brasil
 sites mundiais
produtos
compras symantec
serviço e suporte
security response
downloads
sobre a symantec
pesquisa
comentarios


© 1995-2005 Symantec Corporation.
Todos os direitos reservados.
Notas Legais
Política de Privacidade
soluções corporativas

Criação de uma política eficaz de privacidade on-line

Thomas Schmidt

Symantec Corporation
ID do Artigo: 3709
4 de maio de 2004
Introdução
Um ambiente em transformação
Criando uma política
Olhando adiante
Conclusão
Links Relacionados

Introdução
Qual é a importância da privacidade on-line nos dias de hoje? De acordo com um estudo recente da PricewaterhouseCoopers e Privacy & American Business, 96% dos compradores na Internet entrevistados acreditam ser importante que websites comerciais publiquem suas políticas de privacidade indicando de que forma as informações inseridas são utilizadas. No caso de empresas que conduzem negócios na Web, essa mensagem é clara. Ela também ajuda a explicar por que diversos grupos industriais que buscam evitar a regulamentação governamental aumentaram seus esforços para convencer as empresas a serem voluntárias no desenvolvimento de políticas de privacidade na Web.

Um ambiente em transformação
Segundo o Better Business Bureau, uma política de privacidade eficiente “proporciona aos usuários a total compreensão sobre como as informações fornecidas em um website são coletadas e de que forma elas são utilizadas (ou não)”. Esse procedimento é muito importante atualmente face às regulamentações agora existentes. Analisemos alguns dos eventos mais recentes nessa área:

  • O Graham-Leach-Bliley Act de 1999 exige que organizações de serviços financeiros criem políticas de privacidade, as quais devem compartilhar com os clientes. Essa lei determina também o modo como as informações podem ser compartilhadas internamente e entre instituições.
  • Em julho de 2003 foi aprovada a lei 1386 do senado da Califórnia, também conhecida como Security Breach Information Act (Ato de Informação sobre Violação da Segurança). Essa lei se aplica a empresas que conduzem negócios na Califórnia ou que têm clientes naquele estado. Ela estipula que uma empresa deve notificar imediatamente seus clientes caso suas informações pessoais sejam ameaçadas. A lei apresenta implicações profundas para empresas em quase todos os setores. Entre outras coisas, ela determina que as empresas que não tenham protegido adequadamente as informações, nem informado aos clientes sobre intrusões, podem ser processadas na justiça e penalizadas.
  • De acordo com o Data Protection Directive (Diretriz de Proteção de Dados) da União Européia, qualquer empresa que conduza negócios na União Européia está proibida de transmitir dados pessoais a outros países (como os Estados Unidos) que não ofereçam uma proteção similar aos dados pessoais. No Canadá, o Canadian Personal Information Protection and Electronic Documents Act (PIPEDA – “Ato Canadense de Proteção às Informações Pessoais e Documentos Eletrônicos), em vigor desde 1º de janeiro de 2004, representa uma revolução nas leis de privacidade canadenses. Ele confere ao indivíduo amplos direitos de controle sobre a coleta, uso e publicação de suas informações pessoais por organizações em atividades comerciais.
A lei de quebra de sigilo da Califórnia (California Breach Law) foi aprovada em um momento em que aumentam os incidentes de roubo de identidade (a definição de “roubo de identidade” inclui aqui fraude de cartão de crédito, além do roubo dos documentos reais de uma pessoa). Em setembro de 2003, o FTC (Federal Trade Commission, Comissão Federal de Comércio) anunciou que mais de 27 milhões de pessoas foram vítimas de roubo de identidade nos últimos cinco anos, o que custou a elas US$5 bilhões, e quase US$48 bilhões às empresas e instituições financeiras. O FTC declarou que, só no ano passado, 9,9 milhões de pessoas sofreram roubo de identidade, principalmente mediante fraude de cartões de crédito. De fato, segundo o FTC, o roubo de identidade é o crime de mais rápido crescimento nos Estados Unidos.

Criando uma política
Tais acontecimentos tornam ainda mais urgente os esforços de grupos industriais – que incluem o Online Privacy Alliance, TRUSTe Inc. e o BBBOnLine (divisão on-line do Better Business Bureau) – para fomentar iniciativas de auto regulamentação que proteja a privacidade do indivíduo em atividades on-line e de comércio eletrônico. A boa notícia é que esses grupos oferecem informações suficientes para aqueles com intenções de criar uma política de privacidade on-line séria.

Por exemplo, o BBBOnLine divide o processo nas três etapas descritas a seguir:

Etapa 1: Analise o seu website. Antes de criar uma política de privacidade, é necessário conduzir uma análise extensa de seu website e suas práticas atuais de coleta de dados. O BBBOnLine recomenda que você responda às seguintes perguntas:

  • Você coleta dados pessoais?
  • Que tipo de dados pessoais coleta?
  • Os indivíduos são notificados de que seus dados pessoais estão sendo coletados?
  • Por que você coleta dados pessoais?
  • Como esses dados são utilizados?
  • Quem controla os dados pessoais após serem coletados?
  • Os dados pessoais são distribuídos para terceiros? Por quê?
  • Como e onde são armazenados esses dados?
  • Como são protegidos? Como são protegidos durante sua transferência?
  • Você possui padrões, diretrizes e regulamentações relacionados à coleta e ao uso dos dados pessoais?
  • Você permite que visitantes acessem seus próprios dados pessoais?
  • O que acontece se um visitante tem uma dúvida sobre os dados que você mantém?
  • O que acontece caso ele não fique satisfeito com a sua resposta às suas dúvidas?
Etapa 2: Compreenda a legislação atual sobre privacidade. É essencial que você analise todas as leis atuais sobre privacidade que afetam os seus negócios. Conforme observado pela organização de pesquisa Gartner Inc.:

“Iniciativas de legislação e regulamentação — incluindo o “Public Company Accounting Reform and Investor Protection Act” de 2002 (conhecido como Sarbanes-Oxley) dos Estados Unidos, o “Graham-Leach-Bliley Financial Services Modernization Act” (Estados Unidos), o “Healthcare Information Portability and Accountability Act” e o “Data Privacy Directive” europeu — devem ser melhor executadas em áreas de definição e relatório de processos de segurança e privacidade. Elas podem acarretar danos financeiros e legais para as empresas que não atendam aos padrões que estabelecem. Essas mudanças nos ambientes de negócios, de regulamentação e de TI criaram a necessidade de um planejamento contínuo dos negócios, que abranja a empresa como um todo, o que inclui a revisão das práticas e processos de TI.”
(“Client Issues for Security and Privacy”, setembro de 2003)

Além disso, é necessário que você compreenda os mecanismos de responsabilização disponíveis. Assim como a BBBOnLine, outras empresas, como a TRUSTe e CPA WebTrust, têm desenvolvido “programas com selo” para indicar que um website atende às diretrizes e práticas recomendadas. Por fim, analise os cinco “princípios básicos” do governo federal norte-americano quanto à proteção de privacidade visitando o website do FTC (Federal Trade Commission).

Etapa 3: Crie uma política de privacidade. Há diversas ferramentas baseadas na Web que podem ajudá-lo a desenvolver sua política, como o Privacy Policy Generator da Direct Marketing Association (Associação de Marketing Direto) e o Privacy Statement Generator da Organization for Economic Cooperation and Development (Organização para Cooperação e Desenvolvimento Econômico).

Olhando adiante
Como já é do conhecimento de todo profissional de TI, as ameaças aos dados on-line dos clientes só têm crescido, tanto em número quanto em complexidade. Por exemplo, os ataques do tipo “phishing” – em que consumidores divulgam seus números de cartão de crédito e outras informações pessoais em websites fictícios que parecem ser reais – têm se tornado cada vez mais comuns. Recentemente, o comentarista de tecnologia Dan Gillmor observou que, embora as empresas não possam impedir a criação desses sites enganosos, elas podem melhor informar aos clientes sobre como não serem vítimas de tais golpes.

Para esse fim, a Gartner recomenda que as empresas criem a seguinte lista de tarefas:

  • Comunicar sua política de privacidade aos clientes;
  • Solicitar e registrar as preferências relacionadas ao consentimento dos clientes;
  • Permitir que os clientes gerenciem e atualizem suas preferências de consentimento;
  • Comunicar as preferências de consentimento do cliente a todos os “pontos de contato” com os clientes potenciais;
  • Definir processos internos para a implementação da sua política de privacidade em todas as áreas da empresa;
  • Usar esses processos para garantir a adoção pelos funcionários;
  • Monitorar e auditorar a adoção das política de privacidade;
  • Monitorar e auditorar as práticas abusivas previstas nas diretrizes de sua política de segurança.

Conclusão
Atualmente, as empresas devem estar totalmente atentas sobre o modo com que lidam com informações pessoais de seus clientes. Do contrário, as conseqüências podem ser prejudiciais: perda de clientes e reputação, e a possibilidade de processos judiciais. A Gartner prevê que, em 2005, “ao menos uma grande empresa norte-americana irá enfrentar grandes problemas com clientes devido ao gerenciamento ineficaz de informações confidenciais, e a revolta pública irá motivar o Congresso norte-americano a aprovar leis de privacidade rígidas” (“Checklist for Enterprise Privacy Management,” julho de 2003). Ao dedicar seu tempo para desenvolver – e revisar constantemente – uma política de privacidade on-line, você poderá manter-se à frente das regulamentações e elevar ainda mais seu conceito junto aos seus clientes.

Links Relacionados:

assine
Outros Artigos de Segurança
Centro de Imprensa
 
 
Licencias Parcerias da Symantec Channel Partners Home