Perfis psicológicos em plataformas de conscientização, são legais?

Nicolás Bruna Blog Sem comentários

Perfis psicológicos em plataformas de conscientização, são legais?

“`html

Perfis psicológicos em plataformas de conscientização

Nos últimos anos, me deparei com algumas dúvidas sobre o uso de perfis psicológicos como ferramenta para orientar as decisões do plano de conscientização.

A ideia é a seguinte: determinar o perfil psicológico de nossos usuários por meio de diferentes técnicas e algoritmos e, com essas informações, fornecer conteúdos de conscientização adaptados às necessidades de cada pessoa. Além disso, realizar simulações de phishing específicas para explorar as vulnerabilidades de cada perfil.

Um perfil psicológico pode ser determinado de forma simples através de pesquisas ou, de maneira menos transparente, por meio do uso de chatbots ou inteligência artificial.

Independentemente do fato de que o uso desses perfis em conscientização é um método cuja eficácia ainda carece de evidências concretas, há algo ainda mais importante: O perfil psicológico de uma pessoa é uma informação clínica.

Por este motivo, se planejamos realizar testes psicológicos com nossos usuários, armazenar essas informações e tomar decisões com base nelas, precisamos ter muito cuidado.

Vamos ver o que isso implica no âmbito do GDPR:

Acesso às informações

Uma plataforma de conscientização normalmente pode ser acessada por:

  • O responsável pela segurança ou tecnologia de nossa organização.
  • Os analistas ou equipe responsáveis por administrar o plano de conscientização de nossa organização.
  • O pessoal do parceiro que presta o serviço gerenciado de conscientização.

Se a plataforma contém informações sobre o perfil psicológico de nossos usuários, estamos em uma situação realmente delicada. Esse tipo de informação sensível é normalmente restrito a profissionais especializados em psicologia, que possuem um papel definido dentro da organização e gerenciam essas informações com o máximo de sigilo. Apenas essas pessoas deveriam ter acesso a informações, relatórios ou qualquer dado relacionado aos perfis psicológicos dos usuários.

Transparência

Os usuários de nossa organização devem entender como seus perfis psicológicos serão elaborados.

Aqui podemos enfrentar diversos desafios. Se estivermos utilizando, por exemplo, uma pesquisa, poderemos explicar isso de forma clara e simples. Mas se nossa plataforma de conscientização elabora os perfis por meio de algoritmos ou ferramentas de IA, será muito difícil compreender os detalhes desse processo e ainda mais difícil transmitir isso de forma clara para que todas as pessoas em nossa organização compreendam.

Isso é relevante porque essa compreensão é o que permite às pessoas exercerem seus direitos de privacidade e também é a base do próximo ponto.

Consentimento

Se vamos lidar com informações relacionadas à saúde de nossos usuários, precisamos obter seu consentimento. Isso implica que os usuários compreendam por que determinaremos e armazenaremos essas informações, como as utilizaremos e o que isso pode implicar para eles em termos de privacidade. Esse consentimento deve ser claramente demonstrável e rastreável.

Discriminação e preconceitos

Se vamos usar os perfis psicológicos para agrupar nossos usuários e tomar decisões com base neles (como enviar uma simulação de phishing específica ou adaptar uma mensagem de conscientização), precisamos considerar o seguinte: Estamos recorrendo a uma prática que é eticamente questionável.

Os testes psicológicos podem estar baseados em padrões que refletem preconceitos ou estereótipos que podem nos levar a tomar decisões injustas ou discriminatórias.

Conclusão

Se vamos elaborar, armazenar e utilizar os perfis psicológicos de nossos usuários em nosso programa de conscientização, precisamos ter muito cuidado, pois podemos cometer uma violação grave de privacidade.

Os dados clínicos são altamente confidenciais. Se as medidas adequadas para proteger a privacidade de nossos usuários não forem implementadas, existe o risco de violar seus direitos fundamentais à privacidade e à proteção de dados.

Dito isso, ao chegarmos a este ponto do artigo, é momento de apelar ao nosso próprio julgamento como responsáveis pela segurança cibernética: Os perfis psicológicos de nossos usuários são realmente relevantes para atingir os objetivos de nosso programa de conscientização? Existe evidência que apoie o uso desse método para o desenvolvimento de uma cultura segura? Temos as ferramentas e o aconselhamento jurídico necessário para que nosso programa seja considerado legal e cumpra regulamentos tão importantes quanto o GDPR?

Conceitos renomados como Due Diligence e Due Care ganham grande relevância ao avaliarmos as respostas a essas perguntas. Esperamos que sejam úteis e permitam tomar decisões profissionais e informadas sobre os programas de conscientização.

Fonte

O presente artigo baseia-se na análise realizada pelo advogado Marcelo Temperini, especialista em Direito Informático, Privacidade e Cibercrime, em seu artigo: Os perigos dos testes psicológicos na prevenção de fraude e no cumprimento do GDPR

“`


Partilhar:

Share on LinkedIn Share on Pinterest Share on WhatsApp
Post Tags :
Prev Post

Next Post

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Deixe um comentário

Pesquisa

Publicações recentes

Nuvem de etiquetas

buone pratiche campanha de simulação de phishing cibersegurança ciso conscientização formação e sensibilização hardening do utilizador ocultado de estadísticas phishing plano de sensibilização ransomware segurança sensibilização smartfense whitelist

Blogue espanhol

No blogue espanhol, temos centenas de publicações para ler

Ir para o blogue espanhol