Privacidade de dados: colete o que você precisa, proteja o que você coleta

Toda vez que um usuário abre um aplicativo em seu dispositivo, parece que eles estão sendo solicitados a fornecer as informações necessárias para se envolver com o aplicativo e, com muita frequência, informações adicionais que se enquadram no tipo “bom-de-ter” ou nicho de marketing. Ter CISOs participando das discussões sobre quais dados são necessários para que um aplicativo funcione é uma aposta. Eles devem ter uma opinião sobre como esses dados são analisados para determinar como devem ser protegidos para permanecer em conformidade com as leis de privacidade. Além disso, os CISOs têm um papel a desempenhar para ajudar a força de trabalho a permanecer segura on-line, bem como proteger sua privacidade (e a da empresa).

Os riscos da coleta excessiva de dados

Durante uma conversa recente com Rob Shavell, fundador da DeleteMe, ele comentou como a coleta excessiva de dados pelas empresas é um problema desenfreado. Os corretores de dados pegam o que você dá a eles e o que eles raspam e empacotam e vendem. Ele observa: “Os empregadores agora estão ajudando os funcionários a proteger suas PII [informações de identificação pessoal], pois é do interesse da empresa fazê-lo”.

Falando sobre quais medidas os CISOs podem tomar, Shavell sugere que eles se concentrem nos pontos de conformidade de coleta de dados e na marcação de dados. Dessa forma, o processo e o procedimento evoluem para que “os dados sejam mantidos pelo tempo necessário, de modo que, se um indivíduo deseja que suas PII sejam excluídas, é viável fazê-lo”. (Privacidade de dados na União Europeia na forma de Regulamento Geral de Proteção de Dados [GDPR] inclui o “direito ao esquecimento” exigindo que as empresas excluam as informações de um indivíduo sob demanda.)

TikTok, o exemplo gritante de coleta excessiva de dados

Um exemplo de aplicativo que faz alguém levantar uma sobrancelha seria o TikTok. Shavell comenta sobre como “o TikTok aparece como um aplicativo benigno usado por crianças, adolescentes e adultos. Cada interação de vídeo é catalogada. Adolescentes se tornam adultos”. Ele continuou dizendo que, ao longo do tempo, é provável que esse corpo de “dados do caminho da vida” seja usado para análise preditiva para traçar o curso futuro dos indivíduos.

Um artigo recente do Gizmodo dissecou um estudo da Internet 2.0, uma empresa de segurança cibernética australiana, intitulado ‘It’s Their Word Against Their Source Code – TikTok Report’. Sua pesquisa mostrou que o aplicativo realmente se conecta à China e solicita “acesso quase completo ao conteúdo do telefone enquanto o aplicativo está em uso. Esses dados incluem calendário, listas de contatos e fotos”. Robert Potter, co-CSO da Internet 2.0, disse ao Gizmodo: “Quando o aplicativo está em uso, ele tem a capacidade de escanear todo o disco rígido, acessar as listas de contatos e ver todos os outros aplicativos que foram instalados no dispositivo”. Ele observou que isso era “significativamente mais” do que um aplicativo como o TikTok precisa acessar.

O Gizmodo foi informado pelo TikTok que a coleta de dados realizada está “de acordo com as práticas do setor”. “Coletamos informações que os usuários optam por nos fornecer e informações que ajudam o aplicativo a funcionar, operar com segurança e melhorar a experiência do usuário”, disse a empresa.

ADPPA está no horizonte

No final de junho de 2022, a Lei Americana de Privacidade e Proteção de Dados (ADPPA) foi introduzida no comitê de Energia e Comércio da Câmara e saiu do comitê em 22 de julho. Embora não seja uma panaceia, de fato o estado da Califórnia observa que, se aprovado como escrito, enfraquecerá algumas das ações tomadas na Califórnia para proteger a privacidade dos indivíduos. Dada a probabilidade de que levará algum tempo para passar pelo Congresso, não há necessidade de os CISOs esperarem para abordar algumas das recomendações contidas no projeto de lei, pois elas fazem sentido iminente do ponto de vista da proteção de dados e da privacidade.

Violet Sullivan, Advogada de Segurança Cibernética e Privacidade que atua como Vice de Envolvimento do Cliente na Redpoint Cybersecurity, compartilha: “A transformação digital criou um método muito disponível de rastreamento de vigilância”. Ela continua dizendo como esta legislação bipartidária tem grande potencial para ser nossa primeira legislação federal de privacidade real.

O projeto de lei inclui as áreas sugeridas por Shavell para incluir o direito de excluir, o direito de acessar e corrigir, a necessidade de as empresas designarem os responsáveis ​​pela proteção dos dados (CISOs tomem nota) e o dever de lealdade. Sullivan explica: “O dever de lealdade, em teoria, exigiria que as organizações agissem no melhor interesse do indivíduo ao processar dados e projetar serviços”. Ela acrescenta: “O que isso significa para a segurança cibernética no lado técnico: autenticação multifator, gerenciamento de rede, controle de acesso, avaliações de vulnerabilidade, retenção de dados e processos e procedimentos de resposta a incidentes”.

Em suma, os CISOs devem pressionar para garantir que os dados coletados sejam protegidos.