O escândalo da Cambridge Analytica em 2018 e documentários como “O Dilema das Redes” da Netflix trouxeram à tona os problemas envolvendo a proteção de dados.
O enorme volume de informações e controle que corporações, governos e muitas das grandes empresas de tecnologia possuem não é alarmante só para consumidores, mas também para as empresas.
Setenta e nove por cento dos americanos afirmam ter preocupação com a forma como seus dados são usados pelas empresas, segundo uma pesquisa da Pew Research. Apesar de ser impossível erradicar o uso antiético de dados privados, um conhecimento mais aprofundado da segurança e privacidade dos dados pode ajudar as empresas e pessoas a tomarem medidas construtivas para reduzir os riscos relacionados à proteção de dados.
A proteção de dados ou privacidade das informações diz respeito ao tratamento de todos os dados relacionados à identidade da pessoa quanto à sua confidencialidade e anonimato. Ela lida com a defesa dos direitos fundamentais de privacidade das pessoas conforme definem as leis internacionais e regionais.
Ela também determina quais dados podem ser compartilhados legalmente por terceiros. Existem três elementos centrais envolvendo a proteção de dados: o direito de uma pessoa não ser incomodada e poder controlar suas informações pessoais, procedimentos para o tratamento e processamento correto dos dados e o cumprimento das leis de proteção de dados.
Para um indivíduo, a proteção dos dados pode se aplicar a informações de identificação pessoal (PII) e informações pessoais de saúde (PHI). Podem ser informações como CPF, prontuários médicos, dados financeiros e informações básicas como nomes, endereços e datas de nascimento.
No caso de pessoas jurídicas, podem ser informações que auxiliam as empresas nas suas operações, como dados de pesquisa e desenvolvimento exclusivos, ou informações financeiras confidenciais que mostram o lucro e as despesas.
A proteção de dados garante que as informações pessoais não sejam exploradas por razões nefastas, como roubo de identidade, fraude, e em casos mais graves, difamação.
As informações pessoais podem ser qualquer informação identificada na carteira de habilitação ou seus dados bancários, mas também em fotos e imagens pessoais.
As organizações e empresas mantêm informações sensíveis e confidenciais que não são de domínio público. Podem ser informações resultantes de pesquisas científicas iniciais, estruturas operacionais do negócio, dados sensíveis entre colaboradores e o RH ou informações de clientes. No contexto organizacional, além de impedir que dados sensíveis caiam nas mãos de pessoas desonestas, a proteção dos dados pode gerar uma vantagem competitiva.
A proteção dos dados também garante a liberdade de expressão. Sem ela, fica fácil distorcer informações ou tirar falas de contexto, embora não haja dúvida de que é preciso separar o discurso de ódio da liberdade de expressão. Trata-se de algo que é especialmente perigoso em países e ambientes onde a liberdade de expressão sofre restrições. Por exemplo, a organização Privacy International mostrou como o governo chinês usa as informações pessoais dos seus cidadãos como ferramenta de monitoramento para comunicações antigoverno.
O aprimoramento constante para manter a proteção dos dados dificulta o acesso a certas informações pelos hackers. Se não forem tomadas as medidas necessárias para implementar controles de proteção, os dados pessoais e das empresas podem ser usados para chantagem, extorsão, roubo de identidade, golpes de phishing e vários outros tipos de atividades fraudulentas.
Muitas pessoas usam a proteção e a segurança de dados como sinônimos. Mas há diferenças, pois a proteção de dados tem como foco a coleta, processamento, compartilhamento, arquivamento e exclusão de dados. Já a segurança de dados envolve medidas que uma organização adota para evitar o acesso não autorizado de terceiros ou qualquer alteração, divulgação ou exclusão de dados intencional ou involuntária. A segurança de dados visa evitar a exploração de dados roubados por meio de violações de dados e ataques virtuais. As técnicas usadas incluem controle de acesso, mascaramento de dados, criptografia e segurança de rede.
As leis de proteção de dados são complexas, pois não existe uma única lei abrangente que regule a proteção de dados em todos os países. Consequentemente, há várias leis específicas para cada setor que tratam das informações de saúde, telecomunicações, informações de crédito, instituições financeiras e marketing.
Nos EUA, por exemplo, o Federal Trade Commission Act não regulamenta explicitamente quais informações devem ser incluídas nas políticas de privacidade dos sites, apesar de exercer a sua autoridade para definir regulamentos, proteger os consumidores e fazer cumprir as leis de proteção de dados.
Por outro lado, a coleta de dados online é regulada por várias leis de controle federais. Cada lei foi criada para uma indústria específica.
Nos Estados Unidos, a legislação mais abrangente e de maior destaque é a California Consumer Privacy Act (CCPA) que entrou em vigor dia 1º de janeiro de 2020. A lei impõe severas obrigações às entidades ou pessoas que coletam informações pessoais dos cidadãos do estado da Califórnia.
Ela descreve como os dados são coletados e estipula que as informações devem ser divulgadas de acordo com uma política de privacidade no site das entidades. A New York SHIELD Act é parecida com a CCPA, mas esta lei se aplica apenas aos habitantes de Nova Iorque. A Virgínia é o último estado americano a adotar uma lei de proteção dos consumidores que foi aprovada no início de março de 2021.
Em nível global, o General Data Protection Regulation (GDPR), regula a coleta, uso, transmissão e segurança dos dados adquiridos dos residentes da União Europeia. Qualquer organização que descumprir esta lei pode ficar sujeita a uma multa de até 4% do total do faturamento global da UE.
Violações de dados e o descumprimento das leis de proteção de dados geram processos que podem ser onerosos. Confira na lista a seguir os riscos relacionados à proteção de dados que podem prejudicar os negócios:
As pessoas e empresas devem conhecer ou ter acesso a um guia de proteção de dados com informações sobre os princípios da proteção de dados sob sua responsabilidade, inclusive como evitar erros como uma segurança insuficiente das senhas, compartilhamento de informações pessoais sem consentimento explícito bem como a não retificação de dados pessoais desatualizados ou incorretos. As empresas precisam disponibilizar aos seus colaboradores e clientes diretrizes de proteção de dados. Com este recurso, eles têm uma compreensão clara das suas políticas de proteção de dados.
Sempre verifique se os dados estão sendo transferidos por meio de canais seguros, por ex., SFTP, HTTPS ou TLS. Se um site não for seguro, as informações pessoais podem ser modificadas, roubadas ou lidas por hackers. Além disso, se forem armazenados utilizando um provedor de nuvem, os dados devem ser verificados para garantir máxima proteção.
Uma pesquisa sugere que quase um terço dos colaboradores venderiam dados confidenciais da sua empresa se o preço pago fosse bom. Todos os colaboradores, clientes, fornecedores, usuários e investidores devem entender claramente os termos e condições da sua política de privacidade. Isso significa que eles devem conhecer os termos com os quais concordaram e quais as suas obrigações. Todas as partes devem estar cientes das possíveis consequências caso violem a segurança, intencionalmente ou não.
Todos os programas de conformidade relacionados à proteção de dados devem conter um plano de resposta a incidentes com múltiplas fases contendo um protocolo preestabelecido que deve ser seguido caso ocorra um ataque virtual. A maioria dos planos têm seis fases: preparação, identificação, contenção, eliminação, recuperação e um balanço informativo. Seu programa robusto de governança de dados deve ser flexível o suficiente para se adequar e cumprir as leis de proteção de dados e privacidade em constante evolução.
Nem todos conseguem pagar os milhões de dólares que as organizações corporativas e governamentais gastam anualmente com a proteção de dados. Mas quando o assunto é proteção das informações pessoais, existem alguns passos simples que você pode seguir.
As atualizações do software não corrigem apenas problemas de funcionalidade, elas também eliminam problemas de vulnerabilidade e atualizam o sistema de segurança do dispositivo. Mesmo sendo, às vezes, inconveniente, é uma das maneiras mais fáceis para garantir uma melhor proteção dos dados. Além disso, use um antivírus, pois ele garante uma proteção essencial contra malwares, ou seja, softwares especificamente projetados para enviar informações pessoais pela internet a outros usuários não autorizados.
Verifique se seus dados em repouso (dados armazenados em servidores físicos) e os dados em trânsito (informações em servidores na nuvem) são criptografados de forma adequada. Os algoritmos que possuem um padrão de criptografia avançada (Advanced Encryption Standard - AES), oferecem uma criptografia mínima de 128 bits. Para dados altamente sensíveis, uma criptografia de 256 bits é mais adequada. Você pode criptografar os dados com uma VPN para garantir que ninguém possa lê-los, mesmo se forem hackeados.
Não seja imprudente com suas senhas só porque é mais prático. Tente usar senhas únicas e complexas e não as repita em outras aplicações e/ou dispositivos. Além disso, suas senhas devem incluir uma combinação de letras minúsculas e maiúsculas, números e caracteres especiais. Evite usar datas de nascimento ou coisas que estranhos conseguem deduzir com facilidade depois de uma pesquisa rápida, como sua cidade ou nome do meio, por exemplo. Uma verificação de senhas pode ajudar a avaliar se suas senhas são fortes, e as autenticações multifator e em duas etapas também promovem a segurança dos dados.
Os ambientes de dados não produtivos usados para as atividades de desenvolvimento, testes e analytics representam o maior risco. Uma solução de mascaramento de dados pode reduzir drasticamente os riscos de violação de dados, porque ela identifica automaticamente as informações sensíveis nas fontes de dados, executa algoritmos de desidentificação e cria um histórico de proteção de dados auditável. O mascaramento de dados também permite às empresas controlar os dados de acordo com as políticas de segurança e leis de proteção de dados.
Mesmo com uma noção geral e básica da proteção de dados, muitas pessoas ainda têm dúvidas importantes que envolvem a responsabilidade e a privacidade.
Qualquer colaborador que lida com informações pessoais é responsável pela sua proteção. No entanto, existe uma diferença entre a responsabilidade e a responsabilização. A responsabilização recai na maioria das vezes sobre a liderança do negócio. Se for bem executada, esta responsabilização permeia por todos os níveis hierárquicos, alcançando todos os colaboradores.
As organizações devem ter um guia ou políticas de proteção que estejam em conformidade com as leis vigentes. São os proprietários dos processos de negócios específicos da organização que se encarregam da aplicação destas políticas. Algumas organizações possuem um Data Protection Officer (DPO) que é responsável pela proteção dos dados e pelo desenvolvimento e implementação das políticas e processos.
Não. No entanto, o General Data Protection Regulation (Lei Geral de Proteção de Dados, GDPR) da União Europeia é considerada uma referência por muitos países. Nos EUA, as leis de proteção de dados variam entre os estados.
Os dados pessoais incluem qualquer informação que possa ser usada para identificar um indivíduo, incluindo informações que podem ser vinculadas para identificar uma pessoa, como uma folha de pagamento, por exemplo. Qualquer ação feita com dados é considerada processamento, inclusive o armazenamento, a transferência, pseudonimização, alteração e cópia de dados.
Trata-se de uma ferramenta usada pra identificar e reduzir os riscos à proteção em todos os projetos, programas ou organizações. Ela registra do gerenciamento dos riscos à privacidade em diferentes momentos do ciclo de vida de um projeto, programa ou organização. Qualquer iniciativa que exige o processamento de informações pessoais deve sempre conduzir uma avaliação de impacto da proteção de dados.
Ter uma forte experiência de segurança e proteção de dados inclui usar políticas, processos e ferramentas robustas para ajudar a gerenciar os requisitos. Os colaboradores devem ser informados periodicamente sobre treinamentos ou alterações que possam afetar seu trabalho. O uso de tecnologias e ferramentas para identificar automaticamente dados sensíveis em toda a empresa, proteger estes dados e escalar entre as equipes, pode ajudar as organizações a se adaptar de forma rápida e garantir a conformidade.
Saiba como as características de mascaramento de dados da Delphix conseguem mascar dados sensíveis para garantir a conformidade com as leis de proteção de dados.