Colaboradores e consumidores estão sendo mais cuidadosos quanto a compartilhar informações que vão além do essencial. Nós nos deparamos com uma empresa que parece não entender isso. Quando proteger a privacidade se transforma em invasão?
Recentemente, eu tentei experimentar alguns dos melhores aplicativos de segurança em meu iPhone e encontrei um pacote muito impressionante chamado Lookout. Um de seus recursos procura dificultar o roubo de identidade. Até então, tudo bem.
O serviço diz que pesquisa na dark web e em diversos bancos de dados por qualquer vazamento, provavelmente devido a violações. Isso parece valer a pena. Então, começo a preencher os formulários online e, em pouco tempo, minha cabeça ficou cheia das vozes protestantes de todos os diretores de privacidade com quem já conversei. A Lookout começa solicitando todos os seus endereços de e-mail e números de telefone, antes de passar para o número da carteira de motorista, o número do cartão do seguro médico e o número do passaporte. Ele também busca detalhes completos da conta bancária, todos os números de cartão de crédito e débito, número da identidade e pede para se conectar ao Facebook, Twitter, LinkedIn e Instagram.
Para ser justo, eu percebo o que a Lookout está fazendo – e, em uma entrevista, o diretor sênior de gerenciamento de produtos da Lookout, David Richardson, enfatizou que os clientes podem pular todas ou algumas dessas perguntas – mas minha primeira reação foi: “Ei, acabamos de nos conhecer. Por que você está fazendo o possível para parecer o ladrão de identidade mais óbvio deste lugar?”.
Dado que o objetivo da Lookout está claramente indicado (não tenho motivos para duvidar da empresa, no momento), qual é a preocupação? Algumas coisas.
Todos os ovos no mesmo cesto
PRIMEIRO, ter uma variedade tão grande de PII* em um único local a respeito de um indivíduo é perigoso. Se, de alguma forma, ocorrer uma violação na Lookout – nenhuma segurança é perfeita – seria uma grande vantagem para o hacker. Do ponto de vista da segurança, o marketing dessa empresa sobre esse serviço poderia, por si só, atrair ladrões de identidade para o site. Eles podem gastar recursos e esforços extras para entrar, o que realmente não é o que um cliente deseja.
* Personal Identifiable Information: Informações que permitem identificar uma pessoa.
Mensagem equivocada
SEGUNDO, ele passa a mensagem errada. Os defensores da privacidade argumentam, com razão, que nunca fornecerão a ninguém ou a qualquer site mais informações do que o absolutamente necessário. E quando a empresa está solicitando diretamente uma mina de ouro com dados pessoais, isso deixa as pessoas preocupadas. As pessoas podem se perguntar, e se essa página se tratar de um phishing que foi projetado para se parecer com uma página da Lookout? Como um usuário deve saber distinguir a diferença?
Múltiplos players e empresas parceiras
TERCEIRO, em 2020, nenhuma empresa é uma ilha. E se um de seus funcionários se voltasse para o lado sombrio da força? Ou a empresa que você usa para backup for violada? Caso o parceiro usado para recuperação de desastres for violado? E se o seu fornecedor de nuvem for violado?
Principalmente, porém, esse é um problema de percepção sobre privacidade: E se um departamento de polícia oferecesse um serviço em que mantivesse uma lista online de todos os seus bens mais valiosos, para acelerar os esforços de recuperação e seguro se você fosse vítima de um ladrão? Parece atraente.
Então você vai à página do Departamento de Polícia e eles lhe pedem o custo dos seus bens mais valiosos, onde eles estão localizados, a combinação do seu cofre (no caso de a polícia precisar obter rapidamente acesso, a fim de tirar as impressões digitais), dias e horários em que a casa ficará vazia, a natureza e os códigos de acesso de qualquer sistema de segurança, onde você deixa as chaves da casa, o código para acessar a porta da garagem etc. Isso não suscitaria mais preocupações do que forneceria conforto? Mesmo que seja legítimo, a sensibilidade das perguntas (e o fato de ser uma lista de desejos de tudo o que um ladrão gostaria de saber) não sugere que é uma má ideia?
Em conclusão
Privacidade não é apenas um conceito concreto. Também é abstrato e precisa que as pessoas mudem a maneira de pensar sobre suas informações sensíveis. É necessário um ajuste de atitude, para incentivar as pessoas a serem muito mais cautelosas e preventivas. Os CISOs e CIOs da empresa desejam e precisam que essa mudança de percepção aconteça. Não importa o quão excelente seja um Lookout e outros produtos e serviços semelhantes, eles devem apoiar a mudança de percepção. Iniciar o processo de registro pedindo tudo o que queremos que as pessoas nunca revelem, exceto em situações de necessidade extrema, é preocupante. E muito abaixo do ideal.
Traduzido e adaptado de Computer World. When does protecting privacy morph into invading privacy? SCHUMAN, Evan. Disponível em: <https://www.computerworld.com/article/3511607/when-does-protecting-privacy-morph-into-invading-privacy.html>. Acesso em 2 Jan. 2020.
Gostou deste artigo? Veja também “Você sabe com quem seu iPhone está falando de madrugada?“.
