O Relatório PrivSec aguarda com expectativa o novo ano e o que ele pode significar para os mundos de privacidade e proteção de dados.
Aqui estão os principais tópicos e tendências que esperamos ver em 2021:
1. Cultura de privacidade para todos, à medida que a consciência pública cresce
2020 foi definido pela pandemia global que afetou todas as partes do mundo, todos os setores, todos os negócios e todos os indivíduos. Mas 2020 não só deu início a uma inesperada em epidemiologia, mas também viu um crescimento contínuo na conscientização dos consumidores sobre os direitos de privacidade, tanto impulsionado como refletido em uma explosão de regulamentação de privacidade e proteção de dados em todo o mundo.
Com a divulgação de questões como localização e coleta de dados relacionados à saúde e a crescente necessidade dos empregadores em lidar com dados de funcionários relacionados à saúde, a privacidade tem um lugar garantido no centro das atenções até 2021.
Alguns, como Camilla Winlo, Diretora de Consultoria em proteção de dados e consultoria de privacidade DQM GRC , acreditam que a combinação de conscientização do consumidor e regulamentação dará destaque à ética de dados como um motivador para a tomada de decisões em 2021.
"As organizações vincularão explicitamente sua visão e valores corporativos à sua posição ética em relação à privacidade e proteção de dados, e cada vez mais veremos a ética e a privacidade dos dados como um tema nos relatórios anuais e nas comunicações internas", afirma Winlo.
À medida que o cenário da privacidade evolui e os DPOs e CPOs continuam a sentir o peso da tarefa à sua frente, no próximo ano também poderá haver uma percepção crescente de que a segurança e a privacidade precisam trabalhar de mãos dadas neste admirável mundo novo.
"Essa conectividade com governança de dados e segurança já existe há algum tempo nas áreas mais maduras e agora é abertamente falada", diz Victoria Guilloit, sócia da consultoria Privacy Culture. Isso poderia se manifestar, ela sugere, com mais CISOs e CPOs reportando-se a um Chief Data Officer, com o CPO mantendo uma aliança com o departamento jurídico e o CISO com TI. Uma maior implementação dessa função pode ter o potencial de equilibrar o orçamento entre o departamento de privacidade, muitas vezes com poucos recursos, e a equipe de segurança mais estabelecida e com melhor financiamento.
“Eu diria que é como se estivéssemos no colégio, apenas entendendo que precisamos ter parcerias sólidas com nossos parceiros de governança de dados, com nossas equipes de segurança - realmente entendo essa colaboração”, acrescenta Heather Federman, vice-presidente de privacidade e política no BigID.
2. O panorama da privacidade aumentará em complexidade
O Gartner prevê que 65% das pessoas em todo o mundo terão seus dados pessoais protegidos por regulamentações de privacidade, em comparação com 10% em 2020. Novos regimes de proteção de dados estão a caminho, como a China, que em outubro publicou um primeiro rascunho de seu abrangente Lei de Proteção de Informações Pessoais (Draft PIPL), com o objetivo de proteger os dados pessoais de residentes da China continental e da Austrália, que atualmente está consultando sobre alterações em sua legislação de privacidade.
O Projeto de Lei de Proteção de Dados Pessoais da Índia, apresentado em 2019, está atualmente pendente de consideração após ter sido adiado pela Covid-19 e tem semelhanças com o GDPR, bem como diferenças cruciais que alguns comentaristas de privacidade estão preocupados .
"Por um lado, a Índia está tentando se tornar este novo centro de tecnologia do mundo, competindo com a China, e eles têm esse projeto de lei. Mas, por outro lado, há algumas disposições realmente ambíguas e onerosas nesse projeto que vão além do que o GDPR faz e dão ao governo muito mais autoridade sobre os dados dos cidadãos e das empresas do que eu acho que outros gostariam ", disse Federman.
"Isso para mim é provavelmente o maior apenas por causa do papel central que a Índia desempenha na cadeia de suprimentos de tecnologia", acrescenta ela.
Para empresas que operam internacionalmente, a necessidade de conciliar múltiplas estruturas regulatórias continuará em 2021 e além. Sem dúvida, o GDPR continua a lançar uma sombra global, influenciando as estruturas de proteção de dados emergentes e as razoavelmente maduras, como o DIFC, que recentemente atualizou sua lei de 2007 para ficar mais alinhada com o GDPR.
Essa ondulação provavelmente continuará, e as organizações sujeitas a regimes como o GDPR ou a CCPA da Califórnia podem achar conveniente implantar essas proteções mesmo fora das jurisdições cobertas por essas leis.
Nos Estados Unidos, por exemplo, sem uma lei federal de privacidade no momento, Sheryl Falk , sócia e co-líder da prática Global de Privacidade e Segurança de Dados da Winston & Strawn, diz:
"Prevejo que mais e mais empresas considerarão expandir os direitos de privacidade de dados além das jurisdições exigidas (Califórnia, Nevada e a UE), a fim de agilizar as solicitações de direitos de privacidade de dados e serem vistas como bons cidadãos corporativos."
3. O debate sobre uma lei federal de privacidade nos Estados Unidos continuará
Se os EUA irão ou não trocar (ou complementar) sua colcha de retalhos de normas estaduais e setoriais de privacidade e proteção de dados por uma lei federal abrangente, ninguém sabe.
Falk está otimista: "Prevejo que, em 2021, poderemos finalmente ver a tão esperada lei federal de privacidade, que trataria de como as empresas lidam com os dados do consumidor. A vontade política e o ímpeto de uma mudança na administração aumentam a probabilidade de aprovação ", diz ela.
"Esta nova lei provavelmente seguiria o modelo da Califórnia, com foco na transparência e nos direitos do consumidor (em oposição à estrutura europeia)."
Federman, por outro lado, é "profundamente cínico" quanto à disputa federal que está sendo resolvida em 2021.
Com a incerteza persistente em janeiro sobre o controle do Senado, a falta de um consenso bipartidário sobre a natureza de qualquer legislação federal - em grande parte sobre a preferência federal e o direito privado de ação - provavelmente persistirá, pelo menos no curto prazo. Isso não quer dizer, no entanto, que a legislação não continuará a proliferar em nível estadual no ano que vem, à medida que outros estados alcançam não apenas a pioneira CCPA da Califórnia, mas também sua recentemente aprovada Lei de Direitos de Privacidade do Consumidor da Califórnia, prevista para entrar em vigor em 2023.
Com questões de regulamentação da tecnologia - tanto em termos de concorrência quanto de responsabilidade das empresas de mídia social sobre o conteúdo publicado em suas plataformas - ainda nas manchetes, a postura do novo governo em relação à tecnologia será fundamental no próximo ano. Certamente a vice-presidente eleita Kamala Harris expressou interesse na privacidade no passado - "ela foi uma das primeiras autoridades públicas que vi tweetar sobre uma questão de privacidade", diz Federman - tendo criado uma Unidade de Proteção e Fiscalização da Privacidade em o Departamento de Justiça se concentrou em proteger a privacidade do consumidor e individual por meio de processos civis de leis de privacidade estaduais e federais como Procurador-Geral da Califórnia, em 2012.
"Proteger a privacidade dos californianos é uma das principais prioridades do Procurador-Geral Harris", disse o comunicado à imprensa na época.
Se Biden aproveitará a amenidade de Obama em relação às medidas de privacidade - por exemplo, sua Declaração de Direitos de Privacidade do Consumidor de 2012 - pode ficar mais claro no próximo ano.
Com o apoio de ambos os lados da divisão política e da própria comunidade empresarial, as esperanças são grandes para a futura legislação federal dos EUA - mas quando? Por enquanto, a consultora de privacidade de dados Debbie Reynolds é modesta em sua lista de desejos imediata:
"O que eu gostaria que acontecesse, porque acho que é a menor fruta que você poderia ter, é que todos os 50 estados têm leis de notificação de violação de dados, e elas são diferentes em cada estado. Se eles pudessem propor uma lei que harmonizasse isso em nível federal, ficaria muito feliz - seria o primeiro passo, talvez pudesse ser uma base para outras coisas. "
4. A incerteza sobre as transferências internacionais de dados persistirá
A ambiguidade sobre as transferências internacionais de dados atingiu 2020. Em julho, o Tribunal de Justiça da União Europeia (CJEU) derrubou o Privacy Shield, que anteriormente permitia transferências de dados entre a UE e os EUA, em parte devido às preocupações do CJEU sobre o acesso aos dados por Mecanismos de vigilância dos EUA.
Resolver o problema do Privacy Shield pode ser um ponto de pressão para o novo governo dos Estados Unidos, principalmente por causa da importância das transferências de dados para empresas frustradas dos Estados Unidos e globais.
Mas não são apenas aqueles que estão negociando com os EUA que seguirão as consequências regulatórias da decisão Schrems II em 2021.
Outubro de 2020 viu a mesma decisão do tribunal de que as regras de privacidade da UE têm jurisdição sobre as regras de segurança nacional exigindo que as empresas coletem e retenham dados gerais e indiscriminados de comunicações em massa com agências de segurança - com implicações para a aquisição e uso de dados de comunicações por Agências de Segurança e Inteligência britânicas no Reino Unido . A decisão pode ter implicações significativas para a oferta do Reino Unido de adequação ao GDPR quando o período de transição pós-Brexit terminar em 1º de janeiro.
As cláusulas contratuais padrão permanecem válidas para transferências de dados entre a UE e os chamados "países terceiros" (como os EUA e potencialmente o Reino Unido) sob a decisão Schrems II, embora aqueles que desejam transferir dados pessoais devam aplicar um risco caso a caso análise para avaliar a adequação do regime e prática de projeção de dados do país destinatário, colocando pressão sobre as empresas e os reguladores. Quando são identificadas deficiências, medidas suplementares podem ser aplicadas, e o Comitê Europeu de Proteção de Dados (EDPB) está consultando sobre orientações para exportadores de dados para estabelecer quais medidas são necessárias e eficazes, como criptografia e pseudonimização. O EDPB também definiu "Garantias Essenciais Europeias",
De acordo com Guilloit, no entanto, muitas pessoas que buscam navegar pelo Brexit no início de 2021 "não acham que essa orientação [medidas suplementares] seja extremamente útil ... as pessoas também estão esperando por um precedente".
O período de feedback também acabou de encerrar os novos (e mais abrangentes) projetos de CCS publicados pela UE, que devem ser finalizados no primeiro trimestre, o que pode trazer mais clareza. No entanto, Peter Crowther, Sócio-gerente da Winston & Strawn e Lisa Hatfield, Advogado Associado, dizem: "Pelo menos no momento, um período de transição de um ano está previsto dentro do qual os SCCs existentes podem ser usados ??em contratos inalterados existentes, mas é após este período, espera-se que todas as empresas utilizem as novas cláusulas. Isso inevitavelmente causará interrupções nas empresas que dependem das versões atuais. As empresas devem começar a considerar este processo o mais rápido possível, até porque os novos rascunhos incluem várias garantias e obrigações sobre leis de terceiros países que podem afetar o cumprimento (seguindo a decisão Schrems). "
Em meio à incerteza, a localização de dados pode aumentar cada vez mais sua cabeça em 2021.
"Espero que as organizações pensem muito mais sobre os motivos pelos quais transferem dados para fora do país de origem. O risco percebido associado a essas transferências está aumentando e as etapas necessárias para permitir tais transferências significam que muitos processos simplesmente não funcionarão mais em seu formato atual ", diz Camilla Winlo, da DQM GRC.
Winlo acrescenta que algumas transferências internacionais podem ser evitadas pelas autoridades de supervisão.
Ela diz: "Isso torna as transferências internacionais um problema de continuidade de negócios - e que é resolvido projetando processos alternativos localizados. Depois que esses processos localizados forem finalizados, será mais difícil justificar a continuação das transferências de dados. Portanto, espero ver um movimento crescente para localizar o processamento de dados. "
Os profissionais de dados precisarão mapear onde seus dados realmente estão, estar em dia com as leis locais e em todos os contratos. Mas eles também vão querer considerar se as transferências internacionais são realmente necessárias.
No entanto, as organizações também devem aplicar um certo grau de calma e pragmatismo no clima atual, diz Guilloit: "Os reguladores costumam ter fundos insuficientes e recursos insuficientes", diz ela. Dado o contexto da pandemia, ela antecipa capacidade limitada para um grande impulso regulatório que poderia prejudicar as empresas que buscam manter o fluxo de dados através das fronteiras no início de 2021.
"Acho que haverá um retrocesso maciço por parte dos governos que protegem as empresas se isso acontecer, dizendo, vamos, estamos apenas nos recuperando da Covid, o que você está fazendo?"
Ela acrescenta: "Acho que podemos ter obtido uma indulto de Schrems por causa da Covid."
5. Um entendimento maduro do potencial de automação entre os profissionais de privacidade
2020 não viu uma erradicação da higiene deficiente de dados, nem dos riscos associados a grandes quantidades de dados não estruturados, não classificados, antigos e mal compreendidos à espreita nos dispositivos e servidores da empresa, juntamente com a falta de processos padronizados para processamento de dados em todos os setores. Com a Covid-19 conduzindo massas de funcionários para o trabalho remoto, as dificuldades de rastreamento de dados se intensificaram à medida que o uso de redes domésticas e BYOD aumentou.
Muitas organizações ainda estão lutando com o desenvolvimento de um inventário de dados (manual ou automatizado) e as empresas enfrentam uma proliferação de opções de soluções para automatizar o processo por meio da descoberta e gerenciamento de dados.
Federman, da BigID, empresa sediada em Nova York, que usa aprendizado de máquina avançado e inteligência de identidade para descobrir e mapear dados, acredita que o mercado de privacidade está na "infância" da automação.
Guillot diz que o uso da automação no espaço de privacidade está menos evoluído do que poderia ser, e muito se concentra na ética de usar a tecnologia dessa forma.
"Do lado da segurança, está lá há muito tempo - é meio que uma piada na indústria, basta comprar outra caixa de luzes piscantes e jogá-la nele, enquanto do lado da privacidade isso geralmente não acontece no momento aconteceu ", diz ela.
"Fala-se muito sobre automação na privacidade. Fala-se muito sobre IA e aprendizado de máquina, e os prós e contras disso ... Não dá para parar de seguir nessa direção, eles não vão parar de desenvolver. Mas, eu acho que normalmente as pessoas no espaço de privacidade irão questionar se é ou não certo fazer isso. Acho que essa é a diferença. "
6. É improvável que cheguemos a um consenso sobre o uso de criptografia
Outubro viu o lançamento de uma declaração do Departamento de Justiça dos Estados Unidos, assinada por representantes dos EUA, Reino Unido, Austrália, Nova Zelândia, Canadá, Índia e Japão, argumentando que a tecnologia de criptografia de ponta a ponta representa desafios para a segurança pública, incluindo membros altamente vulneráveis ??da sociedade, como crianças exploradas sexualmente.
A declaração pediu que as autoridades policiais tenham permissão para acessar o conteúdo em "um formato legível e utilizável onde uma autorização é legalmente emitida, é necessária e proporcional", e para consultar os governos para facilitar o acesso legal.
A partir de 21 de dezembro, o Código Europeu de Comunicações Elétricas (EECC) remove a base legal explícita para que as empresas Over-The-Top (OTT) digitalizem voluntariamente materiais on-line em busca de abuso sexual infantil, a menos que a legislação nacional permita, embora uma proposta temporária permita a detecção voluntária de abuso sexual infantil continuará até 2025.
Em um relatório de dezembro de 2020, a Comissária das Crianças do Reino Unido, Anne Longfield, disse que a criptografia ponta a ponta das comunicações eletrônicas não deveria se aplicar a contas de crianças com empresas de tecnologia como o Facebook Messenger. Ela alertou o governo para ser cauteloso com as intenções das grandes tecnologias em relação à criptografia, afirmando que as empresas de mídia social podem estar usando a criptografia em uma tentativa "cínica" de "contornar as sanções e litígios".
Mas os defensores da privacidade, como a Electronic Frontier Foundation , se opõem a quaisquer tentativas, baseadas na UE ou nos Estados Unidos, de enfraquecer a criptografia.
"O problema é a solução - que eles querem enfraquecer a criptografia para todos", diz a consultora Debbie Reynolds.
"Eles querem receber uma chave para que possam desbloquear o conteúdo dos dados da pessoa X. Mas o que eles estão pedindo na verdade é criar uma vulnerabilidade para que possam desbloquear os dados de todos. Depois que eles criam sua vulnerabilidade, essa vulnerabilidade está em toda parte. "
Qualquer incursão no sentido de suavizar a criptografia ponta a ponta em 2021 provavelmente gerará um debate vigoroso entre grandes empresas de tecnologia, reguladores e defensores da privacidade - sem mencionar a complexidade potencial sobre medidas SCC complementares europeias para permitir transferências de dados internacionais.
Fonte: GDPR.Report - https://gdpr.report/news/2020/12/17/the-data-protection-and-privacy-trends-to-watch-out-for-in-2021 (Traduzido e Adaptado).
Comments