0
0
Duas forças irresistíveis, mas conflitantes, estão criando um risco real para as empresas que operam na web, que é todo negócio que existe em 2022. Essas forças estão rastreando tecnologias e regulamentos de privacidade de dados.
Plugins que aumentam a quantidade de informações que as empresas coletam sobre os visitantes em seu site ajudam a alimentar um ambiente de negócios onde cada partícula de dados de clientes é coletada porque poderia ser monetizada algum dia.
No entanto, três farmácias na Suécia recentemente se reportaram à Autoridade de Proteção à Privacidade por implantar o onipresente “pixel de rastreamento” do Facebook em seu site e compartilhar dados pessoais dos consumidores que o pixel coletou com a maior rede social do mundo. Outros sites podem estar coletando dados ilegalmente sem querer por meio de “telemetria” bem-intencionada projetada para ajudar a depurar as páginas ou medir o engajamento.
O Regulamento Geral de Proteção de Dados (GDPR) da União Europeia e outras regulamentações exigem que as empresas vejam de perto suas tecnologias de rastreamento – ou potencialmente enfrentem a ira dos reguladores. Mas para as empresas que se preocupam com a privacidade de seus clientes, esse olhar de perto não deve ser visto como apenas mais uma caixa burocrática para verificar.
Os riscos que vêm da coleta excessiva e da proteção de informações pessoais são reais. E a hora de lidar com esses riscos é antes de você enfrentar uma multa ou alguma outra consequência significativa.
Pense sobre o que você deve coletar, não o que você poderia coletar
A coleta de dados deve começar considerando um fato básico: Qualquer informação coletada é um ativo e um passivo.
O GDPR define os dados pessoais como “qualquer informação que se relacione com um indivíduo vivo identificado ou identificável”. É difícil pensar em muitas informações que poderiam ser coletadas que não se encaixam nesse rótulo. Os legisladores propositadamente fizeram essa distinção ampla porque os dados pessoais são sempre um alvo potencial para os atacantes, especialmente quando esses dados poderiam ser usados para ganho monetário. Isso inclui (mas não se limita a) informações relacionadas a contas financeiras e uma ampla variedade de informações, incluindo dados pessoais relacionados à assistência à saúde.
O terrível caso de Vastaamo – uma prática de psicoterapia finlandesa que faliu depois que criminosos tentaram extorquir pacientes com arquivos de tratamento hackeados – mostra como até mesmo dados médicos podem ser monetizados por atacantes implacáveis. Mas os criminosos não precisam de notas extensas das sessões de terapia para tirar proveito dos dados roubados.
Quando os atores de ameaças têm acesso a um grande conjunto de dados, eles tentarão correlacionar esses dados. Mesmo que as informações coletadas não incluam identificadores óbvios, como nome ou número de telefone, os dados podem ser usados para criar conexões entre os usuários e suas informações.
Quando dados aparentemente inócuos podem ser facilmente conectados a dados médicos extremamente sensíveis, você pode ver por que os reguladores com a privacidade dos clientes em mente têm todos os incentivos para serem proativos em assumir empresas que não estão seguindo a lei.
Mas estamos apenas tentando servi-lo melhor!
A telemetria no contexto do eCommerce é universalmente usada para descrever informações automatizadas a serem coletadas para melhorar o desempenho do site ou o engajamento do usuário.
O objetivo da telemetria e outras tecnologias usadas para melhorar o diagnóstico ou a usabilidade do site é que os usuários não percebem o que está acontecendo. Psicologicamente, é mais provável que se comporte de forma diferente se souber que está sendo observado. Então o consentimento informado pareceria contraproducente aos seus objetivos. E dado que todo o ponto desse tipo de coleta e análise de dados é criar otimizações generalizadas que funcionem para um número máximo de clientes potenciais, há pouca chance de que as empresas usem a telemetria para rastrear ou atingir usuários individuais.
No entanto, mesmo esse tipo de rastreamento pode potencialmente violar a lei.
Um dos pilares do GDPR, uma vez que é aplicado pelos países europeus, é o consentimento informado — se os dados estão sendo coletados, tanto o GDPR quanto a Lei de Privacidade do Consumidor da Califórnia (CCPA) exigem que os usuários sejam informados *antes* que a coleta comece para que eles possam decidir se querem essas informações pessoais nas mãos de outra pessoa.
E os reguladores declararam claramente que “os dados pessoais que foram desidentificados, criptografados ou pseudônimos, mas que podem ser usados para reidentificar uma pessoa permanecem dados pessoais e se enquadram no escopo do GDPR”. Sua empresa sempre poderia argumentar que os dados coletados não poderiam ser usados para “reidentificar” uma pessoa, mas isso é mais um argumento especulativo do que técnico.
Pixels são cookies em esteroides
O rastreamento de pixels do Facebook coleta cabeçalhos HTTP que incluem endereços IP, que podem ser usados para identificar o usuário. E ao contrário dos cookies tradicionais, esses pixels podem potencialmente rastrear seus usuários onde quer que eles vão depois de deixar em seu site.
Mesmo que o Facebook não compartilhe essas informações com o proprietário do site, isso cria potenciais riscos de privacidade e regulamentação para qualquer empresa que use essa tecnologia ou compartilhe essas informações com a gigante da publicidade online.
Meta, a empresa-mãe do Facebook, diz que as empresas que “… anunciar com as empresas do Facebook pode continuar a usar plataformas e soluções do Facebook da mesma forma que fazem hoje.” No entanto, a empresa observa imediatamente que “Cada empresa é responsável por garantir seu próprio cumprimento do GDPR, assim como é responsável pelo cumprimento das leis que lhes aplicam hoje”.
Notavelmente, o pixel do Google Analytics não coleta endereços IP a partir da versão 4. Mas isso não impediu a Itália de se tornar o terceiro país a proibir o serviço, dizendo que ele viola o GDPR.
As chances são de que o Facebook e o Google tenham contratado mais advogados para considerar essas perguntas do que o seu negócio jamais irá. Assim, quando essas entidades que valem a boa parte de um trilhão de dólares sentem a necessidade de deslocar cuidadosamente a responsabilidade para os sites com os quais trabalham, pois sentem o escrutínio dos reguladores se aproximando, seria sábio considerar auditar seus próprios princípios de coleta de dados – ou você pode enfrentar graves consequências de sua autoria.
O que você deveria fazer?
Os princípios norteadores da coleta de dados são simples:
1. Apenas colete o que você absolutamente precisa
Se sua empresa for auditada ou forçada a lidar com as consequências de uma violação, os reguladores considerarão exatamente quantos dados você coletou dos visitantes. Se você conscientemente tentou “apenas coletar o que você absolutamente precisa”, isso pode ser o fator decisivo na avaliação de quaisquer penalidades que possam ser avaliadas para você.
2. Sempre obtenha permissão
Obtenha o consentimento de seus visitantes para qualquer tipo de coleta de dados, compartilhamento, diagnóstico ou telemetria que você faça ou possa fazer. No entanto, todo mundo sabe que a maior mentira na internet é a caixa que você clica para dizer que leu os termos e condições de um site ou aplicativo. Então, embora você tenha verificado uma caixa-chave com requisito de consentimento obrigatório, você não deve assumir que você está livre em casa quando se trata de regulamentos ou tratamento adequado da privacidade dos consumidores.
3. Cumpra seu acordo
Uma vez que você tenha os dados dos usuários, você deve lembrar que um princípio central do GDPR é que os dados ainda pertencem a esses usuários — não são seus. Não pode ser compartilhado ou utilizado de forma alguma que não tenha sido explicitamente parte do consentimento original.
Avaliar e minimizar constantemente os dados coletados ajuda a seguir tanto a letra quanto o espírito da lei. Rastrear pixels e telemetria são tecnologias poderosas, mas se elas beneficiam mais outras empresas do que a sua ou não podem fornecer benefícios explícitos, talvez seja melhor pular o uso deles.
Dessa forma, você pode proteger seus clientes — e seus negócios.
FONTE: HELPNET SECURITY