2. Cambridge Analytica
● Data firm based in London
● "Responsible" for election of President Trump and connected to Russia
● Facebook leaked data to Cambridge Analytica in 2016
● Went to the news March/2018
● Possibly impacted Brexit as well
● 87 million profiles may have been exposed
● Strategy: Gather data through a lengthy psychology questionnaire hosted by
Qualtrics.
○ First step: User granted access to his Facebook profile
○ Facebook had the right to offer data in his Terms and Conditions
3. GDPR - General Data Protection Regulation
● Approved in April, 2016 and enforced in May, 2018
● Designed to:
○ Harmonize data privacy law across Europe
○ Protect and empower EU citizens data privacy
○ Reshape the way organizations approach data privacy
● Consent:
○ Must be clear
○ Consent cannot be implied
○ Withdraw consent must be as easy as giving consent
○ Clear terms of use
○ Why data will be used
4. GDPR - General Data Protection Regulation
● Data Protection Directive (1995)
● Main changes:
○ Increased territorial scope
○ Penalties changed (4% of annual revenue or €20 million)
○ Conditions for consent strengthened
○ Breach notification is now mandatory in 72 hours
○ Data subjects have the right to access the data processed if requested
○ Right to data erasure
○ Privacy by design
● Privacy laws in US: Arizona, Arkansas, California, Colorado, Delaware, Iowa,
Illinois, Maine, Maryland, Michigan, Minnesota, Montana, New York, South
Carolina, Texas, Utah and Virginia.
5. Other Privacy Initiatives
● Payment Services Directive II (PSD2): Account Information Service Providers
(AISPs), introduced by PSD2 enable customers to view multiple bank details in
a single portal.
● ePrivacy Regulation: Extend the consent to process customer communication
data. The promise is to unlock the value of data for business, with customer
transparency and control.
"As customers, we will be empowered to control our data and share it on a quid
pro quo basis – I might, for example, agree to share my personal data in return for
a better mortgage rate."
6. Positive Implications
1. Improved Cybersecurity
2. Standardization of Data Protection (EU+)
3. Brand Safety
4. Loyal Customer Following
5. Less impact of data breaches
7. Dark Side of GDPR
Agree or leave.
But who wouldn't agree with
Google?
Zero sum game :(
11. The Future of Privacy
● Sacrificing privacy for convenience
● Tools focused on privacy
○ DuckDuckGo
● Data as competitive advantage
● Data repositories
○ AISPs for every type of data?
● Blockchain might be the future
12. Reflections
Amount of data today x probability/risk of using PII (Personal Identifiable
Information)
Will you be willing to offer your data? What would you want in exchange?
What are the possible good and bad use cases for data and privacy?
Hinweis der Redaktion
Boa noite pessoal, eu sou o Eduardo, trabalho como PO na Avenue Code para um cliente dos Estados Unidos. O assunto que eu escolhi falar hoje, é algo que influencia bastante no meu dia-a-dia, que é privacidade.
Começando então com o escândalo do Facebook com a Cambridge Analytica então. Todo mundo aqui ouviu falar nesse escândalo? Que basicamente foi o que levou o titio Mark Zuckerberg a falar com o senado americano?
E quem aqui sabe exatamente qual foi o escândalo?
Bom, vou contar brevemente a história da Cambridge Analytica. É uma empresa baseada em Londres. Essa empresa basicamente assumiu a responsabilidade pela eleição do Donald Trump. Um dos assessores do Trump era do board dessa empresa, e essa empresa também foi abordada por uma empresa de petróleo do governo Russo, e por isso a conexão entre a Rússia e a eleição do Trump.
O vazamento de informações do Facebook pra Cambridge Analytica aconteceu em 2016, mas isso só veio a tona em março desse ano. O vazamento de informações sempre acontece, mas o que gerou revolta mesmo foi a possível influência que isso teve nas eleições americanas.
O governo do reino unido inclusive começou a investigar porque a mesma empresa também pode ter influenciado o resultado do referendo que separou o reino unido da União Europeia.
No início falaram de 50 milhões de perfis expostos, mas depois que um novo chefe de segurança assumiu o Facebook, ele falou que 87 milhões de perfis podiam ser afetados.
No início também falaram que as informações teriam sido obtidas através de uma daquelas pesquisas bobas do Facebook, tipo como você seria se fosse do outro sexo. Mas na verdade, o vazamento dos dados aconteceu através de um questionário psicológico que estava hospedado na Qualtrics.
O primeiro passo pra preencher o questionário era permitir o acesso ao perfil do Facebook, e o Facebook não tinha como ser processado porque nos seus termos e condições ele informa que poderia ceder os seus dados para outras empresas.
Esse foi o maior escandalo relacionado a privacidade, e até rolou uma campanha #deleteFacebook que vários famosos participaram.
A GDPR e o Cambridge Analytica não tem conexão direta, mas eu acredito que depois desse escândalo as empresas realmente começaram a levar a sério a privacidade. Quem aqui ouviu falar da GDPR? E quem sabe exatamente o que é a GDPR?
Bom a GDPR é uma lei criada pela união européia pra defender a privacidade dos cidadãos europeus. A GDPR na verdade foi aprovada em 2016, mas as empresas tiveram dois anos para se adaptar a nova legislação. Então ela passou a ser aplicada em maio desse ano.
A ideia da GDPR era criar um padrão para as leis de privacidade por toda a Europa, já que diversos países sequer tinham leis e outros países tinham leis diferentes.
Além disso, a ideia é proteger e empoderar a privacidade sobre os dados de cidadãos europeus, e mudar a forma como as organizações abordam a privacidade.
A GDPR é basicamente focada no consentimento dos usuários. Agora, para uma empresa guardar os dados dos seus usuários, eles precisam dar autorização.
O consentimento tem que ser claro, o usuário deve ter uma forma de afirmar que ele está dando consentimento.
O consentimento não pode ser interpretado, ou seja, aquela ideia de "Se você usar nosso produto você está de acordo com os termos e condições".
Os usuários devem poder remover o consentimento da mesma forma que deram a autorização.
Os termos de uso devem ser claros, não pode ser um texto gigantesco e cheio de palavras que só advogados usam.
E os termos devem explicar exatamente como os dados serão usados.
A GDPR na verdade foi uma evolução de uma lei que já existia desde 1995, que por sua vez era baseada em uma lei de privacidade da metade do século passado. As principais mudanças da lei antiga para a GDPR foram:
Aumento do escopo territorial: antes eram só as empresas que ficavam na europa, e agora é qualquer empresa que tenha dados de cidadãos residentes na Europa.
As multas aumentaram bastante, agora é 4% da receita do ano anterior, ou 20 milhões de Euros, o que for maior.
As condições para o consentimento foram reforçadas. Agora as empresas precisam informar de um potencial vazamento de informações em no máximo 72 horas após o vazamento.
Os usuários tem direito aos seus dados se solicitarem para a empresa.
Da mesma forma, os usuários tem direito a solicitar a completa exclusão dos seus dados.
Por fim, a ideia da GDPR é que a partir de agora as empresas levem a ideia de privacidade por design. Ou seja, na hora de criar seus produtos, a privacidade deve ser levada em consideração.
A GDPR só funciona pra Europa, mas vários estados americanos já criaram suas próprias leis de privacidade. Ressalto em especial a California e Nova York, porque nesses dois estados as leis são quase tão rígidas quanto a GDPR.
Junto com a GDPR, foram criadas outras iniciativas também. A PSD2, criou o conceito de Account Information Service Providers. Esse conceito é que entidades independentes podem ser criadas para permitir que os clientes tivessem os detalhes de diversas contas bancárias em um único portal, e os usuários permitiram o acesso aos dados de qualquer empresa que eles quisessem.
E também teve a ePrivacy Regulation, que aumenta o consentimento para processar os dados de comunicação dos clientes. Isso prometeria liberar o valor de dados pra clientes, com transparência e controle para os usuários.
Até vi um especialista falando sobre isso, onde ele diz que seremos empoderados por controlar nossos dados, e o compartilhamento dessas informações seria de uma forma a gerar valor para o cliente e a empresa, por exemplo, compartilhar os dados pessoais em retorno de hipoteca melhor.
Falando um pouco das implicações positivas do GDPR: o primeiro ponto positivo claro é melhorar a segurança digital.
Segudo é a padronização do processo de proteção de dados, que inicialmente é aplicado a Europa, mas acredito que a maioria das empresas que tem usuários na Europa e em outros países vai aplicar a GDPR para todos os usuários.
A segurança da marca, no sentido de diminuir os riscos de queimar a marca por causa do vazamento de dados.
A fidelidade dos clientes, que compatilhariam seus dados com as empresas que confiam.
Por fim, um impacto menor no vazamento de informações. A ideia aqui é que as empresas só tenham acesso as informações que são realmente necessárias. Por exemplo, uma empresa de seguro de casa deve ter várias informações do cliente para o seu negócio. Mas um ecommerce de vinhos no máximo precisa do e-mail e cartão de crédito do usuário.
É lógico que a GDPR também traz implicações negativas. A primeira coisa foi a quantidade de e-mail que a gente recebeu em maio. Mais alguém?
Brincadeiras a parte, muitas empresas se adaptaram ao GDPR de uma forma que ou o cliente aceita os termos ou não usa o produto. Pra mim até faz sentido, mas imaginem quem discordaria dos termos com o Google? Hoje a gente praticamente depende do Google, vários negócios dependem dos produtos do Google, então acaba sendo um acordo que não gera valor nenhum, só uma burocracia a mais.
Algumas empresas inclusive simplesmente bloquearam o acesso ao site de todos os IPs com origem na Europa com medo do GDPR. Isso aconteceu com o Times e outros jornais importantes dos EUA.
Asking consent from a piece of hardware won't hold as user consent
Use 3rd party data for marketing
Profiling: only with consent, and you need an oup-out tool. Analytics and user behavior
Greater impact on recommendation systems.
Qual seria então o futuro da privacidade dos dados?
Primeiro ponto que já dá pra perceber é que as pessoas estão dispostas a sacrificar uma parte da sua privacidade por conveniência. Porém tem uma equação de geração de valor aí. Pra abrir mão da privacidade, os usuários precisam de um retorno adequado.
Outro ponto são as ferramentas focadas em privacidade. Eu não sei se vocês já ouviram falar do DuckDuckGo, mas é uma ferramenta de busca tipo Google, mas a privacidade é o ponto chave. Voltando na questão da conveniência, não da pra achar os mesmos resultados do Google no DuckDuckGo, por exemplo.
Parecem haver iniciativas pra combater a competição desleal de empresas que possuem grandes bases de dados.
Outro ponto que eu até já abordei antes são os repositórios de dados. Eu falei antes dos AISPs pra dados de contas bancárias, mas talvez exista um conceito semelhante pra diferentes conjuntos de dados.
Por fim, vários especialistas parecem acreditar que o Blockchain é a principal tendência de privacidade. Como o blockchain prevê o consentimento do compartilhamento de informações e a já tem privacidade por design, talvez seja a principal esperança em relação a privacidade e acesso aos dados.