Leis de proteção de dados e privacidade precisam ser fortalecidas

O governo da Índia aprovou a Lei de Proteção de Dados Pessoais Digitais no ano passado, em 2023. Agora, com a formação dos novos Ministérios, o Ministro da Eletrônica e TI, Ashwini Vaishnaw, anunciou no sábado, 15 de junho de 2024, que a elaboração de regras ao abrigo da legislação de proteção de dados está numa fase avançada, com consultas a todo o sector previstas para começar em breve. Essas regras ajudarão a administrar a lei.

Como a proteção de dados e a privacidade voltaram ao foco, aqui estão algumas das minhas opiniões sobre o assunto-

a. Definição de Dados .

Os dados são possivelmente um negócio de trilhões de dólares, tornando a coleta e o armazenamento de dados uma proposta de negócio altamente lucrativa.

Portanto, uma definição mais clara de quais dados estão sendo considerados no âmbito desses atos poderia ser muito útil, especialmente quando há dois tipos de dados pessoais que são coletados, processados ​​e armazenados-

· Dados inseridos voluntariamente pelo indivíduo como parte de alguma transação ou comunicação. Este tipo de dados consiste em dados de identificação pessoal e dados de transação/comunicação de um indivíduo.

As leis de proteção de dados normalmente fazem alusão a este tipo de dados, mas não são explícitas sobre o que constitui dados confidenciais e o que não constitui.

Por exemplo, os detalhes de um pedido de supermercado são confidenciais? Caso contrário, o coletor de dados pode compartilhar/vender esses dados a terceiros para exploração comercial? Outro exemplo são os dados relativos à compra de medicamentos. Muitas pessoas começam a receber e-mails ou anúncios direcionados sobre suplementos relacionados às suas condições médicas. Tais atos constituem uma quebra de confidencialidade?

· Dados coletados furtivamente, sem informar ao usuário que tipo de dados estão sendo coletados. Este tipo de dados é recolhido por navegadores e páginas web e pode até ser recolhido por algumas aplicações de software.

Por exemplo, os Cookies também recolhem dados de forma furtiva. Alegadamente, apenas os dados relacionados com as preferências de navegação dos utilizadores, comportamento de compra, etc., são recolhidos pelos cookies. Infelizmente, os cookies não divulgam o tipo de dados por eles coletados, e isso também não é esperado pelos legisladores. Pelo que se sabe, navegadores, páginas da web e aplicativos de software podem coletar todos os tipos de dados confidenciais sob o pretexto de melhorar a experiência do usuário ou de alguma desculpa desse tipo.

Todos os dispositivos ativados por voz, como Amazon Alexa, Google Home, Apple HomePod e Microsoft Cortana, coletam muitos dados de voz, alguns dos quais podem ser de natureza privada e confidencial. Atualmente, não existe nenhuma lei que regule a coleta, análise, armazenamento e descarte desses dados de voz.

b. Responsabilidade pela privacidade e proteção de dados

A intenção por trás de todas as leis de privacidade e proteção de dados é proteger os direitos de um homem comum que, de outra forma, não teria recurso à lei em caso de violação de dados.

Hoje, quando a segurança de todas as organizações é violada, é importante compreender o impacto extraordinário que tais violações têm sobre o homem comum cujos dados pessoais e confidenciais são expostos.

Existem inúmeros exemplos de dados de saúde, dados de cartão de crédito e credenciais de e-mail roubados e disponibilizados na dark web.

Cada Lei de Privacidade e Proteção de Dados também deve ser explícita sobre o tipo de penalidades que as organizações que coletam dados de usuários e os armazenam têm de enfrentar em caso de vazamento.

c. Indústria de dados

Muitas vezes, não é necessário roubar dados dos usuários se eles puderem ser obtidos de coletores de dados reais por uma ninharia. Os dados podem ser vendidos a qualquer pessoa que possa pagar por eles.

Conforme mencionado anteriormente, a venda de dados é uma indústria que movimenta trilhões de dólares. Isso significa que os coletores de dados geralmente vendem dados a outras organizações que desejam comprá-los para seus próprios fins. As leis de privacidade e proteção de dados não limitam de forma alguma as vendas de dados. Isso significa que os dados de contato e dados de comportamento de compra de um usuário podem ser vendidos a uma organização que promove imóveis ou automóveis.

Como nenhuma verificação é feita em relação ao comprador dos dados, uma organização criminosa pode comprar dados do usuário para determinar a riqueza do seu alvo. Da mesma forma, ao obter acesso aos detalhes de contato de um usuário, os hackers podem criar campanhas elaboradas de phishing visando usuários específicos.

Os cibercriminosos podem até usar os endereços postais de compradores verificados de determinados produtos para configurar phishing postal, como loterias falsas, sorteios de prêmios, esquemas de enriquecimento rápido, curas de saúde falsas, golpes de investimento e esquemas de pirâmide.

Para resumir, o seguinte fortaleceria as leis de privacidade e proteção de dados-

a. Clareza adicional sobre quais dados são confidenciais e quais não são.

b. Transparência total e atribuição de responsabilidade são necessárias para dados coletados furtivamente por navegadores, páginas da web e aplicativos de software. Penalidades rigorosas devem ser aplicadas para cada transgressão.

c. Quem é responsável pelos dados coletados dos usuários?

d. Quais são as penalidades para violações e perdas de dados?

e. Um KYC rigoroso deve ser feito para compradores de dados. Penalidades rigorosas devem ser aplicadas para cada transgressão.

Finalmente, por padrão, todos os tipos de dados do usuário devem ser tratados com extremo cuidado.