Em 25 de maio de 2018, o Regulamento Geral de Proteção de Dados da União Europeia, conhecido como GDPR, passou a ser lei. A política foi implementada para criar uma maior transparência sobre como as empresas lidam com dados pessoais e para impor regras mais rigorosas em relação ao uso e compartilhamento desses dados.
Embora o regulamento diga respeito aos dados pessoais de cidadãos da União Europeia (UE), a lei e as multas por má conduta ainda se aplicam independentemente de a pessoa pagar pelo serviço ou a empresa estiver localizada em países de fora da UE. O resultado foi que empresas do mundo inteiro, com operações UE, atualizaram suas políticas de privacidade.
Como as políticas de privacidade são frequentemente negligenciadas – em 2014, metade dos usuários da internet sequer sabiam o que era uma política de privacidade, de acordo com o Pew Research Center – a complexidade de algumas das normas adicionadas ao GDPR certamente está piorando as coisas, certo?
Analisamos as politicas de privacidade individuais dos principais sites da web para verificar a contagem de palavras, o tempo de leitura e o nível de leitura antes e depois do GDPR para determinar o quão fácil é fazer com que os usuários entendam suas alterações de política.
Como eram as políticas de privacidade antes do GDPR?
O Reddit teve o tempo de leitura mais longo, de quase 27 minutos para ler. Facebook e eBay estão em segundo lugar. No geral, a terceira maior contagem de palavras do eBay que tem o maior nível de leitura, 18 (que é essencialmente um estudante universitário de nível sênior), efetivamente a política de privacidade mais difícil de ler.
O Yahoo foi de longe a leitura mais curta do grupo, levando menos de 8 minutos. Com nível de leitura pouco acima da média, com 13,6. Talvez, apropriadamente, o nível de leitura do Facebook foi o mais fácil, de 11, dado seu esforço para ser mais transparente sobe sua privacidade.
Então, como as coisas mudaram quando o GDPR fez com que esses sites atualizassem suas políticas?
A principal mudança vista aqui é que o eBay não apenas aumentou sua contagem de palavras para o nível mais alto da lista, mas seu nível de litura agora é de 20. O Yahoo ainda é a menor contagem de palavras e tempo de leitura, e o Reddit agora tem o nível de leitura mais fácil. Nós nos aprofundamos em cada site para entender as mudanças após o GDPR, começando pelo site mais popular da web, o Google.
Google
O Google processa mais de 40 mil consultas de pesquisa a cada segundo, o que se traduz em 3,5 bilhões de pesquisas por dia. Como a pesquisa é apenas uma das maneiras de o Google coletar dados de usuários, a quantidade de dados brutos coletados é alucinante. Segundo algumas estimativas, o Google possui e armazena cerca de 15 exabytes de dados. Para colocar isso em perspectiva, 1 exabyte equivale a 1 milhão de terabytes.
O grande número de produtos e usuários do Google aumenta o risco de exposição a violação de dados.
Facebook
Após intenso escrutínio público relativo ao escândalo Cambridge Analytica, Mark Zuckerberg testemunhou perante o Congresso dos Estados Unidos e o Parlamento Europeu e se comprometeu em aumentar a privacidade dos usuários da plataforma. Como os esforços do Facebook para aumentar a legibilidade de sua política de privacidade se elevaram como resultado do GDPR? Embora tenha reduzido o tempo de leitura em mais de 5 minutos, o nível de leitura aumentou.
Reedit
O Reedit se considera a “primeira página da internet” e, com mais de 1,5 bilhão de usuários ativos mensais, esse slogan se mostra correto. Em dezembro de 2017, o subreddit de criptomoedas, focado em R/BTC, foi alvo de uma série de ataques que resultaram no esgotamento das carteiras de bitcoin dos usuários. A própria natureza do Reddit, expõe os usuários a ameaças de intenções maliciosas. Com isso em mente, é um pouco surpreendente ver a contagem de palavras reduzida em 38,20%.
Amazon
A Amazon é muito mais que apenas a maior empresa de e-commerce do mundo. Sua plataforma de computação em nuvem, a Amazon Web Services, agora é responsável por 10% da receita da empresa. Assim, a segurança é mais importante do que nunca, já que a Amazon abriga dados confidenciais de mais de 1 milhão de usuários (dados de 2016).
A empresa também armazena informações de empresas e governos. Uma violação do Uber, em 2016, que comprometeu as informações de 57 milhões de usuários em todo o mundo foi vinculada a uma conta comprometida da Amazon Web Services.
As alterações na política de privacidade da Amazon resultaram em aumentos em todos os níveis: contagem da web, tempo de leitura e nível de notas de leitura.
Wikipedia
A Wikipedia foi lançada em 2001 com o objetivo de aumentar a disponibilidade de informações em todo o mundo. Embora o site tenha se tornado um dos mais populares do mundo, suas informações nem sempre são totalmente confiáveis.
Embora o site tenha políticas implementadas para remover conteúdo falso, sua confiabilidade é frequentemente – a Turquia proibiu o acesso ao site em 2017. A política de privacidade da Wikipedia teve o maior aumento de quase 95% na contagem de palavras e o tempo para ler também aumentou.
Yahoo
O domínio “yahoo.com” foi comprado em 18 de janeiro de 1995. Em 1997, o Yahoo era o segundo site mais visitado na internet, atrás apenas da AOL, e chegou a valer US$ 125 bilhões antes que a bolha pontocom estourasse. Em 2016, o Yahoo relatou uma violação de segurança que, de acordo com a empresa, atingiu 1 bilhão de contas. Em 2017, foi revelado que, na verdade, todas as contas do Yahoo – mais de 3 bilhões de contas no total – foram invadidas, tornando-se a maior violação de dados na história. Não é surpresa ver a contagem de palavras de sua nova política de privacidade aumentar em 28,11%, mas isso também pode ser resultado de sua aquisição pela Verizon em 2017.
Twitter
O Twitter foi lançado em 2006 depois que seus fundadores falharam com a criação da Odeo, uma empresa de podcasts. Em 2016, a empresa criou o “Twitter Trust & Safety Council para garantir que os usuários se sintam seguros em sua plataforma. A empresa teve uma série de violações de segurança, incluindo uma recente, em maio de 2018, quando as senhas de 330 milhões de contas foram expostas. Embora o nível de leitura tenha permanecido consistente, a nova política de privacidade cresceu mais de 29%.
e-Bay
O e-Bay, outro veterano da bolha pontocom, começou como um mercado de leilões online. Com o recurso “compre agora”, a empresa ultrapassou o modelo de negócios original e consolidou sue lugar no comércio eletrônico. Em 2014, o eBay revelou que nomes de usuários, senhas, números de telefone, endereços físicos e até informações bancárias de milhões de usuários vazaram. É interessante notar que sua política de privacidade se tornou mais difícil de ler, aumentando em dois níveis de leitura, mas a contagem de palavras aumentou apenas pouco mais de 8%.
Instagram
O aplicativo de compartilhamento de fotos e vídeos tem uma grade quantidade de informações para proteger. Em 2017, o Instagram contava com cerca de 800 milhões de usuários, com 500 milhões de usuários diários. No mesmo ano, o Instagram sofreu uma violação de dados que atingiu aproximadamente seis milhões de usuários. Entre as informações afetadas estavam números de telefone e endereços de e-mail. As políticas do Instagram aumentaram: a contagem de palavras aumentou mais de 40%, enquanto o tempo de leitura aumentou 6 minutos.
Netflix
Começou como um serviço de aluguel de DVDs em 1997, que cresceu para o gigante de streaming atual, com mais de 125 milhões de usuários em todo o mundo, em 190 países. A empresa foi hackeada em 2015 e, em 2017, um arquivo com 1,4 bilhões de senhas, da Netflix e de outras empresas de streaming, vazou para a web. No geral, a política de privacidade da Netflix teve um aumento na contagem de palavras, no tempo de leitura e no nível da nota de leitura, embora os aumentos sejam discretos em comparação com outras empresas.
Como as políticas de privacidade mudaram no geral?
O objetivo das políticas de privacidade atualizadas é simplificar o processo de gerenciamento da privacidade do usuário e o acesso aos seus dados. No entanto, você pode se surpreender como as políticas de privacidade mudaram. Oito das dez empresas analisadas aumentaram a contagem de palavras e o tempo necessário para lê-las.
A Wikipedia apresentou a maior atualização, com aumento de quase 95% na contagem de palavras. Apenas duas empresas – Facebook e Reddit – diminuiram a contagem de palavras e o tempo de leitura.
Como o GDPR afeta as empresas brasileiras?
As novas regras de proteção de dados também afetam empresas brasileiras que atuam na UE. Pelas regras, as empresas devem respeitar a vontade dos cidadãos europeus em relação ao que eles autorizam ou não sobre o uso de seus dados. Então, as empresas devem modificar suas políticas de privacidade para atender às novas exigências.
Por outro lado, o GDPR deve influenciar a legislação brasileira. Projeto aprovado no Senado, prevê maior proteção de dados dos usuários brasileiros. A primeira lei geral de proteção de dados pessoais no Brasil cria regras para a coleta, tratamento e segurança de dados no país.
O que devo fazer agora?
Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:
Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.
Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.
Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.