As notificações que as empresas enviam aos consumidores sobre violações de dados não têm clareza e podem aumentar a confusão dos clientes sobre o risco de seus dados, de acordo com uma nova pesquisa.
Com base em pesquisas anteriores que mostraram que os consumidores costumam agir pouco quando enfrentam violações de segurança, os pesquisadores analisaram as notificações de violação de dados que as empresas enviaram aos consumidores para ver se as comunicações poderiam ser responsáveis por alguma inação.
Eles descobriram que 97 por cento das notificações da amostra 161 eram difíceis ou razoavelmente difíceis de ler com base nas métricas de legibilidade, e que a linguagem usada nelas pode ter contribuído para confusão sobre se o destinatário da comunicação estava em risco e deveria agir.
“Para a maioria das empresas, essas notificações são vistas apenas como um requisito para cumprir as leis de notificação de violação de dados ...”
"Nossa análise mostra que exigir que as empresas, por lei, enviem apenas notificações de violações de dados não é suficiente", diz Yixin Zou, estudante de doutorado da Universidade de Michigan.
“É importante garantir que informações importantes, como o que aconteceu e o que os consumidores devem fazer para se proteger, sejam comunicadas nessas notificações de maneira compreensível e acionável pelos consumidores.”
Citando estatísticas da Privacy Rights Clearinghouse, os autores observam que na 2017 houve 853 dados violados que comprometeram 2.05 bilhões de registros, que incluíram nomes de consumidores, números de contas de informações de contato, detalhes de cartão de crédito, números de seguridade social, registros de compras e compras, mídias sociais posts e mensagens, e registros de saúde.
Em resposta, a maioria dos países, incluindo os Estados Unidos, adotou leis de notificação de violação de dados. Nos EUA, cada estado tem sua própria lei de violação de dados, o que significa que o limite para quando as empresas devem notificar os consumidores, quando uma violação deve enviar notificações e como essa notificação deve variar entre os estados.
"Há pouco incentivo para as empresas investirem em tornar as notificações de violação de dados mais utilizáveis".
Isso permite muita liberdade para as empresas usarem termos de hedge que minimizam o risco - usando frases como “você pode ser afetado” e “você provavelmente será afetado” em 70 por cento das notificações e dizendo “neste momento, não temos evidência de exposição dados sendo mal utilizados ”40 por cento do tempo.
Ele também permite uma falta de consistência em abordar a causa da violação, a data de ocorrência e a quantidade de tempo de exposição, dizem os pesquisadores.
"Há pouco incentivo para as empresas investirem em tornar as notificações de violação de dados mais utilizáveis", diz Florian Schaub, professor assistente da Escola de Informação.
“Para a maioria das empresas, essas notificações são vistas apenas como um requisito para cumprir as leis de notificação de violação de dados, em vez de uma maneira de educar e proteger seus clientes. Precisamos repensar e retrabalhar as leis de proteção ao consumidor, como essas, para garantir que as notificações das empresas sejam de fato úteis para os consumidores ”, diz Schaub.
A maioria das leis estaduais exige que as empresas notifiquem os consumidores afetados por escrito ou por telefone. E-mails, anúncios de sites, avisos para mídia estadual ou outros métodos eletrônicos geralmente são substitutos. O estudo mostra um padrão consistente com 95 por cento das notificações analisadas entregues pelo correio. Os pesquisadores dizem que a baixa velocidade de uma carta enviada pelo correio pode aumentar o tempo em que os consumidores permanecem desinformados da violação.
Os pesquisadores compartilharam seu trabalho na Conferência do CHI sobre Fatores Humanos em Computação, em Glasgow, na Escócia.
Fonte: Universidade de Michigan
Livros relacionados
at InnerSelf Market e Amazon
