Skip to content
Privacidade de dados

Privacidade de dados: Por que eu devo me preocupar com isso?

Publicado |1 Comentário

Todo mundo esta tão preocupado com a privacidade de dados, em parte porque as falhas de segurança continuam a expor os dados pessoais de milhões de pessoas. Mesmo uma única brecha de segurança pode ter um impacto muito sério: Indivíduos podem sofrer de roubo de identidade ou chantagens, enquanto companhias arriscam custos financiais junto com perda de confiança do público, dos investidores e dos clientes.

Balancear a necessidade do uso de dados pessoais para propósitos de negócio contra o direito de privacidade de dados de um indivíduo é um enorme desafio. Este artigo explora a importância da privacidade de dados, como isso se relaciona com a proteção de dados, quais regulações de compliance são focadas na proteção de dados privados e o que você deveria considerar quando adotar uma política de privacidade de dados.

Conteudo relacionado: O custo de um vazamento de dados e como pode arruinar o seu negócio

O que é privacidade de dados e quais dados estão envolvidos?

Privacidade de dados, ou informação privada, significa lidar com todos os dados relacionados a identidade de uma pessoa respeitando sua confidencialidade e o seu anonimato.

Veja abaixo o vídeo (em inglês) sobre o que é privacidade de dados

Para explicar a privacidade de dados, é importante ressaltar o que exatamente deve ser protegido. Abaixo estão alguns exemplos de informações comumente considerados sensíveis, tanto pelo publico em geral quanto pelos mandatos legais.

  • Personally identifiable information (PII, informação pessoal identificável em tradução livre) – São dados que podem ser usados para identificar, contatar ou localizar um individuo ou distinguir uma pessoa de outra.
  • Personal Health Information (PHI, informação de saúde pessoal em tradução livre) – Histórico médico, informações do seguro e outros dados privados que podem ser coletados por fornecedores de planos de saúdes e que podem ser ligados a uma certa pessoa.
  • Personally identifiable financial information (PIFI, informação financeira pessoalmente identificável em tradução livre) – Número de cartão de crédito, detalhes de uma conta de banco ou outros dados referentes as finanças de uma pessoa
  • Registros estudantis – As notas de um indivíduo, transcritos, grade horária, detalhes das cobranças e outros registros educacionais.

Mais amplamente, no “Guia para a proteção da confidencialidade de uma informação pessoal identificável (PII),” do instituto nacional de padrões e tecnologia (Sigla em inglês, NIST) nos dá os seguintes exemplos de informações que podem ser consideradas PII:

  • Nome, como nome completo, nome de solteira, nome de solteira da mãe ou pseudônimo
  • Número de identificação pessoal, como Registro Geral (RG), número do passaporte, Carteira Nacional de Habilitação (CNH), número de identificação de paciente, número do cartão de crédito ou conta bancária.
  • Informação de endereço, como endereço residencial ou endereço de e-mail
  • Características pessoais, incluindo fotografias (especialmente da face ou de características distintivas), raios-x, impressão digital ou outras imagens biométricas (como scans de retina, reconhecimento de voz e geometria facial)
  • Informação sobre um individuo que está ou é ligado à algum dos itens acima (por exemplo, data de nascimento, local de nascimento, etnia, religião, peso, atividades, indicadores geográficos, informação de emprego, informação médica, informação educacional ou informação financeira).
Leia também:  Auditoria de Segurança da TI: A chave para o sucesso

Quais dados não estão sujeitos às preocupações de privacidade de dados?

Também é bom saber quais dados não estão sujeitos a preocupações com a privacidade de dados. Há dois tipos principais:

  • PII não sensível – Informação que já seja de registro público como uma lista telefônica ou um diretório online
  • Informação identificável não pessoal (non-PII) – Dados que não podem ser usados para identificar uma pessoa. Exemplos podem incluir Ids de dispositivos ou cookies. Entretanto, algumas leis de privacidade argumentam que mesmo cookies podem ser considerados dados pessoais, pois eles podem deixar traços que podem ser usados junto a outros identificadores para descobrir a identidade de uma pessoa.

Conteudo relacionado: Política de segurança de dados e proteção de dados dos clientes

Proteção de dados pessoais e regulações de privacidade

Brechas de dados continuam a virar notícia e as pessoas estão entendendo que eles estão perdendo controle sobre as informações de seus dados pessoais. Uma pesquisa da indústria mostra que 71% dos americanos ocasionalmente se preocupam com o vazamento de dados pessoais hackeados (Gallup, 2018) e que 8 em cada 10 americanos estão preocupados com a capacidade das empresas de manterem seus dados financeiros e pessoais seguros (AICPA, 2018).

Devido ao aumento da preocupação do público, o governo está ocupado criando e adaptando as leis de proteção de dados privados. De fato, a necessidade de endereçar os problemas de privacidade modernos e direitos de proteção de dados privados é uma tendência mundial. A General Data Protection Regulation (GDPR) da União Europeia é a lei mais conhecida, porém, países como Brasil (LGPD), Índia e Nova Zelândia estão enaltecendo novas regulações de privacidade e fortalecendo as leis já existentes para controlar melhor como os dados pessoais podem ser coletados, armazenados, usados, divulgados e transmitidos.

Abaixo estão as leis federais dos Estados Unidos que restringem as companhias de compartilharem de forma inapropriada dados pessoais e tipos específicos de dados direcionados. Tenha em mente que muitos estados americanos estão também apresentando seus próprios encargos.

  • Health Insurance Portability and Accountability Act (HIPAA, lei de portabilidade e responsabilidade do Seguro de saúde em tradução livre) / Health Information Technology for economic and Clinical Health Act (HITECH, lei de tecnologia da informação em saúde para Saúde Econômica e clínica em tradução livre) – Protege a informação médica pessoal
  • Gramm-Leach-Bliley Act (GLBA) – Limitada a informações financeiras
  • Children’s Online Privacy Protection Act (COPPA) – Protege a privacidade permitindo que os pais controlem quais informações são coletadas.
  • Family Education Rights and Privacy Act (FERPA) – Protege as informações pessoais dos estudantes
  • Fair Credit Reporting Act (FCRA) – Governa e coleta o uso de informações do consumidor.

Proteção de dados vs Proteção de privacidade

Privacidade de dados está intimamente relacionada à proteção de dados. Privacidade de dados e proteção de dados compartilham o mesmo objetivo: proteger dados sensíveis de brechas, cyber ataques e perca de dados acidental ou intencional. Entretanto, enquanto a privacidade da informação é focada nos controles de segurança que oferecem confidencialidade, integridade e disponibilidade da informação. Além disso, a proteção de dados quase sempre envolve proteger não apenas a informação pessoal, mas também outros dados críticos do negócio, como dados financeiros da companhia e informações confidenciais.

Leia também:  ITDR: O Que É e Como Proteger Sua Organização Contra o Roubo de Identidade

Em outras palavras, a proteção de dados requer políticas de implementação, controles e procedimentos para cumprir os princípios de privacidade de dados, como os princípios a seguir listados no framework da ISSO/IEC 29100:

  • Consenso e escolha
  • Legitimidade e especificação de finalidade
  • Limitação de coleta
  • Minimização de dados
  • Limitação de uso, retenção e divulgação
  • Precisão e qualidade
  • Abertura, transparência e aviso prévio
  • Participação individual e acesso
  • Prestação de contas
  • Segurança de informação
  • Compliance de privacidade

Conteudo relacionado: A LGPD chegou, e agora?

O que você precisa saber para implementar a proteção de dados privados?

Simplesmente implementar uma ou mais tecnologias de segurança de dados não garantirá que você irá alcançar a privacidade de dados. Ao invés disso, ao planejar suas políticas de proteção de dados privados, tenha certeza de seguir algumas das melhoras práticas:

  • Conheça os seus dados. É essencial saber quais informações estão sendo coletadas, como estão sendo usadas e se elas estão sendo vendidas ou compartilhadas com terceiros. Já que diferentes tipos de PII e suas combinações não são iguais em valor e alguns tipos de dados pessoais se tornam críticos em certos contextos, você precisará classificar seus dados usando uma solução de descobrimento e classificação de qualidade.
  • Tenha controle sobre os dados armazenados e os backups. Tenha certeza de não manter dados pessoais sem um propósito definido. Desenvolva políticas de retenção e minimize os dados pessoais existentes de acordo com seus valores e riscos.
  • Proteja-se contra acessos não autorizados. Implemente e mantenha estritamente uma política de privilégio mínimo para garantir que os usuários acessem apenas o que eles precisam para realizar seus trabalhos, e monitore seus sistemas contra tentativas de acessos suspeitas. Dispositivos, computadores e drives de rede devem estar com os controles de segurança em dia, como controles de acesso, criptografia e software de antivírus.
  • Gerenciamento e controle de risco. Proteção de dados privados precisam incluir uma avaliação de risco regular. Ao invés de construir um framework do zero, você pode adotar uma comumente usada, como o framework de avaliação de risco NIST documentando na publicação especial SP 800-30.
  • Treine os usuários regularmente. Tenha certeza de que os funcionários tenham conhecimentos das nuances da segurança e privacidade de dados. Explique o básico de privacidade para eles desde o principio, observando quais dispositivos podem trabalhar com dados críticos e como esses dados podem ser transferidos e compartilhados. Algumas vezes, é necessário lembrar as pessoas que elas não podem revisar os registros de outras pessoas por curiosidade ou por razões pessoais, ou pegar os dados com eles quando eles deixarem a organização.

Conclusão

O tempo em que dados pessoais podiam ser coletados e compartilhados silenciosamente acabou. Hoje, as organizações que armazenam e usam informações financeiras, de saúde ou pessoais devem lidar com os dados com respeito pela sua privacidade. Usando as melhores práticas citas neste artigo o ajudará a sua companhia a criar um baseline de estrutura de privacidade para se tornar uma administradora ética e responsável dos dados pessoais

Texto original: Netwrix

Privacidade de dados

Posts Relacionados

Privacidade de Dados: Problemas, preocupações e tendências em 2020

Comente o que achou do artigo

Um pensamento em “Privacidade de dados: Por que eu devo me preocupar com isso?”