Think Tank sobre segurança: Otimizando a privacidade, pós-GDPR

Think Tank sobre segurança: Otimizando a privacidade, pós-GDPR

Após a promulgação de o Regulamento Geral de Proteção de Dados da UE (GDPR) em 25 de maio de 2018, houve uma mudança marcante na forma como as organizações tratam o risco de dados pessoais.

Nos dias anteriores ao GDPR, a segurança cibernética estava começando a ser vista pelos conselhos como um risco para os negócios, mas muitas vezes o impacto da perda de dados não podia ser quantificado adequadamente e os custos de aumentar as defesas cibernéticas não eram baseados em uma estrutura legal e, portanto, eram menos fácil de justificar.

O advento do GDPR, com a promessa de grandes multas com base no faturamento anual, por um lado, e uma estrutura regulatória clara que permite a comprovação do cumprimento, por outro, tornou o caso de risco do negócio muito mais fácil. Mesmo que as organizações não se preocupassem com a proteção dos dados pessoais que processavam antes da introdução do GDPR, agora se preocupam.

Mas a simples conformidade com o GDPR não garante necessariamente a privacidade pessoal de funcionários e clientes. O Reino Unido Gabinete do Comissário de Informação (ICO) agora usa o termo “proteção de dados desde o projeto” em vez de “privacidade desde o projeto”. Isso ocorre, pelo menos em parte, porque a “privacidade” é até certo ponto subjetiva, o que as regras de proteção de dados não podem ser. Além disso, alguns que afirmam estar em conformidade com as regras de proteção de dados podem estar em conformidade com a letra dos regulamentos, mas não estão necessariamente seguindo o espírito deles.

Por exemplo, no caso de consentimento, o requisito afirma: “Em geral, deve ser tão fácil para eles [the data subject] retirar o consentimento, como era para você obter o consentimento. ” Isso não é algo que eu tenha experimentado até agora, possivelmente porque é muito difícil de conseguir. A maioria das pessoas vê isso quando navegamos em um novo site e somos solicitados a “aceitar todos os cookies”. Isso é muito fácil de fazer simplesmente clicando em um botão. Se você mudar de ideia, voltar e revogar a permissão pode ser um desafio em muitos casos.

Mas o consentimento é apenas uma das bases jurídicas para o processamento de dados pessoais. Outros incluem uma responsabilidade contratual ou legal que só pode ser satisfeita desta forma, ou “interesse legítimo” que também foi trazido à tona com a necessidade de solicitar consentimento.

Como parte do processo de consentimento do cookie, geralmente há um botão de “interesse legítimo” na parte inferior da tela. Interesse legítimo é o processamento de dados pessoais como parte do interesse legítimo de um indivíduo, terceiro ou empresa na prestação de um serviço, ou porque tem benefícios sociais mais amplos. Algo que um consumidor esperaria ser necessário para poder consumir o serviço ou os interesses comerciais do provedor.

“Mesmo que as organizações não se importassem com a proteção dos dados pessoais que processavam antes da introdução do GDPR, agora se preocupam”

Paddy Francis, Airbus CyberSecurity

A organização que processa os dados deve, no entanto, ser capaz de demonstrar que não há prejuízo para aqueles cujos dados são processados ​​e que não há forma menos intrusiva de atingir o objetivo do serviço. O interesse legítimo pode ser uma base legal útil para o processamento sem consentimento explícito, onde não há relação contratual ou exigência legal. No entanto, ele ainda precisa ser declarado e as razões justificadas. Isso pode, em parte, ser o motivo de alguns sites incluírem um interesse legítimo em seu processo de consentimento. No entanto, embora os cookies que requerem consentimento estejam “desativados” por padrão, aqueles relacionados ao interesse legítimo geralmente estão “ativados”.

Um exemplo do mundo real em que interesses legítimos podem ser usados, mas podem ser difíceis de justificar, é a verificação de vírus de e-mails saindo de uma organização. Pode-se argumentar que é do interesse da reputação da empresa e de quaisquer terceiros que recebam e-mails infectados, mas, ao mesmo tempo, um indivíduo identificável pode acreditar que o envio involuntário de tal e-mail pode ser considerado contra eles.

Outro exemplo é quando um funcionário tem uma pasta em sua área de trabalho chamada “pessoal” que usa para apoiar suas próprias atividades de negócios. O empregador teria um interesse legítimo em acessar as pastas “pessoais” de um usuário? E se o fizessem, as provas obtidas com isso seriam admissíveis em um tribunal de trabalho?

O primeiro cenário pode ser mais bem coberto por consentimento e o segundo por um contrato de trabalho que conceda esse direito ao empregador.

Aplicação dos princípios do GDPR

“Legalidade, justiça e transparência” constituem o primeiro dos os sete princípios do GDPR, que claramente precisam ser considerados antecipadamente em qualquer novo projeto e mantidos durante a vida de um sistema à medida que ele evolui. Os outros seis princípios são: limitação de propósito; minimização de dados; precisão; limitações de armazenamento; integridade e confidencialidade; e responsabilidade.

Embora todo o GDPR precise ser considerado desde o primeiro dia de um novo projeto, “limitação de propósito” e “minimização de dados” são provavelmente os mais importantes a serem considerados primeiro.

Compreender o propósito de qualquer empreendimento é fundamental. Com o GDPR, isso se refere à finalidade para a qual você coleta e processa dados pessoais. Sem entender isso, você não pode saber quais dados precisa coletar e não será capaz de estabelecer a base legal para coletá-los e processá-los.

O objetivo deve ser documentado e estabelecido em uma política de privacidade ou equivalente disponível para todos os usuários. Identificar todas as finalidades para as quais os dados precisarão ser processados ​​no início é importante, porque processar os dados para outras finalidades posteriormente significará obter consentimento adicional e atualizar sua documentação.

A minimização de dados, por outro lado, consiste em minimizar os dados coletados apenas para o necessário para o propósito. A palavra “necessário” aqui também é importante, porque significa que a solução deve minimizar o que é necessário coletar. Ou seja, se a escolha da solução A requer a coleta de mais dados pessoais em comparação com a solução B, o fato de que os dados coletados são necessários para a solução A não atende aos requisitos de minimização de dados se não for necessário para a solução B. Isso é importante não apenas para cumprir o GDPR, mas também para minimizar a quantidade de dados pessoais que precisam de proteção e, idealmente, minimizar, ou eliminar, a necessidade de coletar ou manter dados pessoais confidenciais.

Pseudonimizando dados do usuário

Outra abordagem para proteger os dados dos usuários é o conceito de pseudonimização. Por exemplo, um conjunto de dados médicos pode ter a identidade do usuário substituída por uma pseudo-identidade aleatória única e a relação entre a identidade do usuário e a pseudo-identidade armazenada separadamente. Os dados seriam então considerados pseudonimizados. Não seria totalmente anônimo, porque o usuário ainda seria indiretamente identificável usando os dados de mapeamento. No entanto, os dados pseudonimizados podem ser processados ​​com segurança, fornecendo o mapeamento de sua identidade real mantida em segurança. Se nunca foi necessário identificar o usuário específico, o mapeamento para a identidade real não precisa ser mantido e os dados podem ser considerados totalmente anônimos.

No entanto, alguns cuidados são necessários aqui, porque se o processador de dados não mantiver o mapeamento, mas ele ainda existir em outro lugar, ele não seria considerado totalmente anônimo. Além disso, se os dados contivessem outras informações que poderiam ser usadas para identificar um indivíduo por correlação com outros dados – por exemplo, data de nascimento e código postal correlacionado com o registro eleitoral – então os dados ainda seriam apenas pseudo-anônimos, então precisariam ser protegidos como dados pessoais.

Abordagens de privacidade em constante mudança

O GDPR certamente teve um impacto nos três anos desde sua introdução. As organizações adaptaram suas abordagens aos dados pessoais para estar em conformidade com o regulamento, e as autoridades cada vez mais as responsabilizam por violações desses regulamentos.

Também houve um aumento do interesse do público na privacidade, com informações e relatórios sobre as várias violações de dados e o anúncio feito no início deste ano pela Apple de que está removendo a capacidade dos anunciantes de rastrear a atividade do usuário em aplicativos e dispositivos.

Embora eu não espere que a regulamentação mude significativamente no futuro, sua aplicação contínua e crescente compreensão pública da privacidade no mundo digital provavelmente continuarão a mudar nossa abordagem em relação à privacidade por algum tempo.

Leave a Reply

Your email address will not be published.