A privacidade está morta, viva a privacidade

Em maio, as empresas viram o Y2K remasterizado. O Regulamento Geral de Proteção de Dados da Europa chegou – e nada aconteceu. Empresas em todo o mundo e em todos os setores correram para alcançar a conformidade, com medo de multas altas e da ira do consumidor.

Mas quase três meses após a promulgação do regulamento, houve pouca ação.

Embora a indústria ainda não tenha visto ramificações na regulamentação, o GDPR fez com que muitas organizações repensassem como coletam e usam dados. Mais empresas estão considerando a privacidade como uma questão comercial importante, não uma reflexão tardia.

E um conceito está tornando mais fácil entender como os dados devem ser tratados, injetando mais privacidade ao longo do caminho: lidar com dados como moeda.

Colocando um preço nos dados

O conceito de dados como moeda é o sucessor de uma representação mais física encontrada na frase "dados são o novo petróleo". Um conceito que ela cunhou há 20 anos na Europa, Michelle Dennedy, vice-presidente e diretora de privacidade da Cisco, declarou que os dados são o novo petróleo porque fluem pelos sistemas e são mais valiosos do que ouro ou outras moedas.

Se os dados fossem o novo petróleo, as empresas precisariam apenas de segurança para gerenciá-los, garantindo que não vazem e causem incêndios. Mas se, em vez disso, os dados são vistos como uma moeda, eles são "totalmente dependentes do tempo, da compreensão cultural, das condições e do contexto", disse Dennedy, em entrevista ao CIO Dive.

Toda moeda tem uma "oscilação", disse Dennedy. Veja, por exemplo, o que está acontecendo com as flutuações do euro, que ilustram como os ciclos eleitorais podem influenciar as avaliações das moedas.

As organizações alcançam o sucesso quando aprendem a valorizar os ativos. Se os dados forem tratados de forma descuidada e fatores internos ou externos causarem impacto, as organizações podem se encontrar na mira dos reguladores.

---

Se os dados são vistos como uma moeda, eles são "totalmente dependentes do tempo, da compreensão cultural, das condições e do contexto".

Michelle Dennedy

Vice-presidente e diretor de privacidade da Cisco

---

“Se você olhar para seus dados confidenciais como um ativo que causa tanto dano se estiver comprometido quanto seus fundos reais, seus dólares, você se comportará de maneira diferente”, disse Tanya Forsheit, sócia e presidente do departamento de privacidade e segurança de dados em lei. empresa Frankfurt Kurnit Klein e Selz, em entrevista ao CIO Dive.

Embora o conceito esteja ganhando apoio popular, a indústria ainda não está lá. As empresas que consideram os dados como moeda revertem rapidamente para associações com risco, acreditando que os dados são algo a perder.

A outra restrição é como os regulamentos definem os dados pessoais. O GDPR ofereceu uma definição ampla.

Nos EUA, os dados pessoais são considerados informações de identificação pessoal (PII). Mas, sob o GDPR, dados pessoais são quaisquer informações que possam ser usadas para identificar um indivíduo, incluindo IDs de dispositivos e endereços IP.

Alargar o âmbito dos dados pessoais dificulta o seu tratamento como moeda. Números de previdência social, por exemplo, têm muito mais valor do que um endereço de e-mail. Isso significa que o conceito de dados como moeda requer um valor associado.

Se existem mecanismos para tratar endereços IP como moedas de um centavo e números de previdência social como notas de cem dólares, então isso tem significado, disse Forsheit. "É uma mentalidade difícil para alguém se apossar."

Empresas famintas por dados

Se as empresas não coletassem dados em excesso, a semântica em torno de seu tratamento e definição seria inútil. Mas, infelizmente, esse não é o caso.

Em meados da década de 1990, a internet começou a girar em direção ao comércio e tornou-se mais fácil obter dados, disse Rebecca Herold, CEO da consultoria The Privacy Professor e cofundadora e presidente da SIMBUS , uma empresa de consultoria de gerenciamento de privacidade e segurança.

Antes da internet, as empresas dependiam de anúncios impressos e correspondências para alcançar potenciais compradores, disse Herold, em entrevista ao CIO Dive. Mas a ascensão do comércio na Internet reformulou os esforços de marketing e as empresas não precisavam mais solicitar dados de clientes. Em vez disso, as pessoas simplesmente deram informações.

---

"As empresas nos Estados Unidos são historicamente acumuladoras de dados. É isso que elas fazem. Elas coletam toneladas e toneladas de dados, às vezes até sem necessariamente saber qual é seu objetivo final."

Tanya Forsheit

Sócio e presidente de privacidade e segurança de dados em Frankfurt Kurnit Klein e Selz

---

A indústria viu "como as organizações estavam ansiosas para começar a coletar mais dados do que realmente precisavam", disse Herold.

Os anos 90 serviram de prenúncio. Hoje, as empresas estão coletando e armazenando mais dados do que sabem o que fazer, esperando que a análise de big data e a inteligência artificial facilitem a análise. Essa coleta excessiva teve um impacto direto na privacidade.

"As empresas nos Estados Unidos são historicamente acumuladoras de dados. É isso que elas fazem", disse Forsheit. "Eles coletam toneladas e toneladas de dados, às vezes mesmo sem necessariamente saber qual é seu objetivo final."

O GDPR está trabalhando para mudar a forma como as empresas interagem com os dados, interrompendo o uso de dados pessoais de maneiras que os consumidores não esperavam ou não sabiam que era possível, de acordo com Forsheit. Ao conectar conjuntos de dados díspares, os analistas podem determinar e delinear informações pessoais sem o conhecimento do usuário, uma ação que o GDPR está tentando impedir.

A privacidade é mesmo possível?

Os dados podem ter um impacto positivo e negativo, e as organizações com medo de repercussões regulatórias e multas altas estão trabalhando para repensar a coleta e o tratamento de dados.

O aumento da regulamentação além do GDPR também está causando impacto. Os reguladores dos EUA estão tentando intensificar e criar um ecossistema que considere os impactos na privacidade dos serviços oferecidos por gigantes da internet, como foi o caso da recente legislação da Califórnia .

As indústrias de todos os setores estão em um "período de despertar" para o uso de dados, disse Herold. O recente – e bem divulgado – uso de dados do Facebook colocou a indústria em alerta. O Facebook estava "adormecido ao volante" quando mapeou como vender dados", disse Herold. "Eles confiavam demais".

Existem dois problemas principais com os dados, disse Herold:

• As organizações estão fazendo muitas suposições sobre o que pode e o que não pode ser considerado dados pessoais. E essas mesmas empresas não acham que as pessoas poderiam analisar conjuntos de dados para obter insights pessoais sobre um indivíduo.

• A maioria dos desenvolvedores de aplicativos e muitas empresas de tecnologia não gastam tempo suficiente na engenharia de controles em suas soluções e produtos. Em vez disso, eles estão fazendo o mínimo exigido por lei.

Isso destaca a lacuna entre o que as empresas são legalmente obrigadas a fazer e o que devem fazer, disse Herold.

Certamente a privacidade é possível, mas as empresas não têm incentivo para torná-la realidade.

"As coisas ruins que aconteceram não são porque não temos leis ou não porque não temos reguladores que se importem", disse Forsheit. "É porque as empresas estão famintas por dados e, em alguns casos, gananciosas, e varreram o máximo que puderam e tentaram alavancar isso o máximo que puderam até serem pegas, porque esse é, de muitas maneiras, o jeito americano ."