19 de dezembro de 2023
A privacidade de dados, também chamada de "privacidade da informação", é o princípio segundo o qual uma pessoa deve ter controle sobre os seus dados pessoais, incluindo a capacidade de decidir como as organizações coletam, armazenam e utilizam os seus dados.
As empresas coletam regularmente dados de usuários, como endereços de e-mail, dados biométricos e números de cartão de crédito. Para as organizações nesta economia de dados, apoiar a privacidade de dados significa tomar medidas como obter o consentimento do usuário antes de processar os dados, proteger os dados contra utilização indevida e permitir que os usuários gerenciem ativamente seus dados.
Muitas organizações têm a obrigação legal de defender os direitos de privacidade de dados ao abrigo de leis como o Regulamento Geral de Proteção de Dados (GDPR). Mesmo na ausência de legislação formal sobre privacidade de dados, as empresas podem beneficiar com a adoção de medidas de privacidade. As mesmas práticas e ferramentas que protegem a privacidade do usuário podem defender dados e sistemas confidenciais contra hackers mal-intencionados.
Privacidade de dados versus segurança de dados
A privacidade de dados e a segurança de dados são disciplinas distintas, mas relacionadas. Ambos são componentes essenciais da estratégia mais ampla de governança de dadosde uma empresa.
A privacidade de dados centra-se nos direitos individuais dos titulares dos dados – ou seja, os usuários que possuem os dados. Para as organizações, a prática da privacidade de dados é uma questão de implementar políticas e processos que permitam aos usuários controlar seus dados de acordo com os regulamentos de privacidade de dados relevantes.
A segurança de dados se concentra em proteger os dados contra acesso e uso indevido não autorizados. Para as organizações, a prática da segurança de dados é, em grande parte, uma questão de implementar controles para evitar que hackers e ameaças internas adulterem os dados.
A segurança de dados reforça a privacidade de dados, garantindo que somente as pessoas certas possam acessar os dados pessoais pelos motivos certos. A privacidade de dados reforça a segurança de dados ao definir as "pessoas certas" e "os motivos certos" para qualquer conjunto de dados.
Fortaleça sua inteligência de segurança
Fique à frente das ameaças com notícias e insights sobre segurança, IA e outros semanalmente no boletim informativo do Think.
Em muitas organizações, a privacidade de dados é supervisionada por uma equipe interdisciplinar com representantes dos departamentos jurídico, de conformidade, de TI e de cibersegurança. Essas equipes elaboram políticas de gerenciamento de dados que regem como suas organizações coletam, usam e protegem dados pessoais, considerando os direitos de privacidade dos usuários. Elas também elaboram processos para que os usuários exerçam seus direitos e implementam controles técnicos para proteger os dados.
As organizações podem usar uma variedade de frameworks de privacidade de dados para orientar suas políticas de dados, incluindo a Estrutura de Privacidade do NIST1 e os Princípios de Prática Justa de Informações.2 Além disso, as especificidades da estratégia de gestão de dados de qualquer organização dependem muito das leis de privacidade que a empresa deve cumprir, se houver.
Dito isso, existem alguns princípios gerais de privacidade de dados que aparecem na maioria dos frameworks e regulamentações. Esses princípios informam as políticas, processos e controles de privacidade de dados de muitas organizações.
Os usuários têm o direito de saber quais dados uma empresa possui. Os utilizadores devem poder aceder aos seus dados pessoais a pedido. Eles devem ser capazes de atualizar ou alterar esses dados conforme necessário.
Os usuários têm o direito de saber quem tem seus dados e o que fazem com eles. No ponto de coleta de dados, as organizações devem comunicar claramente o que estão coletando e como pretendem usá-lo. Após a coleta de dados, as organizações devem manter os usuários informados sobre os principais detalhes de processamento de dados, incluindo quaisquer alterações na forma como os dados são usados e quaisquer terceiros com quem os dados são compartilhados.
Internamente, as organizações devem manter inventários atualizados de todos os dados que possuem. Os dados devem ser classificados com base no tipo, no nível de sensibilidade, nos requisitos de conformidade e em outros fatores relevantes. O controle de acesso e as políticas de uso devem ser aplicados com base nessas classificações.
As organizações devem obter o consentimento do usuário para armazenamento, coleta, compartilhamento ou processamento de dados sempre que possível. Se uma organização mantém ou usa dados pessoais sem o consentimento do titular, ela deve ter uma razão convincente para fazê-lo, como um uso de interesse público ou uma obrigação legal.
Os titulares dos dados devem ter uma maneira de levantar preocupações ou se opor ao tratamento de seus dados. Eles devem poder retirar seu consentimento a qualquer momento.
As organizações devem se esforçar para garantir que os dados coletados e mantidos sejam precisos. Imprecisões podem levar a violações de privacidade. Por exemplo, se uma empresa tiver um endereço antigo em arquivo, ele poderá enviar acidentalmente documentos confidenciais para a pessoa errada.
Uma organização deve ter um propósito definido para todos os dados que coleta. Deve comunicar esta finalidade aos utilizadores e utilizar apenas os dados para esta finalidade. A organização deve coletar somente a quantidade mínima de dados necessária para sua finalidade declarada e manter os dados somente até que essa finalidade seja cumprida.
A privacidade deve ser o estado padrão de cada sistema e processo na organização. Quaisquer produtos que a organização projete ou implemente devem tratar a privacidade do usuário como um recurso central e uma preocupação fundamental. A coleta e o processamento de dados devem ser opt-in e não opt-out. Os usuários devem manter o controle de seus dados em cada etapa.
As organizações devem implementar processos e controles para proteger a confidencialidade e integridade dos dados do usuário.
No nível do processo, as organizações podem tomar medidas como treinar funcionários sobre os requisitos de conformidade e apenas trabalhar com fornecedores e prestadores de serviços que respeitem a privacidade do usuário.
No nível dos controles técnicos, as organizações podem usar várias ferramentas para proteger os dados. As soluções de Gerenciamento de acesso e identidade (IAM) podem aplicar políticas de controle de acesso baseadas em funções para que somente usuários autorizados possam acessar dados confidenciais. Medidas rígidas de autenticação, como logon único (SSO) e autenticação multifator (MFA), podem impedir que hackers sequestrem contas de usuários legítimos.
Data loss prevention (DLP) são ferramentas que podem descobrir e classificar dados; monitorar o uso; e impedir que os usuários alterem, compartilhem ou excluam dados inadequadamente. Soluções de backup e arquivamento de dados podem ajudar as organizações a recuperar dados perdidos ou danificados.
As organizações também podem usar ferramentas de segurança de dados criadas especificamente para conformidade regulamentar. Essas ferramentas geralmente incluem recursos como criptografia, imposição automática de políticas e trilhas de auditoria que rastreiam todas as atividades de dados relevantes.
Atualmente, a organização média coleta uma quantidade enorme de dados de consumidores. As organizações têm a responsabilidade de garantir a privacidade desses dados – não por bondade, mas por uma questão de conformidade normativa, postura de segurança e vantagem competitiva.
Conformidade regulamentar
Instituições como as das Nações Unidas3 reconhecem a privacidade como um direito humano fundamental, e muitos países adotaram regulamentações de privacidade que cercam esse direito por lei. A maioria desses regulamentos vem com sanções severas por não conformidade.
O Regulamento Geral de Proteção de Dados (GDPR) da União Europeia é considerado uma das leis de privacidade de dados mais abrangentes do mundo. Ele define regras rigorosas que qualquer empresa, com sede ou fora da Europa, deve seguir ao processar os dados dos residentes da UE. Os violadores podem ser multados em até EUR 20 milhões ou 4% da receita global da empresa.
Países fora da UE têm requisitos regulatórios semelhantes, incluindo o GDPR do Reino Unido, a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos do Canadá (PIPEDA) e a Lei de Proteção de Dados Pessoais Digitais da Índia.
Os EUA não têm nenhuma lei federal de proteção de dados tão abrangente quanto o GDPR, mas têm algumas leis mais específicas. A COPPA (Children's Online Privacy Protection Act) estabelece regras para a coleta e o processamento de dados pessoais de crianças menores de 13 anos. A Lei de Portabilidade e Responsabilidade de Planos de Saúde (HIPAA) aborda como organizações de saúde e entidades relacionadas lidam com informações pessoais de saúde.
As penalidades sob essas leis podem ser significativas. Em 2022, por exemplo, a Epic Games foi multada num valor recorde de 275 milhões de dólares por violações da COPPA.4
Os EUA também têm regulamentações de privacidade em nível estadual, como a California Consumer Privacy Act (CCPA), que dá aos consumidores da Califórnia mais controle sobre como e quando seus dados são processados. Embora a CCPA seja talvez a lei de privacidade estadual mais conhecida, ela inspirou outras, como a Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA) e a Lei de Privacidade do Colorado (CPA).
Postura de segurança
As organizações hoje coletam muitas informações de identificação pessoal (PII), como números de segurança social e dados bancários dos usuários. Esses dados são alvo de hackers, que podem usá-los para cometer roubo de identidade, roubar dinheiro ou vendê-lo na dark web.
Além disso, as empresas têm seus próprios dados confidenciais proprietários que os hackers podem estar buscando, como propriedade intelectual ou dados financeiros.
De acordo com o relatório Cost of a Data Breach 2023 da IBM, a violação de dados média custa a uma empresa US$ 4,45 milhões. Muitos fatores contribuem para esse preço, incluindo a perda de negócios devido ao downtime do sistema e os custos de detecção e remediação da violação de dados.
Muitas das mesmas ferramentas que oferecem suporte à privacidade de dados também podem reduzir a ameaça de violações e fortalecer a postura geral de cibersegurança. Por exemplo, as soluções de IAM que impedem o acesso não autorizado podem ajudar a impedir hackers enquanto aplicam políticas de privacidade. As ferramentas de segurança de dados geralmente podem detectar atividades suspeitas que podem sinalizar um ataque cibernético em andamento, permitindo que a equipe de resposta a incidentes aja mais rapidamente.
Da mesma forma, funcionários e consumidores podem se defender contra alguns dos ataques de engenharia social mais danosos adotando as melhores práticas de privacidade de dados. Golpistas frequentemente vasculham aplicativos de mídia social em busca de dados pessoais que possam usar para elaborar estratégias convincentes de comprometimento de e-mail comercial (BEC) e spear phishing . Ao compartilhar menos informações e bloquear suas contas, os usuários podem eliminar uma poderosa fonte de munição dos golpistas.
Vantagem competitiva
Respeitar os direitos de privacidade dos usuários às vezes pode conceder às organizações uma vantagem competitiva.
Os consumidores podem perder a confiança nas empresas que não protegem adequadamente seus dados pessoais. Por exemplo, a reputação do Facebook teve um grande sucesso ao despertar do escândalo Cambridge Analytica.5 Os consumidores geralmente estão menos dispostos a compartilhar seus dados valiosos com empresas que ficaram aquém da privacidade no passado.
Por outro lado, empresas com reputação de proteger a privacidade dos dados podem ter um tempo mais fácil para obter e aproveitar os dados do usuário.
Além disso, na economia global interconectada, os dados muitas vezes fluem entre organizações. Uma empresa pode enviar os dados pessoais que coleta para um banco de dados em nuvem para armazenamento ou para uma empresa de consultoria para processamento. A adoção de princípios e práticas de privacidade de dados pode ajudar as organizações a proteger os dados do usuário contra o uso indevido, mesmo quando esses dados são compartilhados com terceiros. De acordo com algumas regulamentações, como o GDPR, as organizações são legalmente responsáveis por garantir que seus fornecedores e prestadores de serviços mantenham os dados seguros.
Por fim, novas tecnologias generativas de inteligência artificial podem representar desafios significativos de privacidade de dados. Quaisquer dados confidenciais alimentados para essas IAs podem se tornar parte dos dados de treinamento da ferramenta, e a organização pode não conseguir controlar como eles são usados. Por exemplo, engenheiros da Samsung involuntariamente vazaram o código-fonte proprietário inserindo o código no ChatGPT para otimizá-lo.6
Além disso, se as organizações não tiverem permissão dos usuários para executar seus dados por meio de IA generativa, isso poderá constituir uma violação de privacidade de acordo com determinados regulamentos.
Políticas e controles formais de privacidade de dados podem ajudar as organizações a adotar essas ferramentas de IA e outras novas tecnologias sem infringir a lei, perder a confiança do usuário ou vazar acidentalmente informações confidenciais.
Recursos
Notas de rodapé
1 NIST framework de privacidade, NIST.
2 Princípios de Práticas Justas de Informação, Conselho Federal de Privacidade.
3 Declaração Universal dos Direitos Humanos, Nações Unidas.
4 Fortnite Video Game Maker Epic Games to Pay More Than Half a Billion Dollars over FTC Allegations of Privacy Violations and Unwanted Charges, Federal Trade. Commission, 19 de dezembro de 2022.
5 Os Arquivos Cambridge Analytica, The Guardian.
6 Whoops, Samsung workers accidentally leaked trade secrets via ChatGPT, Mashable, 6 de abril de 2023.
