SEGUNDA-FEIRA, 3 DE JUNHO DE 2019 - Horário 13:15
Blog Forcepoint GDPR: uma ameaça em potencial para empresas que coletam dados?
Tecnologia / A GDPR foi criada para proteger os dados pessoais contra o uso indevido ou a perda, e é uma atualização das leis de proteção de dados existentes. Em termos gerais, a regulamentação traz mudanças positivas: o sentimento era de que as regras antes tinham um índice muito baixo de adesão e as consequências de ignorá-las eram insignificantes.
A GDPR é baseada no direito humano fundamental europeu à privacidade e proteção de dados, e fornece aos reguladores o poder de punir aqueles que ignoram a proteção de dados como irrelevante, ou consideravam as multas muito pequenas para justificar uma mudança na abordagem do gerenciamento de dados.
Nos últimos dez anos, vimos um enorme aumento nas empresas cujo modelo de negócios é baseado na gestão, venda ou compreensão profunda de dados pessoais. É justamente pelo notório uso indevido de dados pessoais que a GDPR foi projetada para erradicar.
Por exemplo, no seu funcionamento mais básico, um mecanismo de pesquisa não precisa capturar dados pessoais. No entanto, se você quiser adaptar os resultados com base em informações anteriores e histórico, a coisa muda de figura. E se você fundamentar seu modelo de negócios em conhecer seus clientes e entregar anúncios personalizados: então você precisará rastrear informações pessoais e compartilhá-las de alguma forma para seus clientes anunciantes.
A mídia social também usa dados pessoais para impulsionar negócios e, operando dentro da lei e dos termos e condições do serviço, vende dados ou padrões comportamentais para anunciantes e outros grupos de segmentação. Com a GDPR em vigor, todas as empresas que gerenciam e vendem dados devem examinar atentamente seus modelos de negócios para garantir que estejam totalmente em conformidade. É importante ressaltar que a GDPR não proíbe essa atividade, mas coloca algumas obrigações para o provedor, como ser transparente sobre o processo e proteger os dados sob seu controle. Mas não tenho certeza que essas empresas entendem plenamente a ameaça existencial que enfrentam.
Não seria totalmente justo dizer que este modelo de gerenciamento de dados (que alguns chamam de modelo de capitalismo de vigilância) espreitava as pessoas com discrição, mas o Facebook / Cambridge Analytica certamente fez muito para chamar tal atenção. Foram levantadas questões em nível governamental sobre as abordagens moral e ética que devem ser adotadas para a gestão e monetização dos dados pessoais dos indivíduos.
É claro, agora, que o Facebook entende que a privacidade é um problema, mas enfrenta um grande desafio ao modificar seu modelo de negócios para acalmar os medos dos que se preocupam com a privacidade. Veremos mais movimentos tanto do Facebook como de governos ao longo do próximo ano - a história ainda não acabou.
Dado que existem hoje muitas empresas alicerçadas no uso de dados pessoais, é extremamente provável que haja casos de uso de dados que violem a GDPR. Uma das ações que um regulador pode tomar em caso de violação ou mau uso de dados é impor a suspensão do processamento de dados pessoais. Para as empresas que trabalham com mídias sociais, agregação de dados ou pesquisas online, isso pode significar uma total incapacidade de fazer negócios. Se você não puder processar dados pessoais, não poderá receber pedidos, efetuar vendas ou pagar pessoas. Uma ação deste tipo significa efetivamente a suspensão dos negócios.
Indo além da GDPR, vejo também uma mudança gradual (e, em alguns casos, relutante) por parte de empresas e governos fora da União Europeia para tratar os dados pessoais com mais respeito e, portanto, mais regulamentação. O marco regulatório dos EUA está mudando muito lentamente para o modelo europeu, e certamente para uma regulamentação federal. Nos EUA, há mais a perder do ponto de vista econômico - já que muitas das empresas mais afetadas estão sediadas lá - e portanto, qualquer regulamentação estará suscetível a ser menos rigorosa do que a GDPR. A base da GDPR pelo direito humano europeu à privacidade também está ausente nos EUA, de modo que os fundamentos de qualquer lei de proteção de dados serão diferentes.
A relutância das empresas vem daquelas que construíram modelos de negócios multimilionários em cima de dados pessoais, e de qualquer negócio que atue de forma contrária à regulamentação. A relutância também é compartilhada por governos que não querem prejudicar e impactar esses negócios de milhões de dólares. No entanto, cidadãos, consumidores e grupos ativistas estão preocupados com o aparente desequilíbrio entre as grandes empresas e os direitos à privacidade dos indivíduos.
Conforme a discussão sobre a privacidade em mídias sociais e na alta tecnologia continua, vejo passos hesitantes, mas persistentes, em direção a uma nova legislação destinada a proteger a privacidade individual. Ainda não chegamos ao fim desta história. Mas existe uma trajetória clara para um uso mais moral e regulamentado dos dados pessoais.
Por Duncan Brown, Chief Security Strategist in Emea, Forcepoint