok, trocar rapidamente o Webflow como base de um website será difícil ou impossível. O teu responsável pela proteção de dados pode começar com uma "avaliação de impacto sobre a proteção de dados", mas podes percorrer a lista e procurar alternativas na UE para tudo o resto.

Rever e ajustar ferramentas

• Avalia a necessidade de cada software: Consegues prescindir do Google Analytics a longo prazo e usar alternativas da UE amigas da privacidade? (Sim, existem, p. ex., SimpleAnalytics)
• Hosting local: Integra scripts e ficheiros diretamente no teu website em vez de os carregar de fontes externas.
• Reduz ferramentas de marketing: Minimiza o número de ferramentas que capturam dados dos utilizadores. Pensa no que realmente precisas e no que é apenas supérfluo.

Substituição de conteúdo incorporado

• Substitui conteúdo como mapas e vídeos por alternativas amigas da privacidade.
• Mapas: Pondera se mapas interativos são necessários ou se um simples link é suficiente. Honestamente, o mapa do Google Maps no teu website nunca foi realmente utilizável.
• Vídeos: Remove plataformas como YouTube e Vimeo e considera alternativas de video hosting privacy-first que dispensem tracking e consentimento. (DICA DICA: Conhecemos uma. Nós!)
• Fontes e Captchas: Aloja Google Fonts localmente e usa alternativas ao reCAPTCHA como o Friendly Captcha.

Escolhe novos fornecedores da UE

Seleciona novos fornecedores da UE para poderes resolver o problema de forma permanente. Todos estes acordos são uma saga sem fim.

Mas, honestamente, isto também é uma vantagem para os visitantes do teu website. Porque muito do que está na lista atualmente só é possível se eles clicarem em Aceitar no banner de cookies. Às vezes, para todos os outros, resta apenas um esqueleto pouco atrativo do website. (ver imagem acima)

Porque é que nos preocupamos?

Dá uma vista de olhos à nossa missão. A web está partida. Banners de cookies, tecnologias invasivas, frameworks tão complicados destruíram a experiência do utilizador e fizeram retroceder os websites modernos.

Em vez de andares outra vez numa zona cinzenta legal à espera que um acordo destes aguente, que tal simplesmente resolver o problema? Isso só é possível — para websites — se a proteção de dados e a experiência do utilizador forem consideradas em conjunto. Foi o que fizemos para o video hosting e desenvolvemos o Ignite. É a única solução que entrega vídeos sem cookies e sem consentimento, conforme RGPD, sem depender destes frameworks e sem comprometer o desempenho do teu website.

Acreditamos que precisamos de mais soluções da UE para a UE.