A recolha excessiva de dados constitui um risco de segurança e conformidade, pelo que os CISO devem ser envolvidos nas decisões sobre quais dados recolher.
Por Christopher Burgess
Sempre que um utilizador abre uma aplicação no seu dispositivo, parece que lhe é pedido que forneça tanto a informação necessária para interagir com essa aplicação como, com demasiada frequência, informação adicional que cai no nicho do marketing.
A participação dos CISO em discussões sobre os dados necessários para que uma aplicação funcione está no centro do debate. Devem ter uma palavra a dizer na forma como esses dados são analisados para determinar como deve ser protegido para permanecer em conformidade com as leis de privacidade. Além disso, os CISO têm um papel a desempenhar para ajudar os trabalhadores a permanecerem seguros online, bem como para proteger a sua (e a da empresa) privacidade.
Os riscos da recolha excessiva de dados
Para Rob Shavell, fundador do DeleteMe, a recolha excessiva de dados pelas empresas é um problema desenfreado. Os brokers de dados pegam no que lhes dão e no que podem extrair, embalar e vender. Ele observa que “os empregadores estão agora a ajudar os empregados a proteger as suas IPI – [informações pessoalmente identificáveis]
porque é do interesse da empresa fazê-lo”.
Em termos de medidas que os CISO podem tomar, Shavell sugere que se concentrem nos pontos de conformidade da recolha de dados e na rotulagem de dados. Desta forma, o processo e procedimento evolui de modo a que “os dados sejam retidos pelo tempo que for necessário, de modo a que, se um indivíduo quiser que o seu SRCP seja eliminado, seja viável fazê-lo”. Neste sentido, a privacidade de dados na União Europeia, sob a forma do Regulamento Geral de Proteção de Dados (RGPD), inclui o “direito a ser esquecido”, que obriga as empresas a apagar as informações de um indivíduo mediante pedido.
TikTok, o exemplo mais claro de recolha excessiva de dados
Um exemplo de uma aplicação que levanta dúvidas é o TikTok. Shavell comenta que o “TikTok apresenta-se como uma aplicação benigna utilizada por crianças, adolescentes e adultos. Cada interação vídeo é catalogada. Os adolescentes tornam-se adultos. Prossegue dizendo que, com o tempo, é provável que este corpus de “dados do percurso de vida” seja utilizado para a análise preditiva a fim de mapear a trajetória futura dos indivíduos.
Um artigo recente da Gizmodo discute um estudo conduzido pela Internet 2.0, uma empresa australiana de cibersegurança, intitulado It’s Their Word Against Their Source Code – TikTok Report. As suas pesquisas mostraram que o aplicativo se liga à China e solicita “acesso quase completo ao conteúdo do telefone enquanto o aplicativo estiver em uso”. Esses dados incluem o calendário, listas de contactos e fotografias”. Robert Potter, coCSO da Internet 2.0, disse ao Gizmodo: “Quando a aplicação está em uso, tem a capacidade de digitalizar todo o disco rígido, aceder a listas de contactos, assim como ver todas as outras aplicações que foram instaladas no dispositivo”. Observou que isto era “significativamente mais” do que aquilo a que uma aplicação como o TikTok precisa de ter acesso.
O TikTok disse à publicação que a recolha de dados realizada está “de acordo com a prática da indústria. Recolhemos informações que os utilizadores optam por nos fornecer e informações que ajudam ao funcionamento da aplicação, a operar em segurança e a melhorar a experiência do utilizador.
A ADPPA está no horizonte
Em finais de junho de 2022, a Lei Americana de Proteção e Privacidade de Dados (ADPPA) foi introduzida no Comité de Energia e Comércio da Câmara e aprovada pelo Comité a 22 de julho. Embora não seja uma panaceia, de facto, o governo da Califórnia assinala que, se for aprovada tal como redigida, enfraquecerá algumas das medidas tomadas neste estado para proteger a privacidade dos indivíduos. É um passo em frente. Dado que é provável que leve algum tempo a passar pelo Congresso, não há necessidade de os CISO esperarem para abordar algumas das recomendações contidas no projeto de lei, uma vez que fazem iminente sentido do ponto de vista da proteção de dados e da privacidade.
Violet Sullivan, uma advogada de segurança cibernética e privacidade que opera como vice-presidente do envolvimento do cliente na Redpoint Cybersecurity, partilha: “A transformação digital criou um método muito disponível de vigilância”. Ela acrescenta que esta peça de legislação bipartidária tem um grande potencial para ser a primeira verdadeira legislação federal de privacidade nos Estados Unidos.
A lei inclui as áreas sugeridas pela Shavell para incluir o direito de apagamento, o direito de acesso e correção, a necessidade de as empresas designarem responsáveis pela proteção de dados (os CISO tomam nota), e o dever de lealdade. Sullivan explica: “O dever de lealdade exigiria, em teoria, que as organizações agissem no melhor interesse do indivíduo quando processam dados e concebem serviços. Acrescenta: “O que isto significa para a segurança cibernética no plano técnico: autenticação multi-factor, gestão de rede, controlo de acesso, avaliações de vulnerabilidade, retenção de dados e processos e procedimentos de resposta a incidentes.
Em suma, os CISO devem pressionar para assegurar que os dados que recolhem são protegidos.