#59 Evolução da Privacidade de Dados
Subscribe to get the latest
on 2021-07-29 00:00:00 +0000
with Darren W Pulsipher, Jeremy Harris,
Darren Pulsipher, Arquiteto-Chefe de Soluções da Intel, discute o que a privacidade de dados realmente significa e sua direção futura com Jeremy Harris, Advogado Geral Auxiliar - Privacidade/Segurança da Informação, na Sutter Health.
Keywords
#dataprotection #dataprivacy #incidentresponse #multicloud #zerotrust #cybersecurity
Depois de se formar na faculdade de direito, Jeremy entrou diretamente no Corpo Jurídico da JAG para a Força Aérea dos Estados Unidos e serviu como oficial em serviço ativo por nove anos. Uma de suas responsabilidades era ser o gerente de registros de dois escritórios diferentes. Ele mudou seu foco para a área da saúde em sua última atribuição militar, atuando como advogado para hospitais no Nordeste. Após deixar o serviço ativo (ainda está na reserva), ele foi trabalhar como advogado em um hospital e agora está na Sutter Health.
Embora o quadro legal seja o mesmo para a privacidade de dados, existem algumas diferenças no governo e no setor privado: a abordagem, os objetivos e quais regulamentações se aplicam. No governo, a privacidade de dados significa manter os dados protegidos por meio da Lei de Privacidade; manter as coisas secretas em segredo. Embora existam exceções, assim como a Lei de Liberdade de Informação, os sistemas são projetados para proteger as informações, e não divulgá-las, por padrão.
Na área da saúde, desde o HIPAA em 1996, o HITECH alguns anos depois e agora com o ONC, os dados estão sendo transmitidos para residências, para os dispositivos dos pacientes, e os pacientes podem permitir acesso a terceiros. “Acesso apropriado” provavelmente é uma descrição melhor do que “privacidade de dados”.
O movimento pelos direitos à privacidade é de ter mais acesso e mais controle por parte dos indivíduos. Como paciente, além de ter o direito às suas informações, você pode direcionar seu fornecedor de cuidados de saúde para entregá-las a um terceiro: um advogado, um amigo, outro profissional médico, etc. Um paciente também pode especificar um meio de divulgação em papel ou eletrônico, portanto, são muitos os direitos concedidos aos pacientes.
Estes direitos para os indivíduos controlarem seus próprios dados não se limitam apenas à área da saúde. Podemos observar isso no movimento atual com o GDPR e nas leis recentemente aprovadas no Brasil, Canadá, China e alguns estados dos Estados Unidos, como Califórnia, Washington e Virgínia.
Conforme o futuro da privacidade de dados se concentra cada vez mais nos direitos individuais de acesso, isso mudará a forma como as organizações podem rastrear as coisas. Grandes empresas como o Google e o Facebook têm opções agora em que as pessoas podem limpar seus dados ou impedir que as empresas os vendam de várias maneiras. Dispositivos de rastreamento, como cookies tradicionais, não serão tão relevantes, então algo mais terá que ajudar os anunciantes direcionados.
Muitos dados, é claro, como dados de emprego, já são regulamentados. O controle individual dos dados não é um direito absoluto; as empresas precisam de dados para poder funcionar, então elas poderão manter alguns, mas haverá uma maior regulamentação. Nos Estados Unidos, teremos mais complexidade e mais problemas antes de alcançarmos uma padronização. Temos 50 estados, cada um com suas próprias regulamentações.
Existem tantas leis quantas definições de informações pessoais, o que pode gerar um conflito. Sutter, por exemplo, possui muitos hospitais no norte da Califórnia e algumas filiais no Havaí, Oregon e Utah. Sutter deve rotineiramente estar atualizado sobre as regulamentações desses estados, mas caso haja uma violação, então o estado onde os indivíduos afetados residem entra em jogo. Às vezes, as leis são escritas de forma que Sutter precise seguir a lei no local de residência dos pacientes, em vez do local do negócio, o que se torna complexo.
Às vezes, faz sentido terceirizar esses tipos de problemas, e uma indústria legal inteira está surgindo para ajudar as empresas a navegar pelas regulamentações de privacidade e segurança da informação.
Do ponto de vista de TI, segurança de dados significa limitar quem tem acesso às coisas. Com privacidade de dados, significa abrir portas para acesso. Claro, há um processo de validação para quem tem acesso, mas existe um equilíbrio entre segurança e privacidade, o que pode criar muito trabalho tanto para o lado legal quanto para o operacional.
Organizações que desenvolvem qualquer tipo de aplicativos que lidam com os dados das pessoas precisam entender que as leis de privacidade são diferentes em cada país e em cada estado e as ramificações de usar e armazenar esses dados.
Jeremy, juntamente com as equipes de privacidade e segurança, está envolvido com as equipes técnicas, às vezes, desde a fase de design, para garantir que tudo esteja de acordo com as regulamentações. Por exemplo, ele irá conversar com a equipe responsável por construir os portais de pacientes para verificar se as coisas que eles desejam fazer estão de acordo com as regulamentações. Além disso, ele ajuda a responder perguntas sobre qual tipo de banco de dados seria o melhor ou se há um provedor de nuvem que pode ser configurado de acordo com as normas. Jeremy descobre que quanto mais se educa e recebe treinamento em aspectos técnicos, mais útil ele pode ser no processo.