Publicado: 19 de dezembro de 2023
contribuidores: Matthew Kosinski, Amber Forrest
A privacidade de dados, também chamada de "privacidade da informação", é o princípio de que uma pessoa deve ter controle sobre seus dados pessoais, incluindo a capacidade de decidir como as organizações coletam, armazenam e usam seus dados.
As empresas coletam regularmente dados de usuários, como endereços de e-mail, dados biométricos e números de cartão de crédito. Para as organizações nesta economia de dados, apoiar a privacidade de dados significa tomar medidas como obter o consentimento do utilizador antes de processar dados, proteger os dados contra utilização indevida e permitir que os utilizadores giram ativamente os seus dados.
Muitas organizações têm a obrigação legal de defender os direitos de privacidade de dados ao abrigo de leis como o Regulamento Geral de Proteção de Dados (GDPR). Mesmo na ausência de legislação formal sobre privacidade de dados, as empresas podem beneficiar com a adopção de medidas de privacidade. As mesmas práticas e ferramentas que protegem a privacidade do usuário podem defender dados e sistemas confidenciais contra hackers mal-intencionados.
A privacidade de dados e a segurança de dados são disciplinas distintas, mas relacionadas. Ambos são componentes essenciais da estratégia mais ampla de governança de dados de uma empresa.
A privacidade de dados centra-se nos direitos individuais dos titulares dos dados – ou seja, os usuários que possuem os dados. Para as organizações, a prática da privacidade de dados é uma questão de implementar políticas e processos que permitam aos usuários controlar seus dados de acordo com os regulamentos de privacidade de dados relevantes.
A segurança de dados se concentra em proteger os dados contra acesso e uso indevido não autorizados. Para as organizações, a prática da segurança de dados é, em grande parte, uma questão de implementar controles para evitar que hackers e ameaças internas adulterem os dados.
A segurança de dados reforça a privacidade de dados, garantindo que somente as pessoas certas possam acessar os dados pessoais pelos motivos certos. A privacidade de dados reforça a segurança de dados ao definir as " pessoas certas " e " os motivos certos " para qualquer conjunto de dados.
Assine a newsletter da IBM
Em muitas organizações, a privacidade de dados é supervisionada por uma equipe interdisciplinar com representantes dos departamentos jurídico, de conformidade, de TI e de cibersegurança. Essas equipes elaboram políticas de gerenciamento de dados que regem como suas organizações coletam, usam e protegem dados pessoais à luz dos direitos de privacidade dos usuários. Eles também projetam processos para os usuários exercerem seus direitos e implementarem controles técnicos para proteger os dados.
As organizações podem utilizar uma variedade de estruturas de privacidade de dados para guiar suas políticas de dados, incluindo o NIST Privacy Framework1 e os Princípios de Práticas Justas de Informações.2 Além disso, as especificações da estratégia de governança de dados de qualquer organização dependem fortemente das leis de privacidade com as quais a empresa deve cumprir, se houver.
Dito isso, existem alguns princípios gerais de privacidade de dados que aparecem na maioria dos frameworks e regulamentações. Esses princípios informam as políticas, processos e controles de privacidade de dados de muitas organizações.
Os usuários têm o direito de saber quais dados uma empresa possui. Os utilizadores devem poder aceder aos seus dados pessoais a pedido. Eles devem ser capazes de atualizar ou alterar esses dados conforme necessário.
Os usuários têm o direito de saber quem tem seus dados e o que fazem com eles. No ponto de coleta de dados, as organizações devem comunicar claramente o que estão coletando e como pretendem usá-lo. Após a coleta de dados, as organizações devem manter os usuários informados sobre os principais detalhes de processamento de dados, incluindo quaisquer alterações na forma como os dados são usados e quaisquer terceiros com quem os dados são compartilhados.
Internamente, as organizações devem manter inventários atualizados de todos os dados que possuem. Os dados devem ser classificados com base no tipo, no nível de sensibilidade, nos requisitos de conformidade e em outros fatores relevantes. O controle de acesso e as políticas de uso devem ser aplicados com base nessas classificações.
As organizações devem obter o consentimento do usuário para armazenamento, coleta, compartilhamento ou processamento de dados sempre que possível. Se uma organização mantém ou usa dados pessoais sem o consentimento do titular, ela deve ter uma razão convincente para fazê-lo, como um uso de interesse público ou uma obrigação legal.
Os titulares dos dados devem ter uma maneira de levantar preocupações ou se opor ao tratamento de seus dados. Eles devem poder retirar seu consentimento a qualquer momento.
As organizações devem se esforçar para garantir que os dados coletados e mantidos sejam precisos. Imprecisões podem levar a violações de privacidade. Por exemplo, se uma empresa tiver um endereço antigo em arquivo, ele poderá enviar acidentalmente documentos confidenciais para a pessoa errada.
Uma organização deve ter um propósito definido para todos os dados que coleta. Deve comunicar esta finalidade aos utilizadores e utilizar apenas os dados para esta finalidade. A organização deve coletar somente a quantidade mínima de dados necessária para sua finalidade declarada e manter os dados somente até que essa finalidade seja cumprida.
A privacidade deve ser o estado padrão de cada sistema e processo na organização. Quaisquer produtos que a organização projete ou implemente devem tratar a privacidade do usuário como um recurso central e uma preocupação fundamental. A coleta e o processamento de dados devem ser opt-in e não opt-out. Os usuários devem manter o controle de seus dados em cada etapa.
As organizações devem implementar processos e controles para proteger a confidencialidade e integridade dos dados do usuário.
No nível do processo, as organizações podem tomar medidas como treinar funcionários sobre os requisitos de conformidade e apenas trabalhar com fornecedores e prestadores de serviços que respeitem a privacidade do usuário.
No nível de controles técnicos, as organizações podem usar várias ferramentas para proteger os dados. As soluções de Gerenciamento de identidade e acesso (IAM) podem impor políticas de controle de acesso baseadas em funções para que apenas usuários autorizados possam acessar dados confidenciais. Medidas rigorosas de autenticação, como single sign on (SSO) e autenticação multifatorial (MFA), podem impedir que hackers sequestrem contas de usuários legítimos.
As ferramentas de prevenção contra perda de dados (DLP) podem descobrir e classificar dados; monitorar o uso; e evitar que os usuários alterem, compartilhem ou excluam dados de forma inadequada. As soluções de backup e arquivamento de dados podem ajudar as empresas a recuperar dados perdidos ou danificados.
As organizações também podem usar ferramentas de segurança de dados criadas especificamente para conformidade regulamentar. Essas ferramentas geralmente incluem recursos como criptografia, imposição automática de políticas e trilhas de auditoria que rastreiam todas as atividades de dados relevantes.
Atualmente, a organização média coleta uma grande quantidade de dados do consumidor. Essa tendência só deve se intensificar nos próximos anos. De acordo com a Pesquisa de Privacidade e Proteção de Dados de 2023 da IDC,3 quase 70% das organizações esperam que a quantidade de dados que manipulam aumente nos próximos três anos.
As organizações têm a responsabilidade de garantir a privacidade desses dados, não da bondade de seus corações, mas sim da conformidade regulamentar, postura de segurança e vantagem competitiva.
Instituições como as das Nações Unidas4 reconhecem a privacidade como um direito humano fundamental, e muitos países adotaram regulamentações de privacidade que cercam esse direito por lei. A maioria desses regulamentos vem com sanções severas por não conformidade.
O Regulamento Geral de Proteção de Dados (GDPR) da União Europeia é considerado uma das leis de privacidade de dados mais abrangentes do mundo. Ele define regras rigorosas que qualquer empresa, com sede ou fora da Europa, deve seguir ao processar os dados dos residentes da UE. Os violadores podem ser multados em até EUR 20 milhões ou 4% da receita global da empresa.
Países fora da UE têm requisitos regulatórios semelhantes, incluindo o GDPR do Reino Unido, a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos do Canadá (PIPEDA) e a Lei de Proteção de Dados Pessoais Digitais da Índia.
Os EUA não têm nenhuma lei federal de proteção de dados tão abrangente quanto o GDPR, mas têm algumas leis mais específicas. A COPPA (Children's Online Privacy Protection Act) estabelece regras para a coleta e o processamento de dados pessoais de crianças menores de 13 anos. A Lei de Portabilidade e Responsabilidade de Planos de Saúde (HIPAA) aborda como organizações de saúde e entidades relacionadas lidam com informações pessoais de saúde.
As penalidades sob essas leis podem ser significativas. Em 2022, por exemplo, a Epic Games foi multada num valor recorde de 275 milhões de dólares por violações da COPPA.5
Os EUA também têm regulamentações de privacidade em nível estadual, como a Lei de Privacidade do Consumidor da Califórnia (CCPA), que dá aos consumidores da Califórnia mais controle sobre como e quando seus dados são processados. Embora a CCPA seja talvez a lei de privacidade estadual mais conhecida, ela inspirou outras, como a Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA) e a Lei de Privacidade do Colorado (CPA).
As organizações hoje coletam muitas informações de identificação pessoal (PII), como números de segurança social e dados bancários dos usuários. Esses dados são alvo de hackers, que podem usá-los para cometer roubo de identidade, roubar dinheiro ou vendê-lo na dark web.
Além disso, as empresas têm seus próprios dados confidenciais proprietários que os hackers podem estar buscando, como propriedade intelectual ou dados financeiros.
De acordo com o relatório Cost of a Data Breach 2023(Custo de uma Violação de Dados) da IBM, a média de violações custa a uma empresa USD 4,45 milhões. Muitos fatores contribuem para essa tag de preço, incluindo perda de negócios devido ao tempo de inatividade do sistema e aos custos de detecção e correção da violação.
Muitas das mesmas ferramentas que oferecem suporte à privacidade de dados também podem reduzir a ameaça de violações e fortalecer a postura geral de cibersegurança. Por exemplo, soluções de IAM que impedem o acesso não autorizado podem ajudar a impedir hackers enquanto impõe políticas de privacidade. As ferramentas de segurança de dados muitas vezes detectam atividades suspeitas que podem sinalizar um cyberattack em andamento, permitindo que a equipe de resposta a incidentes aja mais rápido.
Da mesma forma, funcionários e consumidores podem se defender contra alguns dos ataques de engenharia social mais prejudiciais adotando as melhores práticas de privacidade de dados. Os golpistas costumam vasculhar aplicativos de mídia social para encontrar dados pessoais que possam usar para criar um compromisso de e-mail comercial convincente (BEC) e lançar ataques de phishing . Ao compartilhar menos informações e bloquear suas contas, os usuários podem cortar os golpistas de uma fonte potente de munição.
Respeitar os direitos de privacidade dos usuários às vezes pode conceder às organizações uma vantagem competitiva.
Os consumidores podem perder a confiança nas empresas que não protegem adequadamente seus dados pessoais. Por exemplo, a reputação do Facebook teve um grande sucesso ao despertar do escândalo Cambridge Analytica.6 Os consumidores geralmente estão menos dispostos a compartilhar seus dados valiosos com empresas que ficaram aquém da privacidade no passado.
Por outro lado, empresas com reputação de proteger a privacidade dos dados podem ter um tempo mais fácil para obter e aproveitar os dados do usuário.
Além disso, na economia global interconectada, os dados muitas vezes fluem entre organizações. Uma empresa pode enviar os dados pessoais que coleta para um banco de dados em nuvem para armazenamento ou uma empresa de consultoria para processamento. A adoção de princípios e práticas de privacidade de dados pode ajudar as organizações a proteger os dados do usuário contra o uso indevido, mesmo quando esses dados são compartilhados com terceiros. De acordo com algumas regulamentações, como o GDPR, as organizações são legalmente responsáveis por garantir que seus fornecedores e prestadores de serviços mantenham os dados seguros.
Por fim, novas tecnologias generativas de inteligência artificial podem representar desafios significativos de privacidade de dados. Quaisquer dados confidenciais alimentados para essas IAs podem se tornar parte dos dados de treinamento da ferramenta, e a organização pode não conseguir controlar como eles são usados. Por exemplo, engenheiros da Samsung involuntariamente vazaram o código-fonte proprietário inserindo o código no ChatGPT para otimizá-lo.7
Além disso, se as organizações não tiverem permissão dos usuários para executar seus dados por meio de IA generativa, isso poderá constituir uma violação de privacidade de acordo com determinados regulamentos.
Políticas e controles formais de privacidade de dados podem ajudar as organizações a adotar essas ferramentas de IA e outras novas tecnologias sem infringir a lei, perder a confiança do usuário ou vazar acidentalmente informações confidenciais.
O IBM Security Guardium é uma família de software de segurança de dados do portfólio IBM Security que revela vulnerabilidades e protege dados confidenciais no local e na nuvem.
As soluções IBM Security ajudam você a proporcionar experiências confiáveis aos clientes e aumentar seus negócios com uma abordagem holística e adaptável à privacidade de dados baseada em princípios de zero trust e proteção de privacidade de dados comprovada.
O IBM Security Verify fornece um mecanismo de decisão centralizado para ajudar a automatizar as regras de determinação de consentimento para fins de uso dos dados.
Segurança de dados é a prática de proteger informações digitais contra acesso não autorizado, corrupção ou roubo durante todo o ciclo de vida.
A governança de dados promove a disponibilidade, qualidade e segurança dos dados de uma organização por meio de diferentes políticas e padrões.
Data loss prevention (DLP) refere-se às estratégias, processos e tecnologias que as equipes de cibersegurança usam para proteger dados confidenciais contra roubo, perda e uso indevido.
Notas de rodapé
Todos os links residem fora do ibm.com
1 NIST Privacy Framework, NIST
2 Princípios Justos de Prática da Informação, Conselho Federal de Privacidade
3 2023 Data Privacy and Data Protection Survey, IDC, fevereiro de 2023
4 Universal Declaration of Human Rights, United Nations
5 Fortnite Video Game Maker Epic Games to Pay More Than Half a Billion Dollars over FTC Allegations of Privacy Violations and Unwanted Charges, Federal Trade Commission, 19 de dezembro de 2022
6 The Cambridge Analytica Files, The Guardian
7 Whoops, Samsung workers acidentalmente vazou segredos comerciais via ChatGPT, Mashable, 6 de abril de 2023