5 principais tendências de privacidade e conformidade de dados em 2024

Este ano já vimos algumas mudanças monumentais em andamento relacionadas à privacidade e conformidade de dados. As PMEs precisam constantemente tomar decisões de troca e priorização quando se trata não apenas dessas coisas, mas também de desafios competitivos, tecnológicos e outros desafios comerciais.

Com essa dura realidade em mente, queríamos compartilhar os 5 principais problemas que surgiram em nosso radar em 2024. Abaixo, vamos nos aprofundar neles e fornecer algumas recomendações acionáveis ​​para empresas que buscam entregar valor enquanto permanecem em conformidade.

1. Ação de execução da Comissão Federal de Comércio (FTC) dos EUA em relação à anonimização de dados

A FTC tem sido bastante ativa ultimamente. Em fevereiro, a agência reguladora ordenou que a empresa Avast pagasse US$ 16,5 milhões em indenização aos seus clientes. Ao mesmo tempo, proibiu a empresa de vender dados de navegação para fins publicitários e ordenou a destruição de modelos de IA treinados em dados coletados indevidamente.

O motivo dessa punição? De acordo com a FTC, a Avast:

  • Coletou informações sobre a atividade dos consumidores na Internet por meio de extensões de navegador e software antivírus;
  • Reteve-as indefinidamente informações de atividade dos consumidores na internet indefinidamente;
  • Vendeu tais informações sem aviso ou consentimento para mais de 100 terceiros.

Uma parte vital da reclamação foi que a Avast alegou usar um algoritmo especial para remover informações de identificação antes da venda. No entanto, de acordo com a FTC, a empresa forneceu aos compradores de seus dados um único identificador exclusivo para cada navegador da web monitorado. Combinado com informações de localização e carimbos de data/hora, e quando combinado com os próprios conjuntos de dados dos compradores, a FTC alegou que era possível reidentificar os usuários originais.

Então, o que as PMEs podem fazer para evitar um destino semelhante?

  • Evite coletar dados que não tenham um propósito comercial. Se você nunca os tiver em seus servidores, eles não podem se tornar uma responsabilidade mais tarde;
  • Entenda a diferença entre anonimização e pseudonimização. A primeira abordagem quebra o vínculo entre os dados e a pessoa associada de forma permanente e irrevogável. Na última, as equipes de dados substituem identificadores exclusivos por informações pessoais, mas podem desfazer a transformação mais tarde;
  • Seja claro sobre exatamente qual técnica você está usando. A Avast supostamente alegou que os dados do consumidor seriam transferidos apenas de forma anônima quando, na verdade, isso era feito apenas de forma pseudônima.

2. Aviso da FTC sobre a mudança de termos e condições para treinamento de IA

No mesmo mês em que multou a Avast, a FTC alertou separadamente as empresas com tecnologia de IA sobre como estavam treinando dados de clientes, especialmente como estavam se comunicando sobre essas práticas. Especificamente, a agência alertou contra a mudança “secreta” de termos e condições para permitir um tratamento de informações mais permissivo.

Para mostrar que não era blefe, a FTC citou ações de execução contra uma empresa de genética e provedora de e-learning por essas infrações.

Como lidar com a conformidade de dados referente ao treinamento de IA?

  • Seja claro sobre quais tipos de dados você está coletando, retendo e treinando;
  • Notifique os clientes e solicite consentimento se você alterar materialmente qualquer política;
  • Envie mensagens proativamente sobre como você planeja implantar IA para evitar reações negativas públicas.

E não são apenas as empresas voltadas para o consumidor que podem tirar lições aqui. No verão passado, a Zoom enfrentou um desastre de comunicação depois de fazer exatamente o que a FTC alertou. A empresa de bate-papo por vídeo afirmou um amplo direito de treinar modelos de IA em dados do cliente, alterando furtivamente seus termos e condições. Após uma reação negativa significativa, a empresa recuou e fez uma afirmação muito menos ousada sobre o que estava autorizada a usar em processos de treinamento de IA.

3. Lei do estado de Washington “Minha Saúde, Meus Dados”

No nível estadual, os legisladores também têm se ocupado com a privacidade de dados. Em Washington, o My Health My Data Act (MHMDA) entrou em vigor no final de março. Embora a lei regule os “dados de saúde do consumidor”, isso abrange muito mais do que é coberto pelo Health Insurance Portability and Accountability Act (HIPAA) federal.

O ato define dados de saúde do consumidor como qualquer “informação pessoal que esteja vinculada ou razoavelmente vinculável a um consumidor e que identifique o estado de saúde física ou mental passado, presente ou futuro de um consumidor”.

O projeto de lei fornece uma lista não abrangente de coisas que podem se enquadrar nessa definição, incluindo:

  • Informações de localização sugerem uma tentativa de receber serviços ou suprimentos de saúde,
  • Intervenções sociais, psicológicas ou comportamentais,
  • Informações sobre saúde reprodutiva ou sexual,
  • Uso ou compra de medicamentos prescritos,
  • Condições de saúde, tratamento ou doenças,
  • Informações sobre cuidados de afirmação de gênero,
  • Funções corporais e sinais vitais,
  • Dados biométricos e genéticos.

Além dessas amplas categorias de informações regulamentadas, o ato se aplica a qualquer entidade legal que “conduza negócios” em Washington ou atenda consumidores lá. Considerando que muitos dos maiores provedores de serviços de nuvem do mundo operam no estado, é concebível que o MHMDA possa ter um alcance global.

4. Finalização da Lei de IA da União Europeia

Após quase cinco anos de discussão, debate e negociação, o texto final do EU AI Act foi lançado em abril. Com a aprovação do Conselho da UE no mês seguinte, o Ato entrará em vigor nos próximos dois anos.

Algumas coisas importantes a serem lembradas serão:

  • O AI Act terá uma série de categorizações de risco com controles obrigatórios que as organizações devem implementar;
  • Ele se aplica de forma bastante ampla, e qualquer organização com um nexo com a UE deve prestar muita atenção aos requisitos da lei;
  • As empresas movidas a IA que operam na UE terão que lidar com uma série de demandas regulatórias impostas a elas.

5. Lei de IA mile-high do Colorado

A legislatura estadual do Colorado também está em movimento. Com a assinatura do governador no SB 205, o Colorado Artificial Intelligence Act (apelidado de “Mile High Act Act” por um escritório de advocacia) entrará em vigor em 1º de fevereiro de 2026.

O SB 205 é principalmente uma lei antidiscriminação modelada no EU AI Act. Além disso, ele tem um conjunto de disposições interessantes relacionadas a dois padrões emergentes:

  • Estrutura de gerenciamento de risco de IA do NIST;
  • ISO/IEC 42001.

Nós já discutimos ambos em profundidade anteriormente, mas vale a pena notar algo único sobre o SB 205. Uma defesa aceitável para supostas infrações da lei é se:

Um desenvolvedor ou implantador de IA descobre (e corrige) uma violação resultante de:

  • Feedback do usuário se o desenvolvedor/implantador o “incentiva”;
  • Teste adversário ou red-teaming;
  • Revisão interna.

A organização está “de outra forma em conformidade com”:

  • A NIST AI RMF;
  • ISO 42001;
  • Outras estruturas de gerenciamento de risco reconhecidas.

Os requisitos da Lei esclarecem algumas práticas recomendadas para PMEs que buscam implantar produtos com tecnologia de IA:

  • Incentive o feedback do usuário para sistemas de IA implantados;
  • Tenha um programa de red-teaming de IA em vigor;
  • Considere a certificação ISO 42001.

Conclusão

Já se passaram mais de sete meses desde o início do ano, e o ritmo dos desenvolvimentos regulatórios tem sido incrível. Para PMEs que tentam se manter à tona em relação à privacidade de dados e/ou obrigações de conformidade, o grande volume pode ser um grande desafio.

A boa notícia é que existem ferramentas que podem facilitar a conformidade com o Regulamento Geral de Proteção de Dados (GDPR) da UE, incluindo a automação da coleta de evidências, a elaboração de políticas compatíveis e a otimização de fluxos de trabalho.

Descubra mais sobre SegInfo - Portal, Podcast e Evento sobre Segurança da Informação

Assine agora mesmo para continuar lendo e ter acesso ao arquivo completo.

Continuar lendo