Esta semana, eu recebido uma carta de um empregador meu de quando eu estava no ensino médio, um lava-jato local.
Acontece que houve uma “violação de dados” que resultou em “acesso não autorizado” ao meu número de previdência social.
Milhões de americanos recebem cartas como essa todo ano. Normalmente, a empresa oferecerá acesso gratuito a um serviço de monitoramento de crédito, permitindo que os indivíduos vejam se algum novo cartão de crédito, empréstimo ou outra atividade aconteceu em seu nome.
Qual deve ser o remédio individual nessa situação?
Como sociedade, ainda não padronizamos a criptografia de dados confidenciais de funcionários, e isso é obviamente um problema.
Os empregadores são obrigados a coletar dados do SS para verificar o status de trabalho e emitir pagamento. Mas isso não deveria ser uma verificação única, e não armazenada em um banco de dados inseguro para sempre?
Números SS vazados são algumas das principais vias para roubo de identidade. A empresa deve ser responsabilizada? Ou as leis estaduais e federais que exigem o armazenamento desses dados sem salvaguardas? Somado a isso, devo ser capaz de praticar o direito de ação e processar se puder provar que fui prejudicado?
Se meu número SS vazar na dark web, criminosos compram em grandes quantidades e tentarão todos os tipos de fraude. Quais são as penalidades atuais para esses fraudadores? É o suficiente? A Federal Trade Commission está cumprindo seu mandato aqui ou está muito concentrada em tentar dividir empresas de tecnologia?
Uma lei nacional de privacidade poderia impor ferramentas que precisamos para proteger dados sensíveis como este. Mas tentativas anteriores uma lei nacional de privacidade não abordou isso de forma significativa e se concentrou mais em delegar advogados e tentar proibir a publicidade direcionada do que em capacitar os consumidores que foram prejudicados.
Idealmente, teríamos uma lei que protegesse e padronizasse a criptografia, ao mesmo tempo em que defendesse a inovação e desse aos consumidores injustiçados uma via para serem ouvidos. Mas o que mais seria necessário?
O status quo de hacks, vazamentos e violações de dados acontecendo sem consequências está levando centenas de milhões de pessoas a serem prejudicadas. Muitas regras existentes impostas por estados e pelo governo federal exigem coleta desnecessária de dados que nos colocam ainda mais em risco.
Podemos buscar inovação para resolver esses problemas? Provas de conhecimento zero, descentralização identificam soluções, criptografia e mais?
Gostaríamos de ver outras ideias.
Por enquanto, we escrevemos recomendações para privacidade de dados e do consumidor em e iremos expandi-las à medida que formulamos mais ideias de políticas. Você pode confira aqui.
