Cinco casos rendem dicas para ajudar a manter a sua empresa compatível com a privacidade

Quatro empresas – Força de trabalho do DCRum companheiro de software de gerenciamento da Flórida; Thru, Inc.um provedor de software de transferência de arquivos baseado em nuvem da Califórnia; Presságioum negócio de São Francisco que analisa as informações de localização dos usuários móveis; e Trueface.aiUma empresa com sede em Santa Monica que oferece serviços de reconhecimento facial e verificação de identidade-todos reivindicados em seus sites a serem certificados sob o Privacy Shield. Mas, de acordo com a FTC, eles enviaram pedidos, mas não terminaram o processo de certificação. Isso tornou falsa as declarações em seus sites, violando a Lei da FTC.

Uma quinta empresa – EmpiristaUm negócio com sede em Maryland que fornece serviços de suporte para ensaios clínicos-já foi certificado sob a Privacy Shield, mas permitiu que sua certificação cedeu em 2018. E, no entanto, a empresa continuou dizendo em seu site que “certificou-se ao Departamento de Comércio que adere aos princípios da Privacy Shield”. Além disso, as acusações de reclamação que o Empiristat afirmou falsamente cumpriu os princípios do escudo de privacidade quando, de fato, não conseguiu verificar se sua política publicada sobre informações recebidas da UE era precisa e completamente implementada – algo que a estrutura exige que as empresas façam anualmente. A FTC alega que a empresa também não cumpriu o requisito de escudo de privacidade de que as empresas que interrompem a participação na estrutura afirmem ao Departamento de Comércio de que continuarão aplicando proteções de escudo de privacidade às informações pessoais coletadas enquanto estavam no programa.

Os acordos propostos em todos os cinco casos proíbem deturpação sobre até que ponto as empresas participam de qualquer programa de privacidade ou segurança de dados patrocinado por um governo ou qualquer grupo de auto-regulamentação ou definição de padrões. A ordem empiristat também exige que a empresa: 1) continue aplicando proteções de escudo de privacidade às informações pessoais coletadas ao participar do programa; 2) proteger os dados por outro meio permitido pela estrutura; ou 3) retornar ou excluir as informações dentro de 10 dias após o pedido. Depois que os assentamentos propostos aparecerem no Federal Register, a FTC aceitará comentários públicos por 30 diass.

Que mensagens as empresas devem receber das dezenas de casos de escudo de privacidade que a FTC trouxe até o momento?

A FTC significa negócios quando as empresas fazem declarações falsas sobre a participação de escudo de privacidade. A FTC está comprometida em usar a proibição da Seção 5 sobre práticas enganosas para desafiar as deturpações sobre a participação do protetor de privacidade. O programa é voluntário, mas se sua empresa disser que participa, você deve cumprir seus requisitos.

Termine o que você começa. Seja o seu balanço de golfe ou o aplicativo de escudo de privacidade da sua empresa, tudo é o seguinte. Não reivindique participar da estrutura até que você concluísse o aplicativo e tenha sido certificado pelo Departamento de Comércio.

A participação do escudo de privacidade vem com obrigações contínuas. Um requisito de estrutura importante é a recertificação anual. Para manter sua empresa no lado direito da lei, coloque um lembrete de recertificação no seu calendário agora. (Sim, agora.) Além disso, se você decidir uma data posterior a não participar, altere imediatamente o que você diz em seu site. Além disso, você tem responsabilidades contínuas em relação aos dados coletados enquanto participava. Empresas experientes seguem o Requisitos do Departamento de Comércio para retirar do programa.