SegInfo – Portal, Podcast e Evento sobre Segurança da Informação

5 principais tendências de privacidade e conformidade de dados em 2024

Este ano já vimos algumas mudanças monumentais em andamento relacionadas à privacidade e conformidade de dados. As PMEs precisam constantemente tomar decisões de troca e priorização quando se trata não apenas dessas coisas, mas também de desafios competitivos, tecnológicos e outros desafios comerciais.

Com essa dura realidade em mente, queríamos compartilhar os 5 principais problemas que surgiram em nosso radar em 2024. Abaixo, vamos nos aprofundar neles e fornecer algumas recomendações acionáveis ​​para empresas que buscam entregar valor enquanto permanecem em conformidade.

1. Ação de execução da Comissão Federal de Comércio (FTC) dos EUA em relação à anonimização de dados

A FTC tem sido bastante ativa ultimamente. Em fevereiro, a agência reguladora ordenou que a empresa Avast pagasse US$ 16,5 milhões em indenização aos seus clientes. Ao mesmo tempo, proibiu a empresa de vender dados de navegação para fins publicitários e ordenou a destruição de modelos de IA treinados em dados coletados indevidamente.

O motivo dessa punição? De acordo com a FTC, a Avast:

Uma parte vital da reclamação foi que a Avast alegou usar um algoritmo especial para remover informações de identificação antes da venda. No entanto, de acordo com a FTC, a empresa forneceu aos compradores de seus dados um único identificador exclusivo para cada navegador da web monitorado. Combinado com informações de localização e carimbos de data/hora, e quando combinado com os próprios conjuntos de dados dos compradores, a FTC alegou que era possível reidentificar os usuários originais.

Então, o que as PMEs podem fazer para evitar um destino semelhante?

2. Aviso da FTC sobre a mudança de termos e condições para treinamento de IA

No mesmo mês em que multou a Avast, a FTC alertou separadamente as empresas com tecnologia de IA sobre como estavam treinando dados de clientes, especialmente como estavam se comunicando sobre essas práticas. Especificamente, a agência alertou contra a mudança “secreta” de termos e condições para permitir um tratamento de informações mais permissivo.

Para mostrar que não era blefe, a FTC citou ações de execução contra uma empresa de genética e provedora de e-learning por essas infrações.

Como lidar com a conformidade de dados referente ao treinamento de IA?

E não são apenas as empresas voltadas para o consumidor que podem tirar lições aqui. No verão passado, a Zoom enfrentou um desastre de comunicação depois de fazer exatamente o que a FTC alertou. A empresa de bate-papo por vídeo afirmou um amplo direito de treinar modelos de IA em dados do cliente, alterando furtivamente seus termos e condições. Após uma reação negativa significativa, a empresa recuou e fez uma afirmação muito menos ousada sobre o que estava autorizada a usar em processos de treinamento de IA.

3. Lei do estado de Washington “Minha Saúde, Meus Dados”

No nível estadual, os legisladores também têm se ocupado com a privacidade de dados. Em Washington, o My Health My Data Act (MHMDA) entrou em vigor no final de março. Embora a lei regule os “dados de saúde do consumidor”, isso abrange muito mais do que é coberto pelo Health Insurance Portability and Accountability Act (HIPAA) federal.

O ato define dados de saúde do consumidor como qualquer “informação pessoal que esteja vinculada ou razoavelmente vinculável a um consumidor e que identifique o estado de saúde física ou mental passado, presente ou futuro de um consumidor”.

O projeto de lei fornece uma lista não abrangente de coisas que podem se enquadrar nessa definição, incluindo:

Além dessas amplas categorias de informações regulamentadas, o ato se aplica a qualquer entidade legal que “conduza negócios” em Washington ou atenda consumidores lá. Considerando que muitos dos maiores provedores de serviços de nuvem do mundo operam no estado, é concebível que o MHMDA possa ter um alcance global.

4. Finalização da Lei de IA da União Europeia

Após quase cinco anos de discussão, debate e negociação, o texto final do EU AI Act foi lançado em abril. Com a aprovação do Conselho da UE no mês seguinte, o Ato entrará em vigor nos próximos dois anos.

Algumas coisas importantes a serem lembradas serão:

5. Lei de IA mile-high do Colorado

A legislatura estadual do Colorado também está em movimento. Com a assinatura do governador no SB 205, o Colorado Artificial Intelligence Act (apelidado de “Mile High Act Act” por um escritório de advocacia) entrará em vigor em 1º de fevereiro de 2026.

O SB 205 é principalmente uma lei antidiscriminação modelada no EU AI Act. Além disso, ele tem um conjunto de disposições interessantes relacionadas a dois padrões emergentes:

Nós já discutimos ambos em profundidade anteriormente, mas vale a pena notar algo único sobre o SB 205. Uma defesa aceitável para supostas infrações da lei é se:

Um desenvolvedor ou implantador de IA descobre (e corrige) uma violação resultante de:

A organização está “de outra forma em conformidade com”:

Os requisitos da Lei esclarecem algumas práticas recomendadas para PMEs que buscam implantar produtos com tecnologia de IA:

Conclusão

Já se passaram mais de sete meses desde o início do ano, e o ritmo dos desenvolvimentos regulatórios tem sido incrível. Para PMEs que tentam se manter à tona em relação à privacidade de dados e/ou obrigações de conformidade, o grande volume pode ser um grande desafio.

A boa notícia é que existem ferramentas que podem facilitar a conformidade com o Regulamento Geral de Proteção de Dados (GDPR) da UE, incluindo a automação da coleta de evidências, a elaboração de políticas compatíveis e a otimização de fluxos de trabalho.

Sair da versão mobile