O Regulamento Geral sobre a Proteção de Dados (GDPR, da sigla em inglês) da União Europeia entrou em vigor no final de maio.
Profissionais de privacidade e segurança da informação estavam se preparando para esse evento há meses ou até anos.
No entanto, para a maioria dos usuários de tecnologia em todo o mundo, a renascença dos banners sobre cookies de internet em 25 de maio foi o primeiro efeito tangível dessa nova regulação.
Conquistas para a privacidade
O GDPR gerou um nível de transparência e consciência sem precedentes.
A intenção da nova regulamentação é informar às pessoas que agora a privacidade delas está mais bem protegida.
Na realidade, a torrente de atualizações de políticas de privacidade e solicitações de consentimento que chegaram às caixas de entrada deixou muitas pessoas mais preocupadas.
Embora agora eu ouça com bastante frequência coisas como “não fazia ideia que tanta gente tinha acesso ao meu endereço de email”, esse aumento de consciência é justamente o foco.
Nunca houve nenhum momento em que a difusão da tecnologia, a onipresença dos dados pessoais e as implicações extensas da modernidade digital para a privacidade estiveram expostas de forma tão clara.
A preocupação e irritação inicial são compreensíveis, mas temporárias.
A capacitação que o GDPR trouxe também está começando a ser percebida, à medida que usuários e empresas se dão conta de que agora têm capacidade para agir.
As pessoas realmente leem declarações e notificações de privacidade
Ao contrário da crença comum, descobrimos que muitas pessoas leem notificações de privacidade.
Muitas delas clicam nelas e boa parte chega a agir.
Desde que as comunicações e atualizações relacionadas ao GDPR foram implementadas, nosso escritório global de privacidade e vários helpdesks de atendimento ao cliente perceberam um aumento claro no engajamento das pessoas exercendo seus direitos de privacidade.
Uma proteção dos dados maior cria desafios novos
Solicitações inesperadas desafiaram nossos roteiros, livros de vendas e outros recursos prontamente disponíveis.
Embora muitas das solicitações que recebemos dos clientes e usuários tenham sido simples de tratar graças ao planejamento e roteirização cuidadosos, recebemos algumas consultas inesperadas:
- ex-clientes entraram em contato para ver se restava algum dado de anos atrás;
- pessoas que nunca haviam sido clientes quiseram conferir se tínhamos alguns dados sobre elas;
- usuários de fora da Europa estavam testando se também podiam se beneficiar dos direitos de transparência e privacidade criados pelo GDPR; e
- solicitações em idiomas raros ocasionalmente exigiram o envolvimento de um tradutor.
Maior transparência gera mais escrutínio e suspeita
Começaram os litígios baseados no GDPR.
O Facebook e o Google estão enfrentando processos e um potencial de bilhões de dólares em multas por supostas violações à nova regulamentação.
Enquanto isso, certas iniciativas de crowdsourcing estão se preparando para ações coletivas de privacidade, o que gera mais suspeitas.
Manter a credibilidade e a fidedignidade das práticas de gerenciamento de dados realmente se tornou um trabalho em tempo integral.
Nova onda de trolls de direitos do GDPR
Esses trolls podem incluir:
- indivíduos e organizações inescrupulosos que enviam solicitações de acesso a dados infundadas e queixas e processos ameaçadores;
- agentes maliciosos que usam bots para inundar portais e caixas de entrada de recebimento de solicitações de privacidade com spam malicioso; ou
- criminosos cibernéticos que tentam infiltrar ataques direcionados no tráfego de web que flui para os canais de comunicação recém-abertos.
O próprio GDPR tem disposições para resistir legalmente a todos esses ataques, mas as empresas precisam estar preparadas de forma adequada para se proteger e se defender dessas ameaças novas.
Os negócios estão sendo forçados a mudar
E, é claro, o GDPR alterou significativamente o equilíbrio entre a proteção à privacidade e os objetivos de negócios.
Com clientes exercendo seu direito ao esquecimento e optando por não receber comunicações, as empresas perdem oportunidades de venda cruzada ou de comercializar bens ou serviços adicionais.
O GDPR também aplica aos departamentos de engenharia requisitos de privacidade por design e privacidade por padrão mais rígidos que antes, reduzindo a margem de manobra das empresas para rastrear, direcionar e abordar usuários com mensagens promocionais.
Agora as marcas terão de gastar mais tempo e esforço para decidir onde publicar conteúdos para melhor atingir seus públicos-alvo.
O desafio é que os profissionais de segurança da informação atuais enfrentam um ambiente de ameaças mais complexo e dinâmico do que nunca.
Na verdade, as organizações em 2016 precisaram de uma média de 221 dias apenas para detectar que haviam sido violadas.
Com as novas regras em vigor, essa demora não pode mais acontecer.
Por isso é preciso contar com um método avançado para encontrar indicadores de comprometimento, identificar comportamentos anormais ou suspeitos de usuários e sistemas, além de erradicar vulnerabilidades de tecnologia da informação (TI).
Além disso, o novo momento demanda respostas rápidas para identificar ataques com agilidade e oferecer suporte ao cumprimento dos requisitos de GDPR notificando quando uma violação acontece.
E ainda reparação de última geração, para ajudar a resolver as violações rapidamente, reduzir os riscos futuros e manter uma postura de segurança proativa.
Legislação brasileira
Recentemente, o presidente Michel Temer sancionou a Lei Geral de Proteção de Dados Pessoais (LGPD), legislação sobre uso, proteção e transferência de dados pessoais no Brasil.
Semelhante ao GDPR, o objetivo é proteger informações como nome, endereço, estado civil e situação patrimonial.
O uso desses dados agora exige consentimento do titular, que deve ter acesso às informações mantidas por uma empresa.
Tanto na regulamentação europeia quanto na brasileira, há previsão de multa pesadas sobre os infratores.
Apesar de ainda ser cedo para um parecer definitivo, já é possível ver os resultados positivos, principalmente na preservação dos direitos individuais.
Fonte: Inova.jor – Matheus Vasconcelos
21 de novembro de 2018
