Hoje em dia, cada país que já conta com uma lei de proteção de dados têm suas próprias autoridades reguladoras e órgãos que auxiliam a sociedade a aplicar a privacidade na prática. Nos Estados Unidos, há o National Institute of Standards and Technology, também chamado de NIST, que é uma agência governamental não regulatória da administração de tecnologia, do Departamento de Comércio.
A agência promove padrões e tecnologias para que a vida das pessoas seja facilitada por meio do uso dos dispositivos e softwares, e não haja prejuízos para a sociedade. Quando o assunto é a proteção de dados e a privacidade, o NIST vem sendo bastante ativo.
Auxílio na minimização de riscos
Em maio deste ano, a agência desenvolveu uma estrutura de privacidade com o objetivo de ajudar as organizações a identificar e gerenciar os riscos. Como a estrutura de privacidade ISO 29100 que veio anteriormente, a estrutura de privacidade do NIST foi projetada visando fornecer terminologias comuns para comunicar atividades relacionadas à privacidade.
Também como a ISO 29100, a estrutura foi projetada para ser compatível com os regimes legais e regulatórios domésticos e internacionais, como a GDPR e a CCPA, mas não inclui todos os requisitos desses regimes.
A estrutura de privacidade da agência refere-se ao termo “núcleo” para descrever um conjunto de atividades e resultados de privacidade. O núcleo é composto por três níveis aninhados: Função, Categoria e Subcategoria.
O conceito de que um titular de dados deve ter o direito de acessar suas informações pessoais é encontrado no NIST sob a Função Central de Controle, que descreve as atividades que se destinam a implementar atividades adequadas para permitir que empresas ou indivíduos gerenciem riscos de privacidade. A “Função” central é o nível de categoria mais amplo e consiste em cinco funções recomendadas: Identificar, Governar, Controlar, Comunicar e Proteger.
Muitas orientações ainda não são seguidas
Também em maio de 2021, o NIST alegou que fará um balanço do trabalho que já fez e pode até não desenvolver novos padrões, de acordo com uma ordem executiva em resposta a uma série de violações importantes em redes de infraestrutura crítica e federal.
“Nossa análise preliminar do cumprimento dos requisitos dentro da ordem executiva será identificar a orientação existente ou mesmo especificações dentro da orientação existente que podemos convocar e consolidar para uso pelas agências”, disse Matthew Scholl, chefe da Divisão de Segurança de Computadores do NIST’s Laboratório de Tecnologia da Informação ao site Next Gov. “Queremos identificar e citar os trabalhos existentes, em vez de criar novos trabalhos.”
Todo o portfólio de segurança cibernética e privacidade do NIST foi financiado com apenas US$ 78 milhões em 2020. Um desafio existente para eles é que as agências federais não estão adotando as orientações já contidas nos livros para lidar com as ameaças da cadeia de suprimentos de software. “Devemos garantir que as agências priorizem a implementação da orientação que já existe e fornecer os recursos adequados para que elas façam isso”, disse Scholl.
Como funciona no Brasil
No Brasil, as orientações acerca da proteção de dados, que são válidas para as esferas pública e privada, são responsabilidade da ANPD, a Autoridade Nacional de Proteção de Dados. É esse órgão que orienta a sociedade acerca da conformidade com a LGPD e acolhe as denúncias de pessoas físicas sobre o mau uso de seus dados pessoais.