Então, você acha que uma empresa usou mal seus dados. Como escrever um DSAR

Início » Cibersegurança » Então, você acha que uma empresa usou mal seus dados. Como escrever um DSAR

Read Time:6 Minute, 57 Second

Não mexa com o titular dos dados

Na minha experiência, ninguém é mais sensível e protetor de dados pessoais do que aqueles, como eu, que trabalham no campo da ciência de dados .

Embora muitos que procuram proteger os dados dos clientes tenham uma mentalidade ética, alguns estão apenas tentando evitar uma consequência muito real.

Multas.

Sephora: 1,2 milhões . Meta: 400 milhões . Google: Mais de 4 bilhões .

Como a lista acima não é um clube do qual você deseja participar, mesmo sendo uma empresa multibilionária, um número crescente de empresas está garantindo que os consumidores saibam como a empresa usa seus dados.

E, melhor ainda, em muitos casos, você ainda tem a opção de solicitar uma auditoria, supressão ou exclusão total de seus dados.

O problema é que solicitar qualquer uma dessas coisas não é um processo fácil.

Embora eu seja um engenheiro de dados, recentemente me vi escrevendo uma solicitação de acesso ao titular dos dados (DSAR) após uma tentativa de solicitação desconfortável.

Uma Solicitação Assustadora Inspirou Minha Solicitação de Acesso ao Titular dos Dados

Apesar de passar das 21h, as notificações do Ring eram incessantes.

Eu inicialmente os limpei, pensando que era o entregador fazendo sua terceira tentativa de obter minha assinatura em um pacote; infelizmente, na época, eu estava a mais de 500 milhas ao norte.

Abri o aplicativo e vi alguém pendurar algo na maçaneta da minha porta.

Apavorada, minha esposa mandou uma mensagem de texto para nosso vizinho, que nos enviou uma foto do adesivo da porta, que tinha o logotipo de uma imobiliária nacional.

Algumas coisas sobre o incidente me deixaram desconfortável: a solicitação aconteceu bem depois do horário comercial, moramos em um apartamento no último andar, o que significa que o agente se dedicou muito a conseguir nossos negócios e obviamente tinha meu endereço exato.

Depois que o estremecimento inicial diminuiu, experimentei uma nova sensação.

Eu estava chateado.

Embora eu me lembre de preencher nossas informações durante uma visitação pública, não me lembro de marcar a caixa de consentimento para visitas noturnas.

Então, como todo americano injustiçado por uma grande corporação, redigi um e-mail.

Comece o processo – se você puder encontrá-lo

Uma das partes mais difíceis de passar pelo processo de privacidade de dados de uma empresa é encontrar as informações de contato, formulário ou termos que você precisa para entender seus direitos.

No meu caso, eu literalmente procurei “privacidade” (good ‘ole control+f) no site e encontrei uma página de destino que continha todas as informações de que eu precisava.

Felizmente, o e-mail que contatei também tinha “DSAR” no endereço, então consegui encontrá-lo com outra pesquisa rápida.

A página inicial “fale conosco” também incluía instruções distintas para fazer uma solicitação DSAR.

Alguns desses critérios informaram meu modelo DSAR, que você pode acessar rolando até o final desta história.

Como os EUA (ainda) não têm uma lei federal de proteção à privacidade de dados, as empresas tiveram que criar seus próprios processos para revisar, responder e executar solicitações.

Conheça seus direitos – se você os tiver

Muitas vezes, você estará à mercê de uma política que pode ou não ser uma reminiscência da legislação de privacidade de dados existente.

Ou você pode ter sorte e morar em um desses 5 estados:

Califórnia
Colorado
Connecticut
Utah
Virgínia

Nesse caso, mesmo que os termos DSAR da empresa não cubram seu caso de uso, você tem direito a proteções adicionais sob as leis estaduais, como a CCPA da Califórnia.

Infelizmente, meu estado residente atual (Flórida) é um pântano sem lei e não possui política de privacidade de dados codificada em lei estadual.

Então, eu estava à mercê dos termos da imobiliária.

Em meio a muito juridiquês, descobri que tinha direito a:

O direito de solicitar informações sobre como a empresa estava usando meus dados
O direito de solicitar a supressão ou limitação das informações atuais
O direito de solicitar a exclusão de minhas informações de identificação pessoal (PII)

Havia mais detalhes sobre como eu poderia solicitar informações específicas para processos de ciência de dados, como análise, inclusão de modelo de ML e casos de uso de marketing.

Elaborando uma resposta

Sendo um trabalhador remoto e um escritor, tento me comunicar da forma mais clara e concisa possível, especialmente em cenários de negócios.

Embora eu estivesse tentado a criticar a empresa por permitir que os agentes solicitassem meus dados pessoais e possivelmente os armazenassem em seus dispositivos pessoais, eu só queria cortar os laços com essa agência em particular.

Minha resposta (que incluirei na próxima seção) incluiu:

A base para o meu pedido (solicitação estranha fora do expediente)
A solicitação de exclusão
Uma solicitação para excluir meus dados de usuário de produtos de dados agregados, como modelos de previsão de ML
Uma solicitação de informações relacionadas aos casos de uso de meus dados pessoais

Isso é possivelmente desnecessário em seu próprio cenário, mas achei que valia a pena reconhecer que estava ciente de que inicialmente consenti em compartilhar meus dados pessoais com a agência.

No entanto, eu acreditava que a maneira como ele foi usado estava fora de um caso de uso aceitável.

Um modelo de DSAR

Depois de revisar as diretrizes da empresa para enviar auditorias de dados e solicitações de exclusão, criei o seguinte rascunho.

Sinta-se à vontade para usá-lo como modelo.

Ou simplesmente maravilhe-se com o que acontece quando você engana um nerd de dados.

Olá.

Considere esta solicitação formal de acordo com os termos de solicitação de acesso do titular dos dados (da empresa) para excluir qualquer informação de identificação pessoal (PII) associada ao meu perfil de cliente.

A base para minha solicitação é que, em dezembro de 2022, um dos agentes da (empresa) em (local) deixou materiais de marketing não solicitados em minha casa bem depois do horário comercial.

Embora eu me lembre vagamente de fornecer à (empresa) dados pessoais ao fazer uma pesquisa no local durante uma visitação pública, não consenti voluntária ou conscientemente com o marketing direto invasivo que o agente exibiu.

Consequentemente, não desejo mais que (empresa) tenha acesso aos meus dados de usuário.

Certifique-se de que meus dados sejam excluídos adequadamente de seu data warehouse e de outros produtos de dados que possam agregar minhas informações às de outros clientes.

De acordo com o DSAR da sua empresa, além de excluir minhas informações, na medida do possível, forneça-me o seguinte contexto sobre o uso (pela empresa) de meus dados pessoais para fins analíticos e de marketing:

Quais informações pessoais (empresa) coletadas (nome, endereço, informações demográficas, etc.)

Como essas informações foram obtidas, incluindo se foram dados fornecidos diretamente para (empresa) ou informações fornecidas para (empresa) por um corretor terceirizado

A duração em que essas informações foram armazenadas em qualquer banco de dados (da empresa)

A base legal para processar, analisar ou manipular minhas PII

Período de retenção (da empresa) para dados agregados e não agregados do usuário

Detalhes de plataformas de terceiros e associados (da empresa) ou corretores de imóveis que podem ter acesso aos meus dados por meio de um banco de dados da empresa ou SaaS ou armazenamento em um dispositivo local (laptop, celular, etc.)

Por favor, confirme o recebimento deste e-mail e o grau em que (empresa) é capaz de atender à minha solicitação.

Remover

À medida que mais empresas oferecem opções (um tanto) transparentes para os consumidores entenderem como seus dados são usados, há mais oportunidades para os consumidores responsabilizarem as empresas pelo que deveriam ser padrões muito elevados de conformidade com a privacidade.

Você não precisa que alguém apareça em sua residência para fazer você se sentir desconfortável.

Talvez você sinta que um anúncio é um pouco direcionado demais ou gostaria que uma empresa parasse de contatá-lo com ofertas promocionais.

Todos esses são motivos aceitáveis e perfeitamente válidos para solicitar uma auditoria de seus dados pessoais e, em alguns casos, a exclusão total.

Se você estiver trabalhando no campo da ciência de dados, espero que qualquer experiência que você tenha como cliente de dados informe seus esforços no trabalho para proteger dados privados.

Trabalhar com dados de clientes me deu um nível maior de respeito pelos dados em geral.

Mas isso também significa que, se você manusear meus dados pessoais, espero o mesmo tratamento.

Eu não acho que isso seja irracional.

Você?

FONTE: MEDIUM

POSTS RELACIONADOS

Como as empresas podem equilibrar segurança e experiência online?

Por Haider Iqbal O que é mais importante para os usuários hoje, segurança de dados ou uma boa experiência do

Ler mais

03/05/2024

Marketing e cibercrime: uma análise das semelhanças inesperadas

Por Erlon Carlos Barros Junior O marketing e o cibercrime têm sua base na compreensão do comportamento humano e exigem

Ler mais

02/05/2024

Como o Governo pode reforçar a segurança do Siafi após o ataque de 2024

O recente ataque ao Sistema Integrado de Administração Financeira (Siafi) do governo federal em abril de 2024 serviu como um

Ler mais

29/04/2024

Categorias

Posts Recentes

Como as empresas podem equilibrar segurança e experiência online?

03/05/2024 Cibersegurança, Prevenção, Proteção
Marketing e cibercrime: uma análise das semelhanças inesperadas

02/05/2024 Ameaça, Cibersegurança, Prevenção
Como o Governo pode reforçar a segurança do Siafi após o ataque de 2024

29/04/2024 Cibersegurança, Prevenção, Proteção
O ciclo de vida de um arquivo digital

26/04/2024 Cibersegurança, Proteção, Solução
O impacto nocivo da deepfake para as empresas e como se defender

24/04/2024 Ameaça, Cibersegurança, Prevenção
Lições das empresas de video games: a automação libera uma monitoração e observabilidade robustas

22/04/2024 Cibersegurança, Prevenção, Proteção