As leis de Política de Privacidade são tão eficazes quanto as empresas que as implementam

Política de Privacidade é um tema HOT para legisladores do mundo todo.

Candidatos presidenciais democráticos têm leis e regulamentos de Política de Privacidade em suas plataformas de campanha. Amy Klobuchar discutiu um impostosobre empresas que compartilham dados de usuários. Elizabeth Warren temintroduzido legislação que considera a ideia de pena de prisão para CEOs por falhas de Política de Privacidade . Antes de abandonar a corrida, John Delaney propôs o US adotar uma lei semelhante à Lei de Política de Privacidade do Consumidor da Califórnia, o que dá maior autonomia aos consumidores quando se trata de limitar a coleta de dados por empresas.

Os eleitores estão exigindo ação. Aenquete recentedo Morning Consult descobriu que 79% dos eleitores registrados disseram que o Congresso deveria apresentar um projeto de lei para proteger melhor os dados online dos consumidores, enquanto 65% disseram que a Política de Privacidade de dados é um dos maiores problemas enfrentados pela sociedade.

A União Europeia, composta por 27 estados-membros, sem contar o Reino Unido, promulgou o Regulamento Geral de Proteção de Dados (RGPD), consagrando a ideia de que as pessoas têm controle sobre dados pessoais. A Califórnia promulgou recentemente sua própria lei de Política de Privacidade , a California Consumer Política de Privacidade Act (CCPA), que entra em vigor em 1º de janeiro. A lei capacita os consumidores da Califórnia a saber quando empresas privadas coletam, compartilham ou vendem seus dados e a interromper essa venda, se necessário. Ela se aplica a empresas com receita bruta anual de mais de US$ 25 milhões ou que possuam informações sobre 50.000 ou mais consumidores.

Mas as leis podem ter consequências não intencionais. Às vezes, as próprias leis destinadas a impor a Política de Privacidade podem resultar em empresas, mesmo assim, compartilhando-a. O GDPR abre caminho para criminosos se passarem por pessoas e obterem seus dados de empresas.

Um ano após a entrada em vigor do GDPR, pesquisadores na UE mostraram como é fácil acessar dados pessoais de empresas.

“Este T é um problema com a lei em si, mas sim com as empresas e organizações que a implementam”, disse Mariano Di Martino, um dos pesquisadores, que é um estudante de doutorado na Universidade de Hasselt, na Bélgica, à CoinDesk em uma entrevista. “Isso pode ser devido a restrições orçamentárias ou talvez seja porque eles T entendem os riscos desses dados.”

Um grupo usaram informações publicamente disponíveis, como nomes, e-mails e números de telefone, além de métodos mais complicados para Request informações sobre seus parceiros de pesquisa de 55 empresas sob o GDPR. Um desses métodos complexos para obter os dados incluía substituir o nome, data de nascimento e foto na imagem de uma ID para refletir a pessoa cujas informações os pesquisadores queriam. Dessas 55 empresas, 15 empresas forneceram informações pessoais sensíveis aos pesquisadores. Quatro empresas nunca responderam às suas solicitações de dados, em clara violação do GDPR.

Este T é um problema da lei em si, mas sim das empresas e organizações que a implementam.

As informações coletadas incluíam empresas financeiras divulgando detalhes como números de carteira de ID , uma lista de transações financeiras com registro de data e hora, IDs de clientes, números de telefone e local de nascimento, e empresas de transporte e logística divulgando locais que as pessoas visitaram no passado, bem como rotas que elas salvaram.

Outro equipe de pesquisadoresna UE encontrou problemas semelhantes quando ONE solicitou informações sobre seu parceiro de pesquisa e a esposa do parceiro de pesquisa usando uma conta de e-mail falsa que era uma variação do nome da esposa. Cerca de um quarto das 150 empresas e organizações que contataram forneceram informações pessoais confidenciais sem verificar a identidade do solicitante. As informações fornecidas a ele incluíam tudo, desde seu número de previdência social até suas notas do ensino médio e várias senhas de conta.

À medida que o CCPA entra em vigor, é possível que vejamos problemas semelhantes. A pesquisa do GDPR ilustra que as leis de Política de Privacidade podem ser tão boas quanto as empresas afetadas por elas. O que é assustador. Esses vazamentos têm implicações no mundo real.

“Digamos que eu esteja tentando perseguir alguém e quero Aprenda mais sobre essa pessoa”, diz Di Martino. “Eu posso enviar uma Request de dados para uma empresa que fornece serviços de táxi ou ônibus e tentar obter todas as rotas ou localizações de GPS onde essa pessoa esteve. E isso pode funcionar.”