A privacidade de dados é uma forma de segurança relacionada à garantia de que os dados estão sendo usados apenas por pessoas autorizadas e para a finalidade pretendida.
Nossa capacidade de criar, coletar, compartilhar e analisar dados está crescendo exponencialmente. De fato, sugere-se que a humanidade produza até 2,5 quintilhões de bytes de dados todos os dias. E, a cada minuto de cada dia, grandes volumes desses dados são coletados por organizações, que os exploram para obter informações sobre tendências, oportunidades e vislumbres de como seus clientes pensam.
Infelizmente, a coleta de dados geralmente é uma abordagem abrangente, que captura ilegalmente informações privadas e confidenciais dos usuários juntamente com dados mais públicos, criando problemas para consumidores e empresas. Ao mesmo tempo, até mesmo os dados pessoais compartilhados voluntariamente pelos clientes poderão criar grandes problemas se não estiverem protegidos contra acesso não autorizado. Dessa forma, a questão da privacidade de dados é uma preocupação relevante em todos os mercados e setores.
Graças às melhorias no escopo e na eficácia da digitalização de dados, é simples para organizações de todos os tipos criar perfis pessoais com base nos dados capturados dos indivíduos. E isso vai além das informações básicas, como nome, idade e endereço; hoje, quase todas as formas de informações pessoais existem digitalmente, desde as aparentemente inofensivas (como interesses e hobbies, preferências de compra, relacionamentos, etc.) até as extremamente privadas (como números do Cadastros de Pessoas Físicas, informações de crédito, dados de saúde, localização e movimentações, etc.).
Em muitos casos, as informações que compartilhamos on-line, conscientemente ou não, são usadas por máquinas para torná-las mais inteligentes. A foto do filhote que publicamos nas mídias sociais ensina os algoritmos semi-inteligentes a reconhecer um filhote quando veem um. As pesquisas que realizamos on-line ensinam as máquinas a entender e replicar melhor a linguagem humana.
No entanto, independentemente de como os dados estão sendo usados, o fato de existirem e estarem disponíveis para usuários desconhecidos está se tornando um grande motivo de preocupação. Os clientes (sem mencionar os legisladores) do mundo todo estão começando a exigir que as empresas permitam que os proprietários de dados originais ditem como seus dados são coletados e usados.
Dessa forma, as organizações que estabelecem e seguem políticas íntegras de privacidade de dados são mais capazes de estabelecer confiança com seus clientes. Ao mesmo tempo, elas eliminam os riscos jurídicos associados à violação de leis, normas e padrões novos e futuros de privacidade de dados. A recente multa de 5 bilhões de dólares que a FTC impôs ao Facebook é um exemplo do quanto as penalidades por violar essas leis podem ser severas.
A penalidade de 5 bilhões de dólares sobre o Facebook é a maior já imposta a qualquer empresa por violações de privacidade do consumidor, mas certamente não será a última do tipo. Fiscalizadores governamentais dos Estados Unidos, da União Europeia, da América do Sul e de todo o resto do mundo estão adotando uma posição firme contra a coleta e o uso não autorizados de dados. As organizações que não atualizarem suas políticas de privacidade de dados correrão o risco de perder mais do que apenas a confiança de seus clientes.
Por outro lado, há vários benefícios que podem ser usufruídos pelas empresas que modernizam ativamente seus manuais de proteção de dados, incorporando tecnologia em tempo real, integrada e automatizada para garantir que os dados sejam usados de forma ética, legal e sem violar os direitos dos proprietários de dados.
Essas vantagens incluem:
Conforme abordado anteriormente, um dos benefícios comerciais mais relevantes da privacidade de dados é evitar multas e penalidades. A punição por descumprir as leis de privacidade está se tornando cada vez maior, isso sem contar as reparações para os clientes afetados caso seus dados confidenciais se tornem públicos ilegalmente.
Mais do que isso, os grupos governamentais estão levando muito a sério seu compromisso de proteger os dados dos usuários, promulgando novas legislações e aumentando suas atividades de policiamento para garantir que as empresas não estejam colocando os dados dos clientes em risco. As organizações que criam e seguem políticas adequadas de privacidade de dados não precisam se preocupar em enfrentar acusações criminais.
O relacionamento entre cliente e empresa vai muito além das transações de compra. Quando um cliente escolhe fazer negócios com uma organização, ele está confiando que essa organização respeitará e protegerá todos os dados pessoais que possam ser trocados no processo. E quando essa confiança é traída, é difícil reconquistá-la.
As violações de privacidade causam sérios danos à reputação e à marca. Os clientes de hoje têm tantas opções que, em muitos casos, um só erro em termos de segurança de dados é suficiente para enviá-los aos braços dos concorrentes. Por outro lado, as empresas que demonstram claramente seu compromisso com a privacidade de dados dão a seus clientes controle irrestrito sobre como seus dados são coletados e usados e atuam de forma transparente em suas práticas de dados percebem uma maior fidelidade do cliente. Isso significa o aumento do valor da marca e um maior valor da vida útil do cliente.
A gestão de privacidade de dados força as organizações a analisar mais detalhadamente seus dados e como eles interagem em toda a empresa. Começando com uma auditoria detalhada (e acompanhada por auditorias contínuas regulares) para determinar como os dados estão sendo coletados e usados, as empresas podem identificar e resolver ineficiências de gestão de dados facilmente. Isso cria uma cultura mais focada em dados e ajuda a simplificar os processos de negócios, beneficiando todos os departamentos em todos os níveis.
As iniciativas de privacidade também podem incentivar as empresas a consolidar suas plataformas de dados, reunindo todos os dados e as ferramentas relevantes de gestão de dados em um só local centralizado. Isso reduz os perigos associados ao isolamento de dados e permite uma melhor análise de dados, uma maior integridade de dados e decisões de negócios mais criteriosas.
Para melhor atender aos clientes, evitar danos à reputação e permanecer em conformidade com a legislação nova e estabelecida, muitos desenvolvedores de software agora estão adotando a privacidade por design (PbD).
PbD é uma abordagem nova e mais deliberada de privacidade de dados. Ela incentiva os engenheiros de sistema a incorporar verificações e soluções de privacidade em todos os produtos, serviços, infraestruturas e práticas de negócios. É necessário integrar essas considerações a partir das fases iniciais do desenvolvimento e mantê-las como um foco contínuo durante toda a produção e no suporte à implantação e pós-implantação.
A PbD garante que a privacidade dos dados permaneça como prioridade durante todo o ciclo de vida do desenvolvimento, em vez de ser incluída como algo secundário imediatamente antes do lançamento.
Infelizmente, a privacidade de dados eficaz não é tão simples quanto tomar a decisão de lidar com os dados do cliente de forma responsável. As empresas modernas enfrentam diversos obstáculos que devem ser superados ou evitados para alcançar uma gestão bem-sucedida da privacidade de dados:
Os avanços de IA estão permitindo que as organizações analisem com mais facilidade e precisão grandes volumes de dados dos usuários. Mas, com essas novas habilidades, surgem certas questões éticas que é necessário abordar. Até onde se deve permitir a análise de dados? A IA tem o poder de extrair informações extremamente pessoais, valiosas e confidenciais com base em dados que parecem inofensivos. As empresas devem estar totalmente cientes das ramificações da coleta desse tipo de dados antes de empregar essas táticas.
Uma parte importante da responsabilidade pela privacidade de dados recai sobre os funcionários que trabalham com ela. Funcionários mal treinados podem facilmente extraviar, expor ou usar indevidamente os dados, colocando os clientes em risco e expondo as empresas a possíveis represálias. Da mesma forma, funcionários não confiáveis podem tentar roubar dados confidenciais. Todos os funcionários devem ser totalmente examinados antes de receber acesso a qualquer informação do cliente, e todos devem ser treinados em políticas e padrões relevantes de privacidade de dados.
Muitas empresas se concentram na coleta e na análise de dados, mas não conseguem desempenhar completamente sua responsabilidade em relação a esses dados assim que o relacionamento comercial termina. Os dados pessoais só deverão ser mantidos de acordo com os padrões estabelecidos e somente enquanto o cliente (ou funcionário) estiver associado à empresa. Manter os dados pessoais por mais tempo do que o necessário pode resultar em multas e penalidades, ao mesmo tempo em que torna possíveis violações de dados mais prejudiciais.
O software hospedado na Web e na nuvem pode criar um ponto de acesso de dados desprotegido em uma organização desavisada. A segurança dos dados exige que todas as novas aplicações sejam totalmente inspecionadas e aprovadas como seguras antes de serem implantadas para uso na organização.
A proteção de dados é essencial, mas, se uma ameaça aos dados conseguir passar pelos controles de segurança ou um evento emergente ameaçar a integridade dos dados, as empresas precisarão de um plano eficaz de resposta do incidente. Criar, compartilhar, aprimorar e treinar para que seja possível implantar o plano ao primeiro sinal de uma violação de dados ajudará a limitar os possíveis danos representados por essa ameaça.
As novas leis exigem que os clientes permitam explicitamente que as organizações usem seus dados, com ênfase na liberdade de escolher que tipo de dados é compartilhado. As empresas que não limitam suas práticas de coleta de dados ao que é estritamente necessário para a transação correm o risco de enfrentar problemas jurídicos.
Acabaram os dias em que as organizações sem escrúpulos conseguiam esconder suas verdadeiras intenções por trás do jargão jurídico e de contratos com políticas complicadas. Agora, é necessário apresentar os termos e condições de privacidade de dados de uma maneira que todos os clientes ou outras partes interessadas possam entender com facilidade. Se o usuário conseguir demonstrar que não estava claro com o que ele estava concordando, a empresa será considerada culpada.
Quando os clientes abandonam formulários on-line que contêm informações pessoais, haverá
a possibilidade de outros usuários obterem acesso a esses dados. Os recursos de segurança de expiração de sessão foram
projetados para cortar o acesso a formulários confidenciais e outras informações se o usuário não realizar uma
ação específica no local dentro de um tempo alocado. Incluir essas proteções em todas
as aplicações e sistemas de computador pode proteger ainda mais os dados contra exposição.
Nós tendemos a pensar que os dados digitais são transmitidos diretamente do ponto A ao ponto B. Mas, enquanto estão
em trânsito, esses dados podem fazer uma escala inesperada, o que possivelmente expõe informações confidenciais
a usuários não autorizados. Os canais desprotegidos são um grande problema de privacidade de dados; as empresas
devem usar apenas canais seguros (como SFTP ou TLS).
Está claro que, no cenário de negócios atual, a privacidade de dados é uma questão importante. Mas como as
organizações podem vencer os desafios e criar uma cultura de privacidade de dados? Neste artigo, nós descrevemos
várias práticas recomendadas para ajudar as empresas a dar os primeiros passos:
A privacidade de dados é um problema e uma responsabilidade que afeta toda a empresa; ela não deve se limitar ao departamento de TI. Adote uma abordagem abrangente e envolva todos os aspectos da organização no estabelecimento e no cumprimento das políticas de privacidade de dados.
Para ter uma gestão eficaz da privacidade de dados, as organizações precisam ter uma ideia clara de onde estão os dados, o que eles incluem, quem tem acesso e o quanto estão atualizados. O mapeamento dos dados cria uma imagem detalhada da situação atual dos dados de uma empresa.
Ter políticas e termos e condições viáveis em vigor é apenas metade da batalha. Uma empresa que não respeita essas políticas, deixando promessas e obrigações sem cumprir, abre a organização a responsabilidades legais e à desilusão do cliente.
A coleta de dados não é um processo estático; o tipo de dados que as organizações consideram úteis e relevantes pode mudar de trimestre para trimestre ou, até mesmo, com mais frequência. Sendo assim, se essas organizações decidirem fazer atualizações em suas práticas de coleta e uso de dados, elas também deverão atualizar suas políticas para refletir essas mudanças.
Nenhuma empresa é uma ilha. Fornecedores e terceirizados podem precisar acessar dados confidenciais de clientes. Portanto, é vital que as organizações examinem completamente esses parceiros para garantir que eles tenham práticas confiáveis de segurança implementadas. Caso contrário, as entidades de terceiros se tornam pontos fracos por meio dos quais podem ocorrer vazamentos de dados.
Todos os anos, os governos estão adotando uma postura mais forte contra violações de privacidade de dados. Esta é uma lista de várias legislações recentes destinadas a fortalecer a privacidade de dados em diferentes áreas do mundo todo:
União Europeia: Assegura maior controle para os cidadãos da UE sobre seus dados pessoais, simplifica e estabelece normas de dados para empresas e aborda a coleta e a transferência de dados pessoais para fora das áreas da UE e do EEE.
Califórnia: Aprimora os direitos de privacidade de dados e a proteção do consumidor para os cidadãos da Califórnia, regulando a forma como as empresas podem lidar com dados pessoais e usá-los.
Califórnia: Amplia a lei CCPA, fortalecendo os direitos de dados dos residentes da Califórnia, estabelecendo normas comerciais mais rigorosas e expandindo a exigência de consentimento para abranger mais cenários.
Virgínia: Dá aos residentes da Virgínia mais controle de privacidade sobre seus dados pessoais, permitindo que acessem, modifiquem e excluam informações pessoais coletadas pelas organizações. Também estabelece padrões e normas de coleta de dados para empresas de todos os portes.
Brasil: Inclui disposições e normas semelhantes às do GDPR da UE. Também estabelece que as empresas brasileiras devem nomear agentes de proteção de dados para garantir o cumprimento correto das políticas.
A ServiceNow oferece gestão de privacidade com o Governança, risco e conformidade. Dê suporte à privacidade por design. Monitore os riscos e a conformidade em tempo real e crie confiança com o Privacy Management