Um varejista on-line sempre obtém o consentimento explícito dos usuários antes de compartilhar os dados dos clientes com seus parceiros. Um aplicativo de navegação anonimiza os dados de atividades antes de analisá-los para identificar tendências de viagem. Uma escola pede aos pais que verifiquem suas identidades antes de fornecer informações sobre os alunos.
Esses são apenas alguns exemplos de como as organizações apoiam a privacidade de dados, o princípio de que as pessoas devem ter controle sobre seus dados pessoais, incluindo quem pode vê-los, quem pode coletá-los e como eles podem ser utilizados.
Não se pode exagerar a importância da privacidade de dados para as empresas hoje em dia. Regulamentos de grande alcance, como o GDPR da Europa, impõem multas pesadas a organizações que falham em proteger informações sensíveis. Violação de privacidade, seja causada por hackers maliciosos ou por negligência de funcionários, pode destruir a reputação e as receitas de uma empresa. Enquanto isso, as empresas que priorizam a privacidade das informações podem construir confiança com os consumidores e ganhar vantagem sobre concorrentes menos conscientes sobre privacidade.
No entanto, muitas organizações lutam com proteções de privacidade, apesar das melhores intenções. A privacidade de dados é mais uma arte do que uma ciência, uma questão de equilibrar obrigações legais, direitos dos usuários e requisitos de cibersegurança sem prejudicar a capacidade da empresa de obter valor dos dados que coleta.
Considere um aplicativo de orçamento que as pessoas usam para acompanhar os gastos e outras informações financeiras sensíveis. Quando um usuário se inscreve, o aplicativo exibe um aviso de privacidade que explica claramente os dados que coleta e como usa esses dados. O usuário pode aceitar ou rejeitar cada uso de seus dados individualmente.
Por exemplo, ele pode recusar o compartilhamento de seus dados com terceiros, mas permitir que o aplicativo gere ofertas personalizadas.
O aplicativo criptografa fortemente todos os dados financeiros dos usuários. Apenas os administradores podem acessar dados de clientes no back-end. Mesmo assim, os administradores só podem usar os dados para ajudar os clientes a resolver problemas de contas, e apenas com a permissão explícita do usuário.
Este exemplo ilustra três componentes principais dos frameworks de privacidade de dados mais comuns:
A conformidade com regulamentos relevantes é a base de muitos esforços de privacidade de dados. Embora as leis de proteção de dados variem, geralmente elas definem as responsabilidades das organizações que coletam dados pessoais e os direitos dos titulares desses dados.
O GDPR é um regulamento de privacidade da União Europeia que regula como as organizações dentro e fora da Europa lidam com os dados pessoais dos residentes da UE. Além de ser talvez a lei de privacidade mais abrangente, também está entre as mais rigorosas. As penalidades por não conformidade podem chegar a EUR 20 milhões ou 4% da receita mundial da organização no ano anterior, o que for maior.
A Lei de proteção de dados de 2018 é, essencialmente, a versão do Reino Unido do GDPR. Ela substitui uma lei anterior de proteção de dados e implementa muitos dos mesmos direitos, requisitos e penalidades que seu equivalente da UE.
A PIPEDA do Canadá regula como as empresas do setor privado coletam e utilizam dados dos consumidores. A PIPEDA concede aos titulares de dados um controle significativo sobre suas informações, mas se aplica apenas a dados usados para fins comerciais. Dados usados para outros fins, como jornalismo ou pesquisa, são isentos.
Muitos estados dos EUA têm suas próprias leis de privacidade de dados. O mais proeminente deles é o California Consumer Privacy Act (CCPA), que se aplica a praticamente qualquer organização com um site, devido à forma como define o ato de "fazer negócios na Califórnia".
A CCPA permite que os californianos impeçam a venda de seus dados e solicitem sua exclusão, entre outros direitos. As organizações podem enfrentar multas de até USD 7.500 por violação. O preço pode aumentar rapidamente. Se uma empresa vender dados de usuários sem consentimento, cada registro vendido seria considerado uma violação.
Os EUA não possuem regulamentações amplas de privacidade de dados a nível nacional, mas possuem algumas leis mais direcionadas.
De acordo com a Lei de Proteção da Privacidade das Crianças na Internet (COPPA), as organizações devem obter a permissão dos pais antes de coletar e processar dados de qualquer pessoa com menos de 13 anos. As regras para o tratamento de dados de crianças podem se tornar ainda mais rigorosas se a Lei de Segurança On-line para Crianças (KOSA), atualmente em consideração no Senado dos EUA, for aprovada. A KOSA exigiria que os serviços on-line adotassem as configurações de privacidade mais restritivas para usuários com menos de 18 anos.
A Lei de Portabilidade e Responsabilidade de Planos de Saúde (HIPAA) é uma lei federal que trata de como os prestadores de serviços de saúde, companhias de seguros e outras empresas protegem informações pessoais de saúde.
O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) não é uma lei, mas um conjunto de padrões desenvolvidos por um consórcio de empresas de cartões de crédito, incluindo Visa e American Express. Esses padrões descrevem como as empresas devem proteger os dados dos cartões de pagamento dos clientes.
Embora o PCI DSS não seja um requisito legal, empresas de cartões de crédito e instituições financeiras podem multar empresas que não estejam em conformidade ou até mesmo proibi-las de processar cartões de pagamento.
A conformidade com a privacidade é apenas o começo. Embora seguir a lei ajude a evitar penalidades, pode não ser suficiente para proteger totalmente as informações de identificação pessoal (PII) e outros dados sensíveis contra hackers, uso indevido e outras ameaças à privacidade.
Alguns princípios e práticas comuns que as organizações utilizam para reforçar a privacidade de dados incluem:
Para uma governança de dados eficaz, uma organização precisa saber os tipos de dados que possui, onde esses dados estão localizados e como eles são utilizados.
Alguns tipos de dados, como biometria e números de seguridade social, requerem proteções mais fortes do que outros. Saber como os dados circulam pela rede ajuda a rastrear o uso, detectar atividades suspeitas e implementar medidas de segurança nos lugares certos.
Por fim, a visibilidade total dos dados facilita o cumprimento das solicitações dos titulares de dados para acessar, atualizar ou excluir suas informações. Se a organização não tiver um inventário completo dos dados, pode acabar deixando alguns registros de usuários para trás após uma solicitação de exclusão.
Um varejista digital cataloga todos os tipos diferentes de dados de clientes que possui, como nomes, endereços de e-mail e informações de pagamento salvas. Ele mapeia como cada tipo de dado circula entre sistemas e dispositivos, quem tem acesso a eles (incluindo funcionários e terceiros) e como são utilizados. Por fim, o varejista classifica os dados com base em seus níveis de sensibilidade e aplica os controles apropriados a cada tipo. A empresa realiza auditorias regulares para manter o inventário de dados atualizado.
As organizações podem limitar os riscos à privacidade concedendo aos usuários o máximo controle possível sobre a coleta e o processamento de seus dados. Se uma empresa sempre obtiver o consentimento do usuário antes de fazer qualquer coisa com seus dados, é difícil que a empresa viole a privacidade de alguém.
Dito isso, às vezes as organizações precisam processar os dados de uma pessoa sem o seu consentimento. Nesses casos, a empresa deve garantir que tenha um motivo legal válido para fazê-lo, como um jornal que esteja relatando crimes que os perpetradores prefeririam esconder.
Um site de mídia social cria um portal de autoatendimento de dados. Os usuários podem baixar todos os dados que compartilharam com o site, atualizar ou excluir seus dados e decidir como o site pode processar suas informações.
Pode ser tentador coletar uma grande quantidade de dados, mas quanto mais dados pessoais uma empresa coleta, mais exposta fica aos riscos de privacidade. Em vez disso, as organizações podem adotar o princípio da limitação: identificar um propósito específico para a coleta de dados e coletar a quantidade mínima de dados necessária para cumprir esse propósito.
As políticas de retenção também devem ser limitadas. A organização deve descartar os dados assim que o propósito específico for cumprido.
Uma agência de saúde pública está investigando a propagação de uma doença em um bairro específico. A agência não coleta nenhuma informação pessoal identificável (PII) das residências que pesquisa. Ela registra apenas se alguém está doente. Quando a pesquisa é concluída e as taxas de infecção são determinadas, a agência exclui os dados.
As organizações devem manter os usuários informados sobre tudo o que fazem com seus dados, incluindo qualquer coisa que seus parceiros terceirizados façam.
Um banco envia avisos anuais de privacidade a todos os seus clientes. Esses avisos descrevem todos os dados que o banco coleta dos titulares de contas, como usa esses dados para coisas como conformidade regulatória e decisões de crédito, e por quanto tempo mantém os dados. O banco também alerta os titulares de contas sobre qualquer alteração em sua política de privacidade assim que elas são feitas.
Medidas rigorosas de controle de acesso podem ajudar a prevenir o acesso e uso não autorizados. Somente pessoas que precisam dos dados por razões legítimas devem ter acesso a eles. As organizações devem usar autenticação multifatorial (MFA) ou outras medidas robustas para verificar as identidades dos usuários antes de conceder acesso aos dados. As soluções de gerenciamento de acesso e identidade (IAM) podem ajudar a aplicar políticas granulares de controle de acesso em toda a organização.
Uma empresa de tecnologia usa políticas de controle de acesso baseadas em funções para atribuir privilégios de acesso com base nos papéis dos funcionários. As pessoas podem acessar apenas os dados que precisam para desempenhar suas responsabilidades principais e só podem usá-los de maneiras aprovadas. Por exemplo, o líder de RH pode ver os registros dos funcionários, mas não pode acessar os registros dos clientes. Os representantes de atendimento ao cliente podem ver as contas dos clientes, mas não têm acesso aos dados de pagamento salvos dos clientes.
As organizações devem usar uma combinação de ferramentas e táticas para proteger os dados em repouso, em trânsito e em uso.
Um prestador de serviços de saúde criptografa o armazenamento de dados dos pacientes e usa um sistema de detecção de intrusões para monitorar todo o tráfego para o banco de dados. Ele utiliza uma ferramenta de data loss prevention (DLP) para rastrear como os dados circulam e como são usados. Se o sistema detectar uma atividade ilícita, como uma conta de funcionário movendo dados de pacientes para um dispositivo desconhecido, o DLP emite um alerta e corta a conexão.
As avaliações de impacto à privacidade (PIAs) determinam o nível de risco que uma determinada atividade representa para a privacidade dos usuários. As PIAs identificam como o processamento de dados pode prejudicar a privacidade dos usuários e como prevenir ou mitigar essas preocupações de privacidade.
Uma empresa de marketing sempre realiza uma PIA antes de cada novo projeto de pesquisa de mercado. A empresa usa essa oportunidade para definir claramente as atividades de processamento e fechar quaisquer lacunas de segurança de dados. Dessa forma, os dados são usados apenas para um propósito específico e protegidos em cada etapa. Se a empresa identificar riscos sérios que não pode mitigar de maneira razoável, ela reformula ou cancela o projeto de pesquisa.
Privacidade de dados desde a concepção e por padrão é a filosofia de que a privacidade deve ser um componente central de tudo o que a organização faz, cada produto que constrói e cada processo que segue. A configuração padrão de qualquer sistema deve ser a mais amigável à privacidade.
Quando os usuários se inscrevem em um aplicativo de fitness, as configurações de privacidade do aplicativo são automaticamente definidas para "não compartilhar meus dados com terceiros". Os usuários devem alterar suas configurações manualmente para permitir que a organização venda seus dados.
Cumprir as leis de proteção de dados e adotar práticas de privacidade pode ajudar as organizações a evitar muitos dos maiores riscos de privacidade. Ainda assim, vale a pena examinar algumas das causas e fatores mais comuns que contribuem para violações de privacidade, para que as empresas saibam o que observar.
Quando as organizações não têm visibilidade completa de suas redes, as violações de privacidade podem prosperar nas lacunas. Os funcionários podem migrar dados confidenciais para ativos de TI invisível desprotegidos. Eles também podem usar dados pessoais regularmente sem a permissão do titular, porque os supervisores não têm a supervisão necessária para identificar e corrigir o comportamento. Cibercriminosos podem se infiltrar na rede sem serem detectados.
À medida que as redes corporativas se tornam mais complexas, misturando ativos locais, trabalhadores remotos e serviços de nuvem, fica mais difícil rastrear os dados em todo o ecossistema de TI. As organizações podem usar ferramentas como soluções de gerenciamento de superfície de ataque e plataformas de proteção de dados para ajudar a simplificar o processo e proteger os dados onde quer que eles estejam.
Algumas regulamentações estabelecem regras especiais para o processamento automatizado. Por exemplo, o GDPR concede às pessoas o direito de contestar decisões tomadas por meio de processamento automatizado de dados.
O aumento da inteligência artificial generativa pode criar problemas de privacidade ainda mais complexos. As organizações não podem necessariamente controlar o que essas plataformas fazem com os dados que inserem. Fornecer dados de clientes a uma plataforma como o ChatGPT pode ajudar a obter insights sobre o público, mas a IA pode incorporar esses dados em seus modelos de treinamento. Se os titulares de dados não consentiram com o uso de suas informações de identificação pessoal (PII) para treinar uma IA, isso constitui uma violação de privacidade.
As organizações devem explicar claramente aos usuários como processam seus dados, incluindo qualquer processamento de IA, e obter o consentimento dos titulares. No entanto, mesmo a organização pode não saber tudo o que a IA faz com os seus dados. Por essa razão, as empresas devem considerar trabalhar com aplicativos de IA que permitam manter o maior controle possível sobre seus dados.
Contas roubadas são um dos principais vetores de violações de dados, de acordo com o relatório do custo das violações de dados da IBM. As organizações se arriscam quando concedem aos usuários mais privilégios do que o necessário. Quanto mais permissões de acesso um usuário possui, mais danos um hacker pode causar ao sequestrar sua conta.
As organizações devem seguir o princípio do menor privilégio. Os usuários devem ter apenas o mínimo de privilégio necessário para realizar suas funções.
Funcionários podem acidentalmente violar a privacidade dos usuários se não estiverem cientes das políticas da organização e dos requisitos de conformidade. Eles também podem colocar a empresa em risco ao não praticar bons hábitos de privacidade em suas vidas pessoais.
Por exemplo, se os funcionários compartilharem informações excessivas em suas contas pessoais de redes sociais, cibercriminosos podem usar essas informações para criar ataques convincentes de spear phishing e comprometimento de e-mails corporativos.
Compartilhar dados de usuários com terceiros não é automaticamente uma violação de privacidade, mas pode aumentar o risco. Quanto mais pessoas têm acesso aos dados, mais oportunidades existem para hackers, ameaças internas ou até mesmo negligência de funcionários causarem problemas.
Além disso, terceiros inescrupulosos podem usar os dados de uma empresa para seus próprios fins não autorizados, processando dados sem o consentimento dos titulares.
As organizações devem garantir que todos os acordos de compartilhamento de dados sejam regidos por contratos legalmente vinculativos que responsabilizem todas as partes pela proteção e uso adequado dos dados dos clientes.
As informações pessoais identificáveis são um grande alvo para cibercriminosos, que podem usá-las para cometer roubo de identidade, furtar dinheiro ou vendê-las no mercado negro. Medidas de segurança de dados, como criptografia e ferramentas de DLP, são tão importantes para salvaguardar a privacidade dos usuários quanto para proteger a rede da empresa.
As regulamentações de privacidade estão se tornando mais rigorosas em todo o mundo, a superfície de ataque das organizações está se expandindo, e os avanços rápidos em IA estão mudando a maneira como os dados são consumidos e compartilhados. Nesse cenário, uma estratégia de privacidade de dados pode ser um diferencial que fortalece a postura de segurança de uma organização e a destaca da concorrência.
Tome, por exemplo, uma tecnologia como as ferramentas de criptografia e gerenciamento de acesso e identidade (IAM). Essas soluções podem ajudar a atenuar o impacto financeiro de uma violação de dados bem-sucedida, economizando mais de USD 572.000 para as organizações, de acordo com o relatório do custo das violações de dados. Além disso, práticas sólidas de privacidade de dados podem aumentar a confiança dos consumidores e até mesmo construir fidelidade à marca (link fora de ibm.com).
À medida que a proteção de dados se torna cada vez mais vital para a segurança e o sucesso dos negócios, as organizações devem considerar os princípios de privacidade de dados, regulamentações e mitigação de riscos entre suas principais prioridades.
Explore o Guardium Data Protection