|
 A proteção da privacidade é um desafio inevitável em uma sociedade livre. Com uma quantidade cada vez maior de informações pessoais sendo veiculadas na Internet, que papel as empresas deverão assumir para proteger a privacidade de funcionários e clientes? E globalmente, quais são as implicações à privacidade em relação a diferenças culturais e harmonização de identidade e padrões de proteção de dados?
A Responsável pela Privacidade da Sun, Michelle Dennedy, denomina essa era de participação da web de “Rede para você.” A seguir, ela apresentará o seu ponto de vista de como empresas podem proteger o seu patrimônio e seus acionistas ampliando as suas considerações sobre a gestão de privacidade de dados e informações pessoais.
P: O que é a "Rede para você?"
R: A "Rede para você" é uma concepção que vincula as práticas tradicionais de negócios às práticas que incluem Web 2.0 no novo ambiente de capacitação enriquecido de dados. A Rede para você reconhece que pela primeira vez na história da humanidade, podemos participar individualmente em uma rede global de fluxo de informação. Isso proporciona obviamente uma grande vantagem econômica, mas há também um forte fator de risco se não tivermos cuidado.
P: Quais são as ameaças mais preocupantes para a privacidade dos usuários online?
R: As ameaças mais preocupantes são o uso não planejado, inesperado de informação que viola os costumes individuais culturais ou legais. As organizações possivelmente não informam os usuários o por quê de estarem coletando informações — ou que estão coletando informações. Elas podem possivelmente cair na armadilha de fazer mal uso das informações coletadas, para as quais são fiduciários e não proprietários. A informação sobre os indivíduos é a moeda que passa pela empresa e essa empresa torna-se praticamente seu banqueiro. Uma das maiores ameaças é o fracasso em reconhecer o poder da informação como um bem de capital emprestado. Se você coleta muita informação, pouca informação ou a informação errada, você está armazenando um risco que não produz retorno de valor à sua empresa.
A informação sobre os indivíduos é a moeda que passa pela empresa e a empresa torna-se praticamente seu banqueiro.
Para quantificar o risco envolvido podemos conferir o estudo sobre a quebra das exigências legais de notificação. Nos EUA, está se tornando típico para organizações, que foram forçadas a informar os clientes sobre a perda de dados, a oferecer dois anos de proteção de crédito para cada conjunto de dados perdido. Portanto, se você perder um laptop com 100.000 registros a um custo de proteção de crédito padrão de aprox. US$40,00 por registro, por ano, durante dois anos, você estará considerando um possível impacto de responsabilidade civil de US$8 milhões. Esse número ainda não inclui perdas de marcas, lucros cessantes, honorários advocatícios e as despesas administrativas da correspondência. E isso é só uma estimativa — já ouvi falar em valores de até US$500 milhões ou US$250 por registro em caso de uma quebra de maior porte.
Se você tratar os dados desde o início como um patrimônio e com o devido respeito, você libera tempo precioso para a comunicação com clientes sobre aquilo que realmente traz dinheiro.
P: Dizem que o controle de dados hoje é tanto um assunto para o Conselho como uma questão de TI. O que você pensa a respeito?
R: É absolutamente uma questão para o Conselho devido à influência da informação como o patrimônio mais valioso. Acredito que há uma cadeira vazia na mesa dos diretores que é tão importante que o Diretor Financeiro, Conselho Geral, o Diretor de Informações ou o Diretor de Privacidade. Se a tendência em usar, coletar e administrar dados e vincular estes com clientes e funcionários em escala global continuar, haverá um cargo significante para os novos tipos de Diretores no Conselho.
Há necessidade de haver um controlador de informações que cuide das informações da mesma forma que você cuida do dinheiro, com o agravante de que informações sobre seres humanos não podem ser substituídas. Uma vez que os seus clientes ou funcionários se desligarem de você porque você não soube proteger os seus dados, você não os reconquistará da mesma forma que você recupera dinheiro se você errou em investimentos de capital. Uma das tarefas constantes para esse novo executivo será o trabalho conjunto com os Diretores Financeiros, Diretores de Informações, RH e P&D para ajudar a atrair valores econômicos e afastar risco coletando somente as informações que possuem valor e que não causam danos.
A curto prazo os diretores das unidades de negócio deverão dividir estas novas tarefas de patrimônio de dados e orientadas em responsabilidade e cada um deverá se tornar seu próprio advogado, consultor legal ou auditor de dados.
O universo cada vez maior de acionistas e regulamentações governamentais como as leis estaduais dos EUA de notificação de quebra de dados, o Gramm-Leach-Bliley Act, HIPAA, Directives, os regulamentos para estados-membros, o PIPEDA Canadense e outros contratos internacionais de regulamentação continuarão complicando o ambiente de negócios. Ao mesmo tempo, uma comunidade global de usuários e oportunidades de empreitadas criativas continuará exercendo pressão em relação a mais dados, mais controle, mais transparência e mais respeito do que antes.
P: A tecnologia é o problema ou a solução? Quais tecnologias podem ser usadas para proteger a privacidade no mundo online?
R: A tecnologia pode reunir os dois aspectos. Se a tecnologia for usada sem a presença de pessoas e processos, ela pode se tornar um grande risco. A tecnologia pode acumular mais informações do que qualquer humano possa consumir. A tecnologia pode dividir informações mais rapidamente do que as mentes humanas podem pensá-las, portanto, pode ser prejudicial se não houver um controle de informações em nível de diretoria e um sistema que estabelece o modo como a informação flui, onde ela é compartilhada, quem tem acesso a ela, qual o papel destas pessoas na organização e a segurança de que a informação é controlada.
A tecnologia de gerenciamento de identidades é crítica para se compreender "quem" faz parte de sua rede.
A tecnologia de gestão de identidades é crítica para se compreender "quem" faz parte de sua rede. "Quem" é seu cliente e "quem" atenderá às diversas necessidades deste cliente? A Sun possui uma orte liderança na gestão de identidades e experiência no auxílio da conformidade em auditoria e identidade. As competências da Sun incluem o provisionamento de usuário, administração de perfis, gestão de acesso, federação, e serviços de diretórios. Estes são exemplos de tecnologia que podem ter um forte impacto positivo quando utilizado com uma clara estratégia para chegar frente ao desafio de negócios "quem."
Você pode centralizar e proteger melhor os dados usando ultra-thin clients como o Sun Ray, que minimiza fortemente a base de dados reduzindo o risco. A única maneira de utilizar um Sun Ray é com o login, por isso qualquer ação pode ser rastreada. Ao invés de se espalhar os dados, duplicando e multiplicando estes pelos desktops, uma porção maior dos dados permanece em uma administração central no nível do servidor. Os usuários se autenticam e acessam informações armazenadas em um local seguro. Assim os profissionais de segurança, privacidade e rastreamento podem alcançar, administrar e treinar a pessoa autorizada a usar a interface.
Onde os dados realmente “pegam” é na sua estratégia de armazenamento. Esse é o ponto onde a tecnologia, a administração e o treinamento lhe ajudam a verificar como sua informação pode ser usada como um patrimônio. As soluções de arquivos de dados abertos da Sun capacitam as organizações a mudar a equação econômica em seus departamentos de TI, sendo 10 vezes mais escaláveis, usando 50% menos espaço físico e reduzindo os custos de energia em um fator de 10, em comparação com os produtos da concorrência.
É importante entender onde você está armazenando as coisas. O seu diretor de informações possivelmente não está olhando para o risco e possível recompensa inerentes aos dados armazenados. Isso nos leva novamente a minha teoria do "lugar vazio na mesa do Conselho". Sempre que possível, reduza a sua base de dados para manter bons investimentos de dados que agregam valor e livre-se sistematicamente dos dados que só servem para criar um risco inadministrável.
P: Qual é o papel dos órgãos governamentais ao ajudar empresas ou pessoas individuais a proteger sua privacidade?
R: Espero que não seja restritivo. Minha responsabilidade pessoal é a cobertura global e temos relações comerciais em quase todos os países. Temos que compreender como harmonizar os fluxos de informação com outros governos e proteger informações em seu ciclo de vida, considerando que esse ciclo de vida passa por países com um código civil muito restritivo até países com jurisdição de direito comparado, a repúblicas socialistas, indo além até países emergentes que estão começando a procurar uma estratégia de governo para as pessoas e os dados.
Temos que concordar em uma definição funcional de como a informação é protegida, apesar das diferenças nas estratégias culturais e legais. Podemos verificar como as estratégias de gerenciamento de identidades podem ser aplicadas para garantir que somente as pessoas certas no momento certo e no lugar certo visualizem a informação autorizada.
Vamos dizer que a pessoa A esteja cumprindo a função B e que a estratégia C a esteja protegendo. Uma vez que você perceber que a linha de informações é segura, você pode racionalizar essa proteção em uma sociedade de direito comparado como os Estados Unidos, onde a execução é realizada por autoridades regulamentadoras e processos particulares. Nas sociedades de direito civil como a Europa, onde a pressão é exercida por várias autoridades, a proteção da linha de dados pode satisfazer às exigências dessas autoridades de proteção de dados. Ao chegar em outras partes do mundo com diferentes noções de privacidade individual você pode realizar o mesmo cálculo do acesso baseado no cargo — Pessoa A, Função B, Estratégia C — e se esta proteção for robusta e transparente o suficiente, pode satisfazer a todos esses governos com diferentes estratégias de execução.
Você precisa de um líder que entenda e se preocupe com a proteção de dados e essa pessoa precisa gritar aos sete ventos, na mesma linguagem que os funcionários, vendedores e parceiros para deixar claro o que se espera deles e que a administração de dados é um investimento valioso.
P: Em que os executivos precisam pensar e planejar nos próximos cinco anos?
R: Pessoas, processo e tecnologia. O seu pessoal precisa saber o que fazer e quando. Você precisa de um líder que entenda e se preocupe com a proteção de dados e essa pessoa precisa gritar aos sete ventos, na mesma linguagem que os funcionários, vendedores e parceiros para deixar claro o que se espera deles e que a administração de dados é um investimento valioso.
O processo tem muito a ver com a estratégia de gerenciamento de identidade – quem será autorizado a olhar o quê e quando? Quanto tempo essa informação estará disponível a cada uma dessas pessoas? Como você destitui essas pessoas depois de seu desligamento? Isso também depende de como você determina o valor dos dados, acompanha-os em sua empresa e protege a sua integridade em todo o seu ciclo de vida.
Você deverá observar sempre os seus recursos tecnológicos independente de você ser o proprietário deles ou de você utilizar ferramentas e comunidades Web 2.0 para determinar o que traz valor. A Sun alavanca uma arquitetura aberta e interoperável. O motivo, pelo qual as pessoas chegam à Sun e o motivo de sermos os fiduciários de tantos dados confidenciais e altamente sensitivos é por que essa arquitetura lhe permite pensar sobre o futuro e onde a informação será armazenada. Todas as informações alocadas nessa mídia de armazenamento se transformará em despesas se for perdida e pode trazer valor se você utilizá-las bem.
| 
