Segurança

Segurança da Informação x Privacidade dos Dados x Proteção de Dados

Entenda os conceitos de Segurança da Informação, Privacidade dos Dados e Proteção dos Dados, que se diferem em filosofia, execução, resultados e metas que os apoiam.

Há uma discussão sobre a diferença entre “privacidade” e “proteção de dados”. Segundo Françoise Gilbert, o uso de um termo depende do país e das idiossincrasias das línguas faladas. Enquanto nos EUA o termo “privacidade” parece prevalecer na identificação das regras e práticas de tratamento de dados pessoais, já na União Europeia o termo “proteção de dados” é usado para referir-se à sua própria definição. Além disso, a tradução de “privacidade” para idiomas estrangeiros muda o seu significado.

Um exemplo claro é que o termo “privacidade” não pode ser traduzido facilmente para o francês, então a tradução mais próxima é “intimité” (intimidade, no português) e percebemos que a palavra não é precisa. Por este motivo, a União Europeia utiliza o termo “proteção de dados” em vez de “privacidade” quando para referir-se à proteção do direito à privacidade no que diz respeito ao tratamento de dados pessoais.

É importante destacar que, neste contexto, “privacidade” e “proteção de dados” têm o mesmo significado. Conforme mencionado acima, ambos se referem à proteção do direito à privacidade no que diz respeito ao tratamento de dados pessoais. No entanto, o termo “privacidade” em outros contextos tem um escopo mais amplo e inclui características de autonomia, intimidade e autodeterminação. Solove D. em “A taxonomy of Privacy” apresenta uma taxonomia de privacidade e Finn, Wright e Friedewald em “Seven Types of Privacy” explica sete tipos de privacidade. #FicaDicaDeLeitura 🙂

Alguns profissionais de TIC (Tecnologia da Informação e Comunicação) usam os termos “proteção de dados” e “segurança da informação” como sinônimos porque ambos evitam o acesso não autorizado, uso, divulgação, modificação e inspeção de informações. Em seguida, eles assumem que podem usar as mesmas ferramentas para garantir a “proteção de dados” e a “segurança da informação”.

Por sua vez, um usuário final geralmente pensa que, se a “segurança da informação” está garantida, a “proteção de dados” também está garantida. No entanto, essa suposição não é correta. Por exemplo, o Facebook pode enviar notícias periódicas anunciando que estão usando mecanismos avançados de segurança da informação (tipo “criamos ferramentas de segurança fáceis de usar e que oferecem mais controle”). Isso não significa “proteção de dados” adequada (na verdade, você pode observar que existem dois painéis de configuração: um deles para configurações de segurança (gerador de código, alertas de login, chave pública, etc.) e outro para configurações de proteção de dados (quem pode ver seu número de telefone, quem pode ver suas postagens, etc). Além disso, existe uma política de dados (política de privacidade) que devemos ler!).

Alguns meses atrás, o Facebook estava rastreando não-usuários e usuários desconectados para fins publicitários na Europa. Os computadores dos usuários foram rastreados sem o seu consentimento. Evidentemente, ele viola um princípio de “proteção de dados” porque a Diretiva de Proteção de Dados da UE de 1995 define que os dados pessoais “devem ser coletados para fins específicos, explícitos e legítimos …”, e um critério para tornar o processamento de dados legítimo é que uma pessoa tenha dado inequivocamente seu consentimento. Este exemplo mostra claramente que “segurança da informação” e “proteção de dados” não são as mesmas coisas.

Em outras palavras, mesmo que a empresa use SSL por exemplo, para garantir uma comunicação cifrada, use autenticação de dois fatores, etc., sua “proteção de dados” pode ser violada.

Uma diferença entre “segurança da informação” e “proteção de dados” é que a primeira é impessoal e a última é pessoal.

De acordo com o NIST, “segurança da informação” significa a proteção da informação e dos sistemas de informação contra acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição a fim de fornecer confidencialidade, integridade e disponibilidade.

Como você pode observar, esta definição não especifica uma forma ou tipo de dados em particular, portanto inferimos que a “segurança da informação” tenta proteger qualquer forma de dados (por exemplo, físicos ou eletrônicos) e qualquer tipo de dados (pessoais ou não pessoais).

Por outro lado, a “proteção de dadostenta proteger nosso direito à privacidade no que diz respeito ao processamento de dados pessoais. Dados pessoais são quaisquer informações relacionadas a uma pessoa física identificada ou identificável. Isso implica que os dados pessoais não são apenas um nome individual, RG, número do passaporte, CPF ou número do seguro social, também são dados pessoais a data de nascimento, informações de diagnóstico de saúde, score financeiro, endereço IP, perfil comportamental, origem étnica, crenças religiosas, localização derivada de sistemas de telecomunicações (GPS e afins), e assim por diante. Você pode pensar que esta é uma diferença insignificante, mas essa diferença requer que a “proteção de dados” cumpra alguns objetivos que têm um escopo mais amplo do que a “segurança da informação”.

Outra diferença entre “proteção de dados” e “segurança da informação” é que a natureza sensível dos dados pessoais impõe, por meio de várias leis e regulamentos, requisitos de “proteção de dados” que vão além dos requisitos de “segurança da informação”.

“Segurança da informação” implementa controles de segurança ( salvaguardas ou contra-medidas) a fim de fornecer confidencialidade, integridade e disponibilidade das informações, enquanto a “proteção de dados” implementa controles a fim de garantir o consentimento e escolha, legitimidade e especificação da finalidade, limitação de coleta, minimização de dados, uso, retenção e limitação de divulgação, precisão e qualidade, abertura, transparência e notificação, participação individual e acesso, responsabilidade e segurança da informação. Com isso, podemos perceber como a “segurança da informação” é extremamente necessária para cumprir um princípio de “proteção de dados”, mas os outros estão descobertos para isso.

Mas tenha cuidado ao pensar que podemos garantir a conformidade da “proteção de dados” sem considerar a “segurança da informação” – não se faz proteção de dados sem Segurança da Informação!. Exemplo disso podemos citar alguns casos recentes como o da EQUIFAX, Mariott e Yahoo. Este último sofreu um ataque de hackers que roubaram dados de 500 milhões de usuários em 2014. Seus sistemas de segurança foram comprometidos e os hackers violaram a confidencialidade das informações.

À primeira vista, este caso parece apenas uma violação da “segurança da informação”; no entanto, também é considerada uma das maiores violações da “proteção de dados” das pessoas. Mas, por que viola a “proteção de dados”? O motivo é que os hackers roubaram dados pessoais, incluindo nomes, endereços de e-mail, números de telefone, datas de nascimento, senhas criptografadas e, em alguns casos, perguntas de segurança. Como exemplo podemos afirmar que seus dados pessoais serão vendidos a terceiros, e eles enviarão publicidade indesejada para sua caixa de correio, ou você receberá uma ligação no dia do seu aniversário te oferecendo uma oferta exclusiva (lembre-se de que terceiros possuem dados como o seu nome, email, número de telefone e data de nascimento). #FicaDica

Talvez o motivo acima também seja outra pequena diferença entre “proteção de dados” e “segurança da informação” porque a motivação para “roubar dados” é diferente.

Conclusão

A proteção de dados é um requisito básico para empresas e governos. É responsabilidade deles garantir que seus dados estejam protegidos contra acesso ilegal a terceiros não autorizados.

A privacidade de dados trata do controle sobre como seus dados são usados. É com a privacidade que os usuários devem se preocupar em primeiro lugar, pois é sua responsabilidade. São eles que decidem quais dados compartilham e com quem.

A privacidade e a segurança dos dados são dois componentes essenciais de uma estratégia bem-sucedida de proteção de dados, portanto, a proteção das informações muitas vezes não se limita a apenas um dos dois. Na verdade, não deveria. A principal diferença entre eles não está em sua execução ou resultados, mas na filosofia subjacente e nas metas que os apoiam. Especificamente, tudo se resume a quais dados estão sendo protegidos, como estão sendo protegidos, de quem estão sendo protegidos e quem é o responsável final por essa proteção.

A segurança da informação refere-se às formas e meios de proteger as informações impressas, eletrônicas ou qualquer outra forma de informações ou dados confidenciais, privados e sensíveis contra acesso, uso, uso indevido, divulgação, destruição, modificação ou interrupções não autorizadas.

A Segurança da Informação é uma tarefa difícil, pois a maioria das organizações se depara com um cenário em constante mudança que afeta suas operações: desenvolvimento do mercado, avanços na tecnologia, descoberta de novas vulnerabilidades, mudanças no regime jurídico e assim por diante.

O Gerenciamento de Riscos de Segurança da Informação (ISRM) é o processo específico que ajuda os responsáveis pela Segurança da Informação a gerenciar as incertezas que podem afetar a segurança das informações de sua organização ao longo do tempo e indica a melhor forma de reagir a essas incertezas dentro das restrições de seu ambiente de trabalho. O ISRM inclui uma análise dos riscos enfrentados por uma organização e a definição de medidas de segurança apropriadas para lidar com esses riscos.

Referências:

TOKENEX. Data Privacy vs Data Security. Acessado em 02/10/2020. Site: https://www.tokenex.com/blog/data-privacy-vs-security

UTOPIA. Data Privacy vs Data Protection Whats The Difference. Acessado em 02/10/2020. Site: https://utopia.fans/security/data-privacy-vs-data-protection-whats-the-difference/

F. Gilbert. Privacy v. Data Protection. What is the Difference?. Acessado em 02/10/2020. Site: https://www.francoisegilbert.com/?p=937

EUROPEAN PARLIAMENT. Directive 95/46/EC, Off. J. Eur. Union, no. L281/31, pp. 31–50, 1995.

D. J. SOLOVE. A taxonomy of Privacy, no. 477, pp. 477–560, 2006.

R. L. Finn, D. Wright, and M. Friedewald. Seven Types of Privacy, in European Data Protection: Coming of Age, no. January, Dordrecht: Springer Netherlands, 2013, pp. 3–32.

ISO/IEC. Iso/Iec 29100, vol. 2011, 2011.

R. Kissel. Glossary of Key Information Security Terms Glossary of Key Information Security Terms, Nist, vol. NISTIR 729, no. Revision 2, 2013.

EDPS. Information Security. Acessado em 02/10/2020. Site: https://edps.europa.eu/data-protection/data-protection/reference-library/information-security_en

UPM. Privacy vs Data Protection vs Information Security. Acessado em 02/10/2020. Site: https://blogs.upm.es/sse/2016/11/01/privacy-vs-data-protection-vs-information-security/

EDPS. Data Security. Acessado em 02/10/2010. Site: https://edps.europa.eu/node/3099#data_security

%d blogueiros gostam disto: