Proteção de dados: o crescente risco por dívidas de privacidade
7 de junho de 2021Novas regulamentações relativas à privacidade e riscos de segurança exigem que as empresas repensem como lidam com os dados de clientes para evitar consequências
- A falta de gerenciamento e proteção adequados dos dados de consumidores está gerando uma “dívida de privacidade” problemática
- Novas legislações de privacidade e as ameaças de violação colocam o gerenciamento de dados corporativos em risco
- Políticas e práticas mais consistentes de gerenciamento de dados limitam a exposição a riscos de privacidade
Empresas e consumidores vão gerar mais dados nos próximos três anos do que nos últimos 30, segundo uma estimativa global do IDC. Os dados pessoais de clientes representarão aproximadamente metade do total, mas, ainda assim, as organizações contam com políticas e procedimentos fracos para definir como essas informações são armazenadas e usadas.
Como resultado, muitas companhias estão caindo no que especialistas chamam de “dívida de privacidade”, em referência à ideia de que o gerenciamento descuidado das informações privadas dos clientes pode colocar as organizações em maus lençóis, o que, no caso de uma violação de dados, requer recursos financeiros e operacionais para consertar. Este conceito é semelhante ao da “dívida técnica“, ideia de que há consequências financeiras, reputacionais e operacionais geradas pelo mau gerenciamento ou uso indevido das informações privadas dos clientes, e que pode gerar custos para uma companhia que adia a substituição de ativos tecnológicos de baixo desempenho ou deficientes.
A principal ideia por trás deste conceito é que empresas com ferramentas de gestão inadequadas estão mais propensas a acumular consequências não só por violações de dados, mas também por despesas extras necessárias com compliance, recursos e equipe de TI, sem falar nas penalidades regulatórias e nos processos judiciais. As companhias enfrentam um número crescente de sanções no caso de suas práticas de dados violarem legislações governamentais de privacidade, tais como o Regulamento Geral sobre a Proteção de Dados (GDPR) da Europa e a Lei de Proteção ao Consumidor (CCPA) da Califórnia. No Brasil, apesar de já ter entrado em vigor, a Lei Geral de Proteção de Dados (LGPD), passará a aplicar sanções a partir de 1º de agosto de 2021.
Quitar essa dívida pode sair caro. Evitá-la – a melhor opção – requer uma combinação de ferramentas adequadas e melhores práticas. “As ameaças existenciais apresentadas pela Covid-19, pela recessão e pela concorrência global estão forçando a maioria das organizações a se digitalizar rapidamente. A dívida de privacidade está acelerando devido ao amadurecimento do ambiente regulatório e à maior expectativa de transparência, controle e responsabilização corporativos por parte dosconsumidores”, afirma Barbara Kay, diretora sênior de marketing de produtos na área de segurança e risco da ServiceNow.
“Os concorrentes que tiverem menos dívida de privacidade irão mais longe mais rapidamente. Caso esteja para trás ou dando apenas o suporte mínimo à privacidade de dados, cada serviço digital novo que implementar ou criar gerará mais atrito e mais problemas, significando que sua empresa está do lado errado do abismo digital”, acrescenta.
Muitos dados, nenhum plano
Para Alex Ferrara, sócio na empresa de capital de risco Bessemer Venture Partners, conversas com diretores executivos de privacidade apresentaram como suas empresas lidavam com informações privadas de usuários: em múltiplas bases de dados e com pouca visibilidade sobre quantos dados elas detêm ou onde são armazenados – e sem nenhum plano para gerenciá-los. Segundo Ferrara, muitas companhias que coletam dados não têm estrutura para armazená-los com segurança, sendo que este abismo gera grandes consequências para a falta de privacidade.”
Este déficit pode começar a se acumular a partir de erros simples. Por exemplo, se um atendente de call center armazena o número de CPF de um cliente na transcrição de uma conversa, a empresa torna-se vulnerável. Este não é um problema teórico, já que segundo relatório recente da FTI Consulting, quase seis de cada dez empresas não conseguem garantir cumprimento pleno das leis de privacidade de dados. Ainda de acordo com o levantamento, 42% dos executivos entrevistados afirmaram que não estão integrando funcionalidades relativas à privacidade no design de seus produtos e sistemas; quase o dobro respondeu estar vulnerável ou muito vulnerável a uma crise de privacidade de dados.
Vale ressaltar que as empresas coletam vastas quantidades de “informações pessoais identificáveis” (PII, na sigla em inglês) – nomes, número da carteira de habilitação e do CPF, contas bancárias, históricos médicos e outras informações pessoais delicadas.
Para reduzir a dívida: auditoria
Para eliminar a dívida de privacidade, uma companhia deve, primeiramente, entender onde e quantos dados sigilosos de clientes ela detém. Na sequência, ela precisa catalogar e classificar essas informações, depois criptografar e anonimizar – ou camuflar – os dados privados de forma que se tornem inúteis se forem expostos. Números de CPF seriam um bom ponto de partida. As companhias também precisam controlar o acesso a dados sigilosos e ser capazes de detectar qualquer movimento ilegítimo nesse sentido.
Práticas precárias de gerenciamento de dados adotadas por parceiros externos de uma companhia podem ser uma fonte significativa e, muitas vezes, não identificada de risco de privacidade. Afinal, uma empresa compartilha dados com 730 fornecedores externos em média, segundo a FTI. Cathy Scerbo, vice-presidente e CIO da Associação Internacional de Profissionais de Privacidade, cita um relatório da Osana, fornecedora de plataformas de privacidade de dados, que revela que dois terços de todas as violações ocorreram por culpa de terceiros.
Algumas organizações já estão dando mais atenção a sua infraestrutura de privacidade. Em dezembro passado, a Apple começou a exigir que desenvolvedores externos de aplicações para iOS revelem quais dados dos usuários seus apps coletam, como e para que os coletam. A informação é apresentada em “rótulos de privacidade” (privacy nutrition labels), nos quais os usuários conseguem ver como sua privacidade pode ser afetada, mas ainda é muito cedo para saber qual será a eficácia disso. A Truyo, companhia de gerenciamento de direitos à privacidade, tem um portal em que as empresas podem integrar seus itens digitais e que mostra aos usuários como seus dados estão sendo usados e como a funcionalidade de um app pode ser afetada se os dados forem removidos.
João Cerqueira, diretor de consultoria de soluções para a América Latina da ServiceNow