Uma nova lei abrangente que visa reescrever as regras da Internet na Califórnia deve entrar em vigor em 1º de janeiro.

A maioria das empresas com um site e clientes na Califórnia - ou seja, a maioria das grandes empresas do país - deve seguir o novo regime, que supostamente torna a vida online mais transparente e menos assustadora para os usuários.

O único problema:ninguém sabe ao certo como as novas regras funcionam.

A Lei de Privacidade do Consumidor da Califórnia começou com uma premissa simples:as pessoas devem saber se as empresas vendem suas informações pessoais, veja quais informações as empresas já coletaram sobre eles, e tem a opção de encerrar todo o sistema.

Mas nada é simples quando se trata da economia de dados on-line de alta velocidade e em grande parte opaca. Por mais de duas décadas, empresas de tecnologia construíram um sistema profundamente enredado para rastrear os hábitos e identidades de milhões de usuários, cada segundo de cada dia, e, em seguida, trocar ou vender essas informações para aprimorar o marketing, publicidade e estratégia de negócios.

Graças à complexidade técnica do sistema e ao cronograma apressado de implementação, uma série de questões básicas permanecem sem resposta. O que significa "vender"? Como as empresas podem ter certeza de que estão excluindo os dados da pessoa certa? E o simples fato de ter um site que mantém o controle de quantas pessoas visitam a cada ano significa que você deve entrar no matagal regulamentar?

O gabinete do procurador-geral, que tem a tarefa de interpretar e fazer cumprir a lei, só publicou sua primeira rodada de projetos de regulamentação no início de outubro. É improvável que um conjunto final chegue até bem em 2020, e a lei não será aplicada até julho.

Enquanto isso, as empresas estão lutando para se certificar de que não estão infringindo os princípios básicos da lei. Grandes empresas estão assinando acordos com empresas especializadas em compliance para criar botões "não vender minhas informações pessoais" em seus sites (e garantir que realmente funcionem). Pequenas empresas estão criando contas de e-mail para atender às solicitações dos clientes - ou apenas mantendo a cabeça baixa e apostando que o procurador-geral não vai se incomodar com eles assim que a execução começar.

"Não há advogado de privacidade no setor que não esteja trabalhando 24 horas por dia para se preparar para 1º de janeiro, "disse Michael Hahn, conselheiro geral do Interactive Advertising Bureau, um grupo do setor formado por empresas do ecossistema de publicidade online.

Tudo começou quando Alistair McTaggart, uma incorporadora imobiliária de São Francisco, teve uma conversa perturbadora sobre privacidade digital com um engenheiro do Google em um coquetel. Ele decidiu financiar uma campanha eleitoral para 2018. Os legisladores de Sacramento fizeram um acordo para transformá-lo em lei, e incomum para uma lei que afetará empresas de bilhões de dólares, permaneceu praticamente inalterado pelos esforços de lobby até 2019.

Na economia de dados, as informações pessoais dos usuários podem ser usadas em transações ultrarrápidas, como o leilão em tempo real que ocorre por trás de cada anúncio online, e armazenados em bancos de dados por décadas. As vezes, empresas vendem informações pessoais - a localização de alguém, idade ou mesmo nome - sem nenhuma informação de contato, ou maneiras fáceis de verificar a identidade desse indivíduo.

O resultado é uma mistura obscura de vigilância total e manutenção de registros descuidados, o que torna a resposta a demandas aparentemente simples, como "diga-me quais informações você coletou sobre mim" e "pare de vender minhas informações", surpreendentemente complexo.

Para empresas, o impacto foi o equivalente digital de exigir que cada motorista do estado instale um novo conversor catalítico em seu carro ou enfrentará uma multa - sem compartilhar nomes de marca ou especificações técnicas da atualização necessária. Um relatório de 2019 encomendado pelo gabinete do procurador-geral estimou que o cumprimento da lei poderia custar às empresas afetadas US $ 55 bilhões iniciais, com potencial para US $ 16 bilhões adicionais na próxima década.

Os legisladores por trás das regras veem o caos como necessário para controlar uma indústria que vem operando sem controle há décadas.

"Tem sido realmente o Velho Oeste, "diz Bob Hertzberg (D – Van Nuys), o líder da maioria no Senado do Estado da Califórnia que defendeu o projeto de lei em Sacramento. "Há sempre um pouco de confusão, mas a chave é manter os olhos no horizonte, e torná-lo viável, mas profundamente voltado para o futuro em termos de proteção ao consumidor. "

As empresas afetadas pelas novas regras desistiram de se opor a elas, uma vez que ficou claro que se tornariam lei. Agora eles só querem descobrir o que está acontecendo.

Em uma reunião no início de dezembro em Los Angeles, representantes de grupos comerciais poderosos e indivíduos interessados ​​fizeram fila para expressar não tanto oposição, mas confusão, como parte do período de comentários que moldará a próxima rodada de projetos de regulamentação.

Peter Watson, membro do conselho da California Self-Storage Association, fez uma pergunta básica:quais empresas devem seguir a lei?

A CCPA se aplica apenas a empresas com mais de US $ 25 milhões em receita ou acesso a informações pessoais de mais de 50, 000 pessoas. Portanto, se uma empresa de autoarmazenamento tiver a informação de 10, 000 inquilinos atuais e antigos, mas mais de 50, 000 pessoas visitam seu site todos os anos, compartilhando assim seus endereços IP com a empresa, isso se qualifica?

Outras questões giraram em torno do que parecia uma contradição:em alguns casos, as empresas podem precisar solicitar mais informações pessoais para realizar a solicitação de um usuário para excluir ou obter uma cópia de todas as suas informações pessoais. Eles podem saber que uma pessoa chamada Maria Garcia tem 36 anos, gosta de caminhões e dramas jurídicos, e se conecta regularmente a partir de um telefone no centro de Los Angeles, mas se alguém enviar um e-mail afirmando ser Maria Garcia e pedir todas as informações sobre si mesmo, como uma empresa pode ter certeza de que é a certa? Eles podem pedir mais informações pessoais, como um e-mail específico ou número do seguro social, verificar?

Bo Kim, advogado da Câmara de Comércio da Califórnia, começou com um apelo para adiar o prazo para janeiro de 2021, em seguida, destacou uma maneira pela qual os projetos de regulamentos vão contra os limites do conhecimento humano. Uma disposição exige que as empresas compartilhem, em suas políticas de privacidade, o valor dos dados pessoais de um usuário individual.

"A grande maioria das empresas impactadas pela CCPA utiliza tecnologia, mas não são empresas de tecnologia, "Kim disse." Como tal, não há um valor particular de dados alocados em qualquer balanço existente. "

O impacto mais abrangente da nova lei recai sobre a economia da publicidade online e os negócios - incluindo gigantes da tecnologia como Facebook e Google e empresas de mídia como The Los Angeles Times - que dependem dela.

O mecanismo principal do mundo dos anúncios online é chamado de lance em tempo real:por trás de cada anúncio em uma página da web (incluindo este), há uma série de transações quase instantâneas acontecendo.

A própria página, por meio do uso de rastreadores digitais, coleta dados no leitor. Então, a página envia essas informações do usuário pelo pipeline junto com um determinado conjunto de regras, como os tipos de anúncios que deseja exibir, e a que preço. Uma troca de anúncios organiza instantaneamente um leilão para o espaço e o usuário, frequentemente buscando o lance mais alto entre os compradores de anúncios que também inseriram previamente seus destinos preferidos, preços e a aparência de seus anúncios. Depois que todo esse processo ocorre - em questão de microssegundos - o anúncio é exibido.

Hoje, cada entidade ao longo do caminho normalmente salva todos os dados possíveis para uso posterior. Quanto mais informações uma página conhece sobre um usuário, quanto mais alto o preço que pode cobrar por um anúncio - e cada pequena fatia de informação pode ser adicionada a um perfil de consumidor, que pode ser vendido para outras empresas no futuro, em busca de um público-alvo mais direcionado.

Essa prática permitiu que a indústria de tecnologia de publicidade acumulasse perfis de consumidores em milhões de pessoas. A nova lei capacita os californianos a interromper a vigilância imediatamente.

O CCPA não quebra a cadeia de lances em tempo real de transferência de dados e exibição de anúncios - e McTaggart deixou claro que essa nunca foi a intenção - mas permite que os usuários optem por sair da segunda fase do processo, onde seus dados são armazenados e embalados para serem vendidos no futuro.

Aqueles que optarem por sair provavelmente verão menos anúncios hiper-direcionados, os tipos que mostram aos usuários um anúncio de um produto que eles não compraram na metade do processo de checkout, ou que parecem mostrar assustadoramente um anúncio de uma loja que visitaram alguns dias antes. Combinado com vários pedidos de exclusão, os usuários podem eventualmente ver apenas anúncios relacionados à página que estão visitando - anúncios de carros em um artigo sobre carros, ou anúncios de entrega de refeição em um site de alimentos.

The Interactive Advertising Bureau, um consórcio que inclui a maioria dos principais editores, anunciantes, e empresas de tecnologia de publicidade nos EUA, passou grande parte de 2019 convocando reuniões para descobrir como as milhares de empresas ao longo do pipeline poderiam honrar as solicitações dos usuários para recusar a venda de seus dados. Ele surgiu com uma estrutura complexa de contratos e marcas digitais que funcionalmente grampeavam o desejo do usuário de não ter seus dados vendidos para os próprios dados, como uma etiqueta de tinta em uma mercadoria.

O Google se conectou a este sistema em dezembro, e deu a seus clientes - que incluem a maioria dos sites na Internet - um kit de ferramentas para construir esse sistema de opt-out em seus próprios sites.

Facebook, notavelmente, declarou em uma postagem do blog que não precisava mudar suas práticas para cumprir a lei. O argumento da empresa depende das definições de vendas e terceiros, trabalhando a partir da premissa de que, uma vez que o Facebook é a única entidade que coleta e monetiza dados pessoais em seu sistema, não se envolve na venda de dados do usuário a terceiros.

Se um número suficiente de pessoas desistir e pedir que seus dados sejam excluídos, isso poderia ter o efeito de cortar as receitas de publicidade em toda a linha. Os anunciantes estão dispostos a pagar mais por um alvo de maior qualidade:empresas de fraldas, por exemplo, querem mostrar seus anúncios especificamente para novas mães, não um visitante aleatório do site. É assim que o Google, que cria perfis com base nas pesquisas dos usuários, uso do aplicativo, e qualquer outra informação que possa obter dos dispositivos, tornou-se uma empresa de US $ 930 bilhões. E o Facebook colheu recompensas semelhantes de seu tesouro de dados comportamentais gerado pelo usuário.

Mas a maioria dos especialistas do setor parece pensar que é improvável que a nova lei afete os resultados financeiros dos negócios baseados em dados (além do custo de conformidade básica), simplesmente porque é improvável que a maioria dos usuários se incomode em cancelar.

"As pessoas dizem que sim, "diz Ben Barokas, executivo-chefe da empresa de gerenciamento de conformidade SourcePoint. "Mesmo quando há a opção de dizer não, talvez 10% das pessoas digam não "para que seus dados sejam vendidos para mostrar publicidade mais direcionada.

Regulamento geral de proteção de dados da Europa, ou GDPR, é um ponto de comparação útil. Sob esse regime, os usuários tinham que optar ativamente por ser rastreados online e ter seus dados vendidos - uma cláusula que alguns ativistas pressionaram para que fosse incluída na lei da Califórnia. Mas ainda, não há dados claros de que as receitas gerais de anúncios sofreram quedas de longo prazo depois que a lei entrou em vigor em maio de 2018, e alguns relatórios mostram que 95% dos usuários optam por ser rastreados em troca de acesso a sites e serviços.

Mesmo enquanto as empresas se esforçam para entrar em conformidade, as pessoas por trás da CCPA estão se preparando para introduzir uma nova rodada de regulamentos de privacidade na forma de uma medida eleitoral para 2020. As principais mudanças incluem a criação de uma agência distinta para fazer cumprir as leis, ao invés de deixar para o escritório do AG, criando um sistema opt-in para usuários menores de 16 anos, e restringindo ainda mais o uso do que a iniciativa chama de "informações pessoais confidenciais, "que inclui dados como localização, estado de saúde e orientação sexual.

McTaggart espera que a próxima rodada, com uma agência de privacidade financiada e com equipe, pode definir um novo padrão para a Internet como um todo.

"Achamos que fará pela privacidade o que o California Air Resources Board fez pela qualidade do ar em todo o país, "McTaggart disse.

Ele disse que a intenção não era destruir nenhum negócio, mas para ter certeza de que as empresas estavam usando os dados do consumidor com segurança. Ou, para estender a analogia do carro à poluição digital da economia de dados:"Achamos que os carros são bons, e entendemos que LA tem muitos carros, mas seria ótimo cruzar Los Angeles em um dia claro. "

© 2019 Los Angeles Times
Distribuído pela Tribune Content Agency, LLC.