p Até recentemente, os alvos presumidos para roubo maciço de dados eram considerados empresas que não tinham segurança cibernética sofisticada ou que não levavam o problema a sério. p Mas desde o final de 2016, alguns dos maiores nomes da tecnologia de ponta viram os dados mais confidenciais de seus clientes, incluindo o conteúdo de e-mails, números de cartão de crédito, e números de celular - caem nas mãos de hackers, ou, em alguns casos, compartilhou tais dados com terceiros sem o conhecimento ou consentimento dos consumidores.

p A lista está ficando longa rapidamente. Os ladrões baixaram informações sobre 25 milhões de passageiros do U.S. Uber. A agência de relatórios de crédito Equifax teve 143 milhões de arquivos de clientes roubados por hackers. A Cambridge Analytica coletou dados de pelo menos 87 milhões de usuários do Facebook para segmentar com anúncios políticos. Este Verão, O Google admitiu no Congresso que os desenvolvedores de aplicativos e outros têm acesso ao Gmail dos usuários. Os cientistas de dados encontraram grandes falhas de segurança na AT&T, T móvel, e telefones Sprint que deixaram os clientes expostos. E na semana passada, O Facebook revelou sua maior violação, com 50 milhões de usuários afetados. Ele disse que os números de telefone fornecidos ao Facebook por usuários para segurança de autenticação de dois fatores foram compartilhados com os anunciantes.

p Com tantas violações - e tão poucas repercussões - executivos seniores do Google, Maçã, Amazonas, e Twitter, entre outras empresas, foram convocados perante a Comissão de Comércio do Senado, Ciência, e Transporte na semana passada para explicar por que as violações de privacidade de dados continuam, e para discutir alguns remédios. Sen. John Thune (R., SD.), o presidente do comitê, disse que não é mais uma questão de saber se é necessária uma lei federal para proteger a privacidade dos dados do consumidor, mas "que forma a lei deve tomar". Outra audiência está planejada para o final deste mês.

p Urs Gasser, LL.M. '03, é diretor executivo do Centro Berkman Klein para Internet e Sociedade da Universidade de Harvard e professor de prática na Escola de Direito de Harvard. Sua pesquisa e ensino se concentram em leis e políticas de informação, e ele escreve frequentemente sobre privacidade, Proteção de dados, e a regulamentação da tecnologia digital. Gasser discutiu o estado da privacidade de dados com o Gazette por e-mail e sugeriu o que pode ser feito para proteger os usuários de empresas que lucram com os dados das pessoas.

p Q&A

p GAZETTE:Como alguém que estuda privacidade de dados há muito tempo, você está surpreso com essa sequência de falhas?

p GASSER:O que talvez seja mais surpreendente é a frequência com que tais incidentes relevantes para a privacidade agora se tornam públicos, bem como sua prevalência e escala. Em termos de causas subjacentes e eficácia das respostas, é importante analisar cada incidente separadamente. Uma violação de dados causada por hackers externos não é o mesmo problema e não requer as mesmas contra-medidas que as ameaças à privacidade resultantes de acordos de compartilhamento de dados entre uma plataforma online e anunciantes que estão no centro do modelo de negócios. Dito isso, os efeitos em termos de privacidade do usuário podem ser bastante semelhantes. É importante notar também que o GDPR [Regulamento Geral de Proteção de Dados da União Europeia] aborda uma ampla gama de violações de privacidade de dados, e será interessante ver se a violação do Facebook em particular irá desencadear uma ação de aplicação do GDPR.

p GAZETTE:Muitas das maiores empresas de tecnologia continuam permitindo ou falhando em impedir que os dados de seus clientes caiam nas mãos dos anunciantes, desenvolvedores de aplicativos, e outros terceiros. Apesar das frequentes promessas de melhores proteções de privacidade, pouco mudou. Por que essas empresas não estão levando isso mais a sério?

p GASSER:Para ser justo, as empresas têm feito esforços importantes para proteger melhor os dados do usuário por meio de uma ampla gama de medidas, incluindo painéis de privacidade, recursos aprimorados de privacidade e segurança, como criptografia ponta a ponta, atualizações de suas políticas de privacidade, e mais. Mas há de fato um problema estrutural mais profundo no cerne das batalhas pela privacidade de nosso tempo que faz com que os esforços atuais pareçam insuficientes. A maioria dos modelos de negócios de tecnologia atuais são baseados em publicidade direcionada, que depende da coleta, compartilhamento, e analisar grandes quantidades de dados do usuário. Simplificando, priorizar realmente a privacidade do usuário também significaria comprometer um modelo de negócios subjacente que teve muito sucesso em termos econômicos e produziu algumas das empresas mais ricas do mundo.

p GAZETTE:Os legisladores apelaram às empresas de tecnologia para proteger melhor as informações dos seus usuários e sugeriram que eles podem começar a regulamentar estritamente como os dados são tratados, caso as empresas não reforcem a segurança dos dados. O Congresso fará algo em breve para responsabilizar essas empresas, e, se não, o que seria necessário para o governo federal tomar uma ação real?

p GASSER:No clima político atual, Tenho dúvidas de que algo dramático - digamos, como o GDPR - acontecerá em nível federal em breve. Mas vemos muita atividade de privacidade do consumidor em nível estadual. Considere a recente promulgação da Lei de Privacidade do Consumidor da Califórnia, que provavelmente será muito influente, dado seu escopo de aplicação, ou a legislação de corretor de dados de Vermont. Combinado com a agenda de proteção ao consumidor aprimorada por muitos Estados A.G.s, é aí que está a ação até que o Congresso venha com algo significativo. E, claro, há também o aumento da pressão proveniente das autoridades legislativas e de proteção de dados europeias, com base nas novas proteções e instrumentos estabelecidos pelo GDPR. Alguns argumentam que existe um "mercado de privacidade" emergente que fornecerá incentivos, particularmente para startups de privacidade, para ser mais favorável à privacidade.

p GAZETTE:É hora de declarar o fracasso da era da política de privacidade voluntária e começar a tratar esses negócios como serviços públicos?

p GASSER:Concordo que o modelo de autorregulação falhou em fornecer níveis adequados de proteção da privacidade do consumidor no ambiente de tecnologia atual. Para onde ir a partir daqui é mais difícil dizer, no entanto. Muitos defensores da privacidade apontam o GDPR como um novo padrão ouro. Eu sou mais cético, como tal, essa abordagem está profundamente enraizada nos valores europeus, cultura, e economia política e não pode ser transplantada de forma "recortar e colar". Ele também vem com algumas desvantagens sérias, em termos de custos de conformidade, por exemplo. Acho que é hora de repensar a privacidade de dados de forma mais fundamental. Você pode encontrar alguns dos meus pensamentos aqui. Introduzir deveres fiduciários para empresas de tecnologia é outra maneira interessante de pensar sobre alguns dos problemas estruturais mencionados antes.

p GAZETTE:Quem é o culpado por onde estamos agora? Os usuários são parcialmente culpados por não fazerem mais alarido sobre as violações de privacidade? A maioria das pessoas entende quanto de suas informações está nas mãos de outras pessoas, e como está sendo usado?

p GASSER:Eu concordaria que é muito simples culpar as empresas de tecnologia pelo status quo. Acho que precisamos olhar para a crise de privacidade como um problema no nível do ecossistema, com muitas forças em jogo - tecnológicas, mercado, comportamental, e legais - e muitos atores envolvidos, incluindo usuários que muitas vezes tomam decisões de privacidade com base em informações incompletas e com preconceitos cognitivos em jogo. É por isso que defendo em meu próprio trabalho uma abordagem mais holística para o futuro da privacidade, que combina fortes proteções legais com alfabetização digital e esforços educacionais, tecnologias de aprimoramento de privacidade de última geração, e incentivos econômicos para serviços mais favoráveis ​​à privacidade, entre outros elementos da estratégia, em vez de apostar apenas nas leis do tipo GDPR. Essa abordagem também incluiria uma educação e capacitação mais inteligentes do usuário.

p GAZETTE:As pessoas não podem optar por não usar o Google, e não decidirá não ter um celular, então o que as pessoas podem fazer para se proteger?

p GASSER:Há uma série de verificações de privacidade online disponíveis e uma série de ferramentas de autoajuda de privacidade, incluindo navegadores de privacidade ou VPNs [redes privadas virtuais], para citar apenas dois. Alguns deles são fornecidos pelas próprias empresas de tecnologia, e alguns são oferecidos por organizações de consumidores, como EPIC ou EFF. Eu recomendo muito que as pessoas façam uso dessas ofertas, mesmo que sejam apenas táticos no sentido de que, compreensivelmente, não podem abordar a causa estrutural raiz do problema. p Esta história foi publicada como cortesia da Harvard Gazette, Jornal oficial da Universidade de Harvard. Para notícias adicionais da universidade, visite Harvard.edu.