Dicas que os CIOs precisam saber sobre política de privacidade

1- Rever regularmente as políticas

“Os criminosos estão muito sofisticados”, diz Lisa Sotto, chefe de privacidade global e prática de Segurança da Informação na Hunton e Williams. “Se você corrigir seus sistemas com base na vulnerabilidade de hoje, não vai resolver amanhã.” Regulamentos de tecnologia e governo estão em constante mudança, mas as próprias políticas precisam permanecer claras, concisas e transparentes. Exemplo recente foram os problemas entre MySpace e Federal Trade Commission (FTC). Inconsistências entre as informações compartilhadas com terceiros e as regras estabelecidas em sua política de privacidade deixaram a empresa sujeita a auditorias para os próximos 20 anos. De acordo com Jay Cline, presidente da Minnesota Privacy Consultants, é mais seguro e rentável concentrar políticas de segurança e conformidade em estrutura única e integrada.

2 - Evitar que a consumerização crie riscos

Ter uma política de trazer o seu próprio dispositivo para a empresa significa que os dados já não residem apenas atrás de barreiras corporativas. Por isso, é “um teste para saber como os CIOs estão alinhados com a cultura de empresa e como traçaram a fronteira entre risco e conveniência”, ensina Cline. Lisa enfatiza a importância de saber quais documentos da companhia podem estar sob retenção legal - em outras palavras, um empregado não deve destruí-los. “É difícil de controlar quando o dispositivo é do próprio funcionário”, diz ela.

3 - Educar os funcionários

Cline destaca que treinamento é a melhor maneira de mitigar o risco, mas “não se mexe em nada do comportamento global do empregado, até que se torne significativo para funções específicas na empresa”. Lisa concorda, dizendo: “É importante adequar o treinamento à organização. Educar os consumidores é tarefa difícil, muitas vezes assustadora.”

4 - Cumprir os regulamentos, em evolução

Nos Estados Unidos, o presidente Obama apoiou o processo de Aliança Digital Advertising, que permitiria aos consumidores a liberdade de criar suas preferências de privacidade. A FTC também sugeriu princípios de privacidade para as organizações a adotarem a escolha do consumidor sobre políticas de promoções e transparência. Lisa sugere consultar um advogado sobre como lidar com as novas ou atualizadas políticas governamentais. “Ao implementar as melhores práticas atuais, você não terá de atualizar seus sistemas mais tarde”, diz ela.

5 -  Tratar privacidade como um direito

Lisa aponta que os CIOs precisam ter em mente que, na Europa, a privacidade é um direito fundamental, ao passo que nos Estados Unidos, é um direito do consumidor. Na Europa, “você não tem permissão para transferir dados a uma jurisdição não adequada”, alerta e pergunta: “Quando você armazena dados na nuvem, onde é que está essa nuvem?”