O que é privacidade de dados?
Privacidade de dados é uma função dentro do gerenciamento de dados, focada na coleta, tratamento, armazenamento e proteção de informações pessoais. Essencialmente, a privacidade de dados é o equilíbrio entre o compartilhamento de dados com terceiros e a manutenção da conformidade com diversos leis de privacidade.
Por que a privacidade de dados é importante?
Mais de 701 TP3T de países ao redor do mundo já possuem leis de privacidade de dados em vigor ou estão em processo de elaboração de novas leis de privacidade. O aumento das regulamentações em todo o mundo demonstra que os legisladores entendem a importância da privacidade de dados. Com novas regras, surgem novos requisitos de direitos de privacidade — e a necessidade urgente de as organizações se adaptarem ao cenário de privacidade em constante evolução.
As regulamentações de privacidade de dados em todo o mundo visam dar aos indivíduos o controle sobre seus dados e responsabilizar as organizações por garantir que os dados pessoais sejam processados de forma ética e legal. No entanto, com a evolução da economia de dados, as empresas encontraram enorme valor na compilação, no compartilhamento e no uso de dados. Marcas como Amazon, Google e Facebook estão no topo da economia de dados, com amplos modelos de negócios focados principalmente no uso de dados pessoais.
Mas a transparência na forma como as empresas controlam o consentimento, seguem as diretrizes da política de privacidade e gerenciam os dados coletados é essencial para construir confiança e responsabilidade com clientes, funcionários e parceiros.
De acordo com a Pew Research, 81% dos americanos acreditam que o risco potencial da coleta de dados sobre eles por empresas supera os benefícios. Isso destaca a desconexão entre empresas e clientes. Muitas organizações entendem os riscos de ataques cibernéticos e violações de dados, mas ainda têm dificuldade em compreender a importância dos direitos individuais de dados como uma liberdade civil.
Riscos e desafios da privacidade de dados
Hoje, os dados são o ponto central da maioria das decisões empresariais, mas as empresas frequentemente tomam essas decisões importantes com base em dados que não são visíveis ou compreendidos. As empresas dependem da tomada de decisões baseada em dados para alcançar e interagir com seus clientes, mas os consumidores estão cada vez mais preocupados com sua privacidade. As empresas precisam lidar com desafios como a proteção de dados e dados dos funcionários ao longo de seu ciclo de vida, construindo a confiança do consumidor e permanecendo em conformidade com as regulamentações em constante mudança. Organizações que não cumprem as normas de privacidade de dados e não protegem os dados pessoais, de clientes e funcionários correm o risco de mais do que apenas penalidades financeiras.
Aqui estão alguns exemplos de como a privacidade de dados pode realmente impactar os negócios:
Consequências regulatórias
Os reguladores de privacidade e proteção de dados podem impor auditorias obrigatórias, solicitar acesso a documentação e provas ou até mesmo exigir que uma organização pare de processar dados pessoais.
Danos à reputação
O descumprimento da lei pode resultar em danos à marca, perda da confiança do consumidor, da confiança dos funcionários, perda de clientes e redução de receita. Em outubro de 2016, a Uber sofreu uma violação de dados significativa, mas não divulgou os detalhes. Em vez de ser transparente, a Uber pagou hackers para apagar os dados e manteve o incidente em segredo. A violação de dados foi finalmente divulgada em novembro de 2017, o que resultou em penalidades financeiras e também teve um impacto negativo na confiança do consumidor.
Multas Financeiras
Há consequências financeiras, multas criminais e penas de prisão que podem ser aplicadas com base no tipo de violação. Também pode incluir perda de receita, litígios elevados e custos de remediação. Recentemente, a Amazon foi atingida pela maior multa até o momento, de 746 milhões de euros ($888 milhões), após o órgão de proteção de dados da UE ter multado a Amazon por violar a política de proteção de dados.
Dívida Operacional
A maioria das leis de privacidade de dados concede às pessoas mais direitos sobre seus dados, como o direito de acessá-los, alterá-los ou excluí-los. No entanto, isso pode representar um ônus operacional significativo se não for implementado de forma eficaz, pois as organizações precisam descobrir e classificar dados onde existam dados pessoais.
Perda de confiança do consumidor
Sem dúvida, o ativo mais valioso para qualquer organização é a confiança do consumidor. Sem ela, as empresas enfrentam uma batalha árdua para reconquistar a confiança de seus clientes, semelhante ao incidente em que uma violação de dados da Capital One expôs os registros de quase 106 milhões de pessoas.
Privacidade de dados vs. segurança de dados
Privacidade e segurança de dados não são intercambiáveis, embora algumas organizações possam pensar o contrário. Alguns podem pensar que manter dados confidenciais seguro é suficiente para a conformidade com os regulamentos de privacidade de dados, mas essa perspectiva pode ser um pouco míope.
- Privacidade de dados regula como as informações pessoais (IP) e as informações pessoalmente identificáveis (PII) devem ser adequadamente coletadas, acessadas, processadas, armazenadas, protegidas e compartilhadas.
- Segurança de dados protege dados confidenciais contra comprometimento por violações de dados, hackers, acesso não autorizado e ataques maliciosos.
Existem até cenários em que a segurança de dados pode existir sem privacidade de dados, mas nunca o contrário. Por exemplo, uma organização pode ter tecnologia sofisticada e métodos elaborados de segurança de dados para proteger informações de identificação pessoal (PII). Ainda assim, se os dados foram capturados sem consentimento, isso seria uma violação da privacidade de dados.
Leis que regem a privacidade de dados
As regulamentações na área de privacidade de dados estão em constante evolução e expansão. Cabe às empresas determinar quais leis de privacidade impactam suas regiões específicas e afetam seus usuários.
Aqui estão quatro das leis de privacidade mais impactantes até o momento:
RGPD: Regulamento Geral sobre a Proteção de Dados
Em maio de 2018, a União Europeia Regulamento Geral sobre a Proteção de Dados (GDPR) tornou-se a primeira regulamentação importante de privacidade e proteção de dados a ter um impacto global.
O RGPD forçou as empresas a repensar como coletam, gerenciam e governam o acesso a dados pessoais — e, diferentemente das gerações anteriores de leis de privacidade, inclui um incentivo convincente para cumprir, com penalidades por violação de até 4% da receita global de uma empresa.
O GDPR concede aos consumidores mais direitos sobre seus dados, ao mesmo tempo em que responsabiliza as empresas pelas medidas necessárias para protegê-los. No entanto, a parte mais desafiadora de se manter em conformidade com o GDPR é responder às solicitações de acesso de titulares de dados (DSARs) para a maioria das empresas.
Não é fácil para as organizações encontrar, fornecer ou excluir os dados de um indivíduo mediante solicitação. Como resultado, muitas equipes de TI e privacidade de dados precisam automação de direitos de dados aplicações para descobrir e classificar automaticamente dados pessoais para proteção e acelerar Solicitações DSAR.
CCPA: Lei de Privacidade de Dados da Califórnia
Semelhante ao GDPR, a Lei de Privacidade do Consumidor da Califórnia (CCPA) estende as proteções de privacidade de dados pessoais de residentes da Califórnia. A CCPA — que exige que empresas que operam na Califórnia identifiquem e descubram dados pessoais, atendam às solicitações de acesso dos titulares dos dados e protejam os dados pessoais — entrou em vigor em 1º de janeiro de 2020.
Residentes da Califórnia podem perguntar às organizações quais dados pessoais elas armazenaram, solicitar que os excluam e descobrir quais informações foram fornecidas a terceiros. Essas medidas se aplicam aos dados coletados dentro do estado. Isso significa que as empresas precisam encontrar e classificar com rapidez e precisão dados sensíveis que se enquadram na CCPA — e devem ter processos em vigor para cumprir os DSARs.
HIPAA: Lei de Portabilidade e Responsabilidade de Seguros de Saúde
Uma das leis de privacidade de dados dos EUA mais estabelecidas em nível federal é a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) — um regulamento criado para proteger a saúde dos pacientes e os dados médicos.
O Congresso aprovou a HIPAA em 1996, mas, como o setor de saúde é um dos principais alvos de violações de dados, as demandas por maiores proteções à privacidade de dados aumentaram após sua promulgação. Como resultado, o Departamento de Saúde e Serviços Humanos (HHS) dos EUA emitiu a Regra de Privacidade em 2000 para cumprir a determinação da HIPAA de proteger informações de saúde. Apesar disso, o setor de saúde continuou a incorrer no maior custo médio por violações, com $7,13 milhões, de acordo com a IBM.
GLBA: Lei Gramm-Leach Billey
Outra lei de privacidade significativa é a Lei Gramm-Leach-Bliley (GLBA), uma lei federal dos EUA que controla como as instituições financeiras gerenciam as informações confidenciais das pessoas.
Existem três áreas desta law: A Regra de Privacidade Financeira regula como dados financeiros pessoais são divulgados e coletados; a Regra de Salvaguardas exige que as instituições financeiras protejam os dados implementando um programa de segurança; as disposições sobre Pretexto proíbem o uso de falsos pretextos para acessar dados privados. De acordo com esta lei, as instituições financeiras também são responsáveis por fornecer aos clientes uma notificação por escrito explicando seu processo e práticas de compartilhamento de dados.
Como o BigID ajuda organizações a automatizar a privacidade de dados
A privacidade de dados é um elemento essencial de qualquer organização — necessária, mas frequentemente um desafio doloroso e demorado. As organizações precisam de uma solução que melhor se adapta às suas necessidades. A BigID oferece soluções personalizadas que ajudam as empresas a:
Proteja os dados da sua empresa
O primeiro passo no alinhamento da privacidade de dados é inventariar todos os dados pessoais em toda a infraestrutura de TI. O BigID oferece suporte a todos os métodos de descoberta — desde a descoberta de ativos de dados até a descoberta de PI e PII por meio de varreduras completas. BigIDs fundação de descoberta de dados permite que organizações inventariem, mapeiem, classifiquem e alinhem dados às políticas regulatórias. O BigID pode descobrir fontes de dados estruturados, não estruturados e semiestruturados, além de aplicativos de negócios, sejam implantados localmente ou na nuvem, com centenas de conectores.
Prevenir violações de dados
BigID permite que as organizações gerem documentação e relatórios das atividades de processamento de dados. Dessa forma, as organizações podem manter um conjunto preciso de fluxos de processamento de dados, com a capacidade de mostrar como os dados são processados e compartilhados entre a empresa e terceiros.
Reduzir riscos
Gerenciar o acesso aos dados é uma das maneiras mais fáceis de reduzir riscos, pois diminui a exposição de uma empresa a violações de dados, roubo ou uso indevido. O aplicativo de inteligência de acesso BigID pode sinalizar e investigar usuários, grupos e dados de alto risco em toda a organização. Isso permite que as empresas revisem grupos e categorias de arquivos que contêm dados confidenciais com acesso aberto e produzam um relatório de auditoria de alvos de alto risco para revisão de permissões e redução de riscos.
Ajude a alcançar a conformidade
Leis específicas de privacidade GDPR, CCPA, e GLBA, Ajude os consumidores a exercer seus direitos de dados, obtendo consentimento antes que uma organização possa processar seus dados pessoais e sensíveis. Os recursos de consentimento do BigID se estendem ao consentimento multicanal: incluindo consentimento de menores, funcionários e regulatórios, em todos os repositórios de dados de uma organização, garantindo a conformidade da sua organização.
Obter um Demonstração 1:1 para ver como BigID permite que as empresas automatizar e operacionalizar seus programas de privacidade.
Autor
