Confira as sessões sob demanda do Low-Code /No-Code Summit para aprender como inovar com sucesso e obter eficiência aprimorando e dimensionando desenvolvedores cidadãos. Assista agora.
Se você pergunte à maioria dos trabalhadores de tecnologia a diferença entre segurança e privacidade, eles provavelmente não saberão dizer a diferença – a menos que seu trabalho principal seja trabalhar em uma dessas equipes. Dado o quanto de nossa vida agora está online, esse é um problema que pode levar à responsabilidade corporativa e multas multimilionárias, especialmente dos reguladores europeus. Com esse foco maior, qual é a diferença entre segurança e privacidade e como os funcionários devem pensar sobre essas questões?
Para começar, vejamos o anúncio do Twitter neste verão que um hacker estava em seu sistema há mais de seis meses e estava se oferecendo para vender dados de usuários de 5,4 milhões de contas. (Em 2020, um adolescente da Flórida também foi acusado de assumir contas). Os hackers que violam o sistema do Twitter representam um problema de segurança. Mas como esses hackers podem ter acesso a milhões ou bilhões de registros, isso também é um problema de privacidade.
Neste verão, a Meta foi multada em $ 403 milhões pela autoridade GDPR (Regulamento Geral de Proteção de Dados) da Irlanda. No ano passado, os reguladores europeus multaram a Amazon em US$ 888 milhões. Este é um grande problema para as principais plataformas, mas pode atingir quase qualquer empresa hoje: a Califórnia recentemente multou a Sepora em US$ 1,2 milhão por violar a CCPA (Lei de Privacidade do Consumidor da Califórnia).
Se quisermos reduzir o impacto de multas e violações, precisamos que as empresas de software se concentrem tanto na privacidade quanto na segurança e certifiquem-se de que seus funcionários saibam a diferença. Se você for ao médico, ele saberá exatamente o que os regulamentos da HIPAA permitem que eles divulguem. Qualquer caminhoneiro na estrada sabe exatamente quantas horas pode dirigir com base nos regulamentos de horas de serviço do DoT. Mas se você perguntar aos trabalhadores de tecnologia o que eles podem e não podem fazer sob a CCPA, a maioria pode nem reconhecer o acrônimo.
Evento
Privacidade é criar confiança em sua organização. Trata-se de como você lida com informações pessoais e de garantir que está tratando esses dados com responsabilidade e de acordo com o que os consumidores esperam que você faça.
TL;DR no GDPR
As diretrizes do GDPR exigem que os dados sejam armazenados de maneira a garantir os usuários podem solicitar que suas informações sejam corrigidas, excluídas como parte do “direito ao esquecimento” ou acessadas para que o usuário saiba quais dados a empresa coletou sobre o usuário, juntamente com várias outras solicitações de direitos de privacidade. Mas quando os dados são armazenados em vários bancos de dados desconectados, é muito mais desafiador manter a conformidade, pois as solicitações exigem várias etapas e coordenação entre os bancos de dados.
As regras também focam onde os dados são armazenados, visando regular o fluxo de dados entre os Estados Unidos e os países europeus. O Facebook está lutando contra essa política, mas jura “Meta
é um absolutamente não ameaçando deixar a Europa . Para se preparar para esses novos regulamentos, as empresas precisam garantir um registro abrangente das atividades de processamento de dados e um inventário de dados para demonstrar conformidade com os reguladores.
Dez pilares para a conscientização sobre privacidade
Dez pilares para a conscientização sobre privacidade
Realizar treinamentos contínuos em sua empresa é muito importante para todos os colaboradores acessar informações de identificação pessoal (PII). Dado o ritmo de anúncios sobre novas multas e políticas atualizadas, pode ser necessário atualizar sua equipe com frequência.
Na Fivetran, realizo treinamentos em toda a empresa, pelo menos a cada 12 meses, mas o reforço adicional para os requisitos legais é um trabalho o ano todo. A conscientização inclui ensinar os aspectos fundamentais da privacidade, em vez de uma longa lista de requisitos legais, e explicar como esses princípios se aplicam a cada equipe e membro da equipe. Eu tenho uma lista de verificação das áreas de foco. Aqui está o que as pessoas precisam saber.
- Responsabilidade: A liderança sênior precisa identificar um única pessoa, em última análise, responsável pela conformidade com a privacidade de uma organização. Muitas empresas designarão um Diretor de Privacidade de Dados, mas, independentemente disso, o objetivo é ter alguém focado e responsável pela conformidade com o GDPR (e outros regulamentos).
Identificação de propósitos: as empresas precisam identificar em seu aviso de privacidade como eles usarão os dados do cliente, mas também devem considerar as expectativas do consumidor. A maioria das pessoas espera que as imagens de vídeo da câmera de segurança de uma loja sejam acessadas apenas se houver um arrombamento. Mas se a câmera estiver transmitindo uma transmissão ao vivo para a página inicial da empresa, isso pode surpreender os clientes e levar a preocupações com a privacidade.
- Consentimento: O consentimento adequado é um requisito essencial. Mas não se esqueça de que os titulares de dados também têm o direito de retirar o consentimento e seus sistemas de dados precisam oferecer suporte a esse recurso.
- Limitando a coleta: Por mais tentador que seja coletar o máximo de dados possível , quanto mais você coletar, maior será o seu risco. Concentre-se no rastreamento e na coleta de dados que você pode realmente usar em seus negócios, com base nas finalidades que você identificou.
Limitando o uso, divulgação e retenção: as leis de privacidade exigem que as empresas limitem o acesso aos dados para fins identificados e impedir a divulgação a pessoal não autorizado. Mas muitas empresas ainda permitem que funcionários gerais acessem dados pessoais. Quando um hacker entra em um sistema usando uma conta comprometida, você pode minimizar a extensão dos danos que ele pode causar limitando o acesso interno àqueles que precisam. Além disso, não retenha os dados por mais tempo do que o necessário, considerando as leis de retenção locais e os propósitos comerciais justificados, e pense em como você responderia se recebesse um aviso legal.
- Precisão: Garantindo ao cliente os dados sejam precisos é um requisito legal e uma prioridade comercial para o sucesso. A precisão também é uma prioridade ao integrar dados de várias fontes, portanto, certifique-se de verificar a confiabilidade de seus processos e dados.
- Proteções: certifique-se de ter governança e salvaguardas adequadas para o acesso aos dados, tanto da perspectiva de privacidade quanto de segurança. Pense nisso usando a “tríade CIA”, de programas de segurança de TI que manterão a confidencialidade, integridade e disponibilidade dos dados do consumidor que você coletou.
- Abertura: Se sua empresa tem uma maneira única de usar os dados do cliente, não enterre essas políticas no contrato de Termos de Serviço; alguém vai notar eventualmente. A Meta concordou em pagar US$ 37,5 milhões aos usuários porque a empresa estava rastreando geograficamente os usuários por seus endereços IP depois que os consumidores desativaram o rastreamento de localização em seus telefones. Seja transparente sobre suas práticas de dados e disponibilize informações em políticas que usam palavras claras, concisas e simples em inglês.
- Acesso Individual: A pedido, os titulares dos dados devem ser informados da existência, uso e divulgação de suas informações pessoais e poder acessar e contestar a precisão dessas informações. As organizações devem estar preparadas para lidar com esses tipos de solicitações de direitos de privacidade.
Conformidade desafiadora: Em última análise, qualquer pessoa coberta pelo GDPR e CCPA tem o direito de contestar a conformidade de uma empresa com esses regulamentos. Se uma empresa for contestada, ela pode ser obrigada a demonstrar conformidade com os requisitos de privacidade aplicáveis, incluindo políticas e procedimentos relevantes. Trabalhar com sua equipe de privacidade para representar como você responderia a tal solicitação ajudará a expor quaisquer lacunas em seu programa de privacidade de dados antes que os reguladores comecem a procurar. Com a importância dos dados para as empresas modernas, garantir que os funcionários estejam familiarizados com a lei de privacidade colocará sua empresa em uma posição muito melhor em caso de incidente. Pensar em como os dados são capturados e armazenados ajudará a minimizar os riscos. Privacidade é a promessa da sua empresa aos consumidores de que você é um parceiro confiável e tem os interesses deles em mente. Para aumentar a conscientização sobre privacidade, use a lista de verificação acima para garantir que as equipes de processamento de dados conheçam suas responsabilidades de privacidade de dados tão bem quanto um médico conhece os requisitos da HIPAA.
Seth Batey é conselheiro sênior de privacidade da Fivetran.
DataDecisionMakersBem-vindo à comunidade VentureBeat!
DataDecisionMakers é onde os especialistas, incluindo o pessoal técnico que trabalha com dados, podem compartilhar ideias e inovação relacionadas a dados.
Se você quiser ler sobre ideias de ponta e atualizações Informações atualizadas, práticas recomendadas e o futuro dos dados e da tecnologia de dados, junte-se a nós no DataDecisionMakers.
Você pode até considerar contribuir com um artigo de sua autoria!
Leia mais de DataDecisionMakers