Este artigo vai se ater ao uso americano — mas lembre-se que se você estiver operando globalmente, a terminologia pode ficar confusa.
A privacidade de dados e a proteção de dados estão muito intimamente interconectadas, tanto que os usuários muitas vezes pensam neles como sinônimos. Mas as distinções entre privacidade de dados versus proteção de dados são fundamentais para entender como um complementa o outro. As preocupações com a privacidade surgem onde qualquer informação pessoalmente identificável é coletada, armazenada ou usada.
A Distinção: Privacidade de dados versus Proteção
Em poucas palavras, a proteção de dados é sobre a proteção de dados contra acesso não autorizado. Privacidade de dados é sobre acesso autorizado — quem tem e quem define. Outra maneira de olhar para isso é a seguinte: a proteção de dados é essencialmente uma questão técnica, enquanto a privacidade de dados é legal.
Essas distinções importam porque estão profundamente tecidas nas questões abrangentes de privacidade e segurança cibernética, ambas as quais se aproximam muito em empresas, política e cultura. Para as indústrias sujeitas a normas de conformidade, existem implicações legais cruciais associadas às leis de privacidade. E garantir a proteção de dados pode não aderir a todos os padrões de conformidade necessários.
Quando as palavras importam
Apenas para tornar as coisas mais complicadas, de acordo com a Storage Networking Industry Association (SNIA),as leis e regulamentos que abrangem "o gerenciamento de informações pessoais" são tipicamente agrupados sob "política de privacidade" nos Estados Unidos e sob "política de proteção" na UE e em outros lugares.
O Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, uma autoridade supervisora que entrará em vigor em 25 de maio de 2018, exige que as empresas protejam os "dados pessoais e a privacidade dos cidadãos da UE para transações que ocorrem dentro da UE". No entanto, a lei de proteção de dados do GDPR tem uma visão muito diferente das informações de identificação pessoal do que os EUA. A conformidade com o GDPR exige que as empresas usem o mesmo nível de proteção de dados para cookies como fazem para informações armazenadas pessoalmente identificáveis, como números de segurança social.
Privacidade e segurança de dados: um não garante o outro
O que é importante entender ao comparar privacidade de dados versus proteção de dados é que você não pode garantir a privacidade dos dados a menos que os dados pessoais sejam protegidos pela tecnologia. Se alguém pode roubar dados pessoais, sua privacidade não é garantida, o que coloca você em risco de roubo de identidade e outras violações de segurança pessoal. Mas a relação oposta nem sempre é verdadeira: os dados pessoais podem ser protegidos sem ser confiáveis e privados.
Como? Quando você rouba seu cartão de crédito para um prestador de serviços, você está fazendo duas coisas. Em primeiro lugar, você está confiando ao provedor de serviços e ao sistema de pagamento com sua proteção de dados pessoais — para garantir que, entre outras coisas, cibercriminosos obscuros e outros terceiros não possam acessar suas informações de crédito sem o seu consentimento. Mas você também está confiando neles para honrar sua privacidade de dados, não usando indevidamente as informações, mesmo que você forneceu a eles.
A questão é que a tecnologia sozinha não pode garantir a privacidade dos dados pessoais. A maioria dos protocolos de proteção de privacidade ainda são vulneráveis a indivíduos autorizados que podem acessar os dados. O ônus sobre esses indivíduos autorizados é, acima de tudo, sobre a lei de privacidade, não a tecnologia.
Da tecnologia à confiança
A tecnologia ainda está implicada na privacidade de dados, justamente porque os usuários autorizados da tecnologia têm responsabilidade com a lei de privacidade. O código de ética do Open Web Application Security Project (OWASP) solicita aos especialistas em segurança que "mantenham a confidencialidade adequada das informações proprietárias ou confidenciais encontradas no curso das atividades profissionais".
Em suma, nenhum número de salvaguardas tecnológicas pode eliminar o papel central da confiança na garantia da privacidade dos dados.
Tudo isso vale o dobro para os envolvidos em transferências de arquivos. Os dados passam por nódulos da Web como o equivalente a cartões postais antiquados. Qualquer servidor que manuseie um pacote pode ler a mensagem (em última análise, pedaços binários de baunilha simples!) bem como o endereço IP de encaminhamento. Em algum nível muito básico, não há privacidade e pouca segurança para qualquer coisa enviada através da Web aberta.
Solução para proteção de dados
O único modo de proteção que os dados pessoais em trânsito (não em um carro blindado) podem confiar é a criptografia, para que um terceiro não autorizado possa ver os dados, mas não lê-los ou colecioná-los. E muitos oficiais de proteção na comunidade de segurança de transferência de arquivos diriam que é um risco de segurança de privacidade. Ele representa o risco de privacidade de uma falha de segurança que poderia colocá-lo em seus dados pessoalmente identificáveis em perigo de roubo de identidade.
Com criptografia de ponta a ponta,no entanto, os únicos "usuários autorizados" (você e o destinatário) com endereços IP conhecidos podem obter através do escudo de privacidade e obter acesso aos dados. Isso é o mais longe que os serviços da tecnologia podem fornecer quando se trata de privacidade de dados versus proteção de dados. O resto é com você.