Adeus à Era do Facebook e Olá ao mundo da privacidade

Adeus à Era do Facebook e Olá ao mundo da privacidade

Vá em frente, admita … embora sua empresa diga que está em conformidade com o GDPR, ela não é totalmente compatível com o GDPR! Você sempre armazena informações pessoais longe de informações não pessoais? Você criptografa todas as informações pessoalmente identificáveis ​​e os dados relacionados? Você armazena e processa apenas pseudônimos para seus usuários? É impossível resolver pseudônimos para identificadores reais? Sua organização possui procedimentos detalhados para relatar uma violação de dados?

Se a resposta para um ou mais desses itens for “Eu não sei bem”, continue lendo. Caso contrário, você pode terminar de ler este artigo, pois você é um governador de dados perfeito.

Para as máquinas, somos apenas um grupo de 1 e 0s
Ok, agora que perdemos o governador de dados perfeito – que não existe, a propósito – podemos ler. Goste ou não, vivemos em um mundo de dados defeituoso. Permitimos que os protocolos e métodos desenvolvidos na década de 80 crescessem e se expandissem em todo o planeta. Infelizmente, este é um mundo que está apto para máquinas e tem pouco respeito pela privacidade de nós – seres humanos. Para eles – máquinas – somos apenas um número que precisa estar ligado a outra coisa e depois tomar uma decisão. Máquinas muitas vezes têm pouca consideração e cuidado com você, e elas são apenas programadas para completar suas tarefas. Para eles, sua preferência pelo tipo de café que você gosta é apenas um monte de 1 e 0. As máquinas não têm limites, a menos que sejam constrangidos. Este é o mundo em que vivemos … permitir tudo e barrar algumas coisas. Mas para a privacidade do usuário, talvez seja necessário inverter isso.

Quando “propriedade”, “consentimento” e “governança” se tornam um
E como nosso sistema foi escalonado e onde houve pouco em termos de privacidade inerente, e pouco em termos de controle cidadão de seus dados. Os conceitos de “propriedade”, “consentimento” e “governança” foram fundidos, com as empresas assumindo o controle dessas coisas.

Para muitas empresas, os direitos do usuário só ficam no caminho deles usando todos esses dados adoráveis ​​… “Que tipo de iPhone Bob tem, talvez ele precise de um novo?”, “Onde Alice compra seu café, talvez ela gostaria de um chá para variar? ”. Estamos agora no Oeste Selvagem dos Dados, e onde as empresas basicamente coletam nossos dados para seus próprios benefícios, e depois nos empurram para os serviços que eles promovem como “livres”.

Por isso, nossos dados costumam ser colhidos com pouca informação, e o crescente número de violações de dados mostra que até mesmo grandes empresas não conseguem proteger os dados de seus clientes. Os CEOs da Equifax e da TalkTalk, por exemplo, não tinham ideia se sua empresa estava realmente criptografando dados:

É como se o CEO não soubesse se os detectores de fumaça foram instalados em seus prédios … “Ah, os detectores de fumaça eram para alguém cuidar, então eu não me preocupei com eles!”. Os desenvolvedores também costumam ter pouco cuidado com a privacidade de seus usuários e veem a privacidade como uma desculpa e algo que apenas atrapalha a criação de um ótimo software.

Os tempos estão mudando’
Mas o NIST pretende chamar o tempo para as empresas e desenvolvedores que se importam pouco com a privacidade de seus usuários e elaboraram um esboço de uma estrutura de privacidade [aqui] para outros comentarem:

Nele definem as funções centrais de identidade, proteção, controle, informação e resposta, e que então se dividem em categorias:

Essas funções devem permitir que as organizações entendam os riscos envolvidos e definam procedimentos aprimorados:

Essas funções devem permitir que as organizações entendam os riscos envolvidos e definam procedimentos aprimorados:

Identidade. Essa função define o contexto de negócios em torno da identidade e a maneira como as identidades são processadas dentro da organização, juntamente com as estruturas legais e regulamentares. Estes podem ser usados ​​para informar práticas de risco dentro de uma organização. As categorias esperadas incluem: Ativo; Ambiente de negócios; Governança; Avaliação de risco; e Estratégia de Gestão de Risco.
Proteger. Esses são os mecanismos que protegem dados confidenciais, incluindo pseudo-anonimato e métodos de aprimoramento da privacidade. Nesta fase, vemos um forte uso da criptografia para ocultar e proteger os dados principais. As categorias esperadas incluem: Gerenciamento de Identidade e Controle de Acesso; Conscientização e Treinamento; Segurança de dados; e De-identificação.
Ao controle. Isso define os mecanismos nos quais a organização controla o acesso a dados confidenciais, inclusive em torno das políticas definidas. Isso pode incluir os direitos de criar, ler, atualizar e excluir elementos de dados. As categorias esperadas incluem: Gerenciamento de dados; Qualidade de Dados; Configurações Padrão; e preferências do usuário.
Informar. Isso define os procedimentos que as organizações tomarão para informar seus indivíduos sobre os processos usados ​​no processamento de seus dados. As categorias esperadas incluem: Notificações do usuário; Relatório de Processamento de Dados; e transparência algorítmica.
Responder. Isso define os procedimentos envolvidos no relato de uma violação de dados, incluindo como os usuários serão informados. As categorias esperadas incluem: Correção e Notificação de Violação.
Agora, o NIST precisa da sua ajuda para definir essas funções. Por isso, vá e participe delas, mas, por favor, revise os métodos de identidade da sua organização; proteger; ao controle; informar; e responder.

Conclusões
Nossos dados são nós. Nós somos dados… [link]

Você gostaria que uma foto pessoal sua e de sua família fosse distribuída pelo seu banco? Você quer que as pessoas em um call center ouçam o que você diz na frente da sua TV?

Se a resposta for “Não!”, Faça a sua empresa se inscrever no quadro de privacidade do NIST e contribua para o seu desenvolvimento… e depois implemente os resultados!

A confiança será um dos maiores pontos de venda para qualquer empresa no futuro, por isso, vá buscar o cidadão ao seu lado.