As avaliações de risco estão no centro dos regimes regulatórios de segurança on-line emergentes em todo o mundo.
As organizações já estão empregando uma ampla gama de avaliações de risco digital, desde a devida diligência de direitos humanos até a avaliação de impacto algorítmica.
A Coalizão Global para Segurança Digital do Fórum Econômico Mundial publicou uma estrutura de linha de base e um banco de estudos de caso para informar ações futuras de governos, empresas e sociedade civil.
Os serviços digitais impulsionam o crescimento econômico e a inovação em todo o mundo e desempenham um papel crítico capacitando os indivíduos a desfrutar de seus direitos humanos. Mas esses serviços também geram riscos para pessoas, comunidades e sociedades devido a conteúdo e conduta on-line nocivos.
Com os avanços tecnológicos quase diários já tendo um impacto sobre os direitos e a segurança, o gerenciamento eficaz de riscos oferece um caminho a seguir para empresas de tecnologia, reguladores governamentais e outras partes interessadas para antecipar as maneiras pelas quais as pessoas podem ser expostas a riscos e tomar medidas para mitigar impactos adversos . À luz desse objetivo compartilhado, a Coalizão Global para Segurança Digital do Fórum Econômico Mundial convocou um grupo diversificado de especialistas para destilar os elementos essenciais de uma estrutura jurisdicional cruzada para entender e abordar os riscos digitais.
Embora a avaliação de riscos de segurança digital seja uma disciplina nascente e em evolução, não estamos começando do zero. As organizações já estão usando uma variedade de estruturas e metodologias já existentes para ajudar a gerenciar riscos complexos que se sobrepõem à segurança digital. Por exemplo, os Princípios Orientadores das Nações Unidas sobre Empresas e Direitos Humanos (UNGPs) estabelecem um processo de devida diligência que permite às empresas evitar, prevenir e mitigar impactos aos direitos humanos reconhecidos internacionalmente. Outro exemplo são os processos de gerenciamento de riscos corporativos da empresa. Eles geralmente se concentram nos riscos para os interesses comerciais de uma empresa, e não em objetivos de segurança digital mais amplos, mas também podem servir como uma ferramenta útil ou ponto de partida.
Até recentemente, as avaliações de risco relacionadas à segurança digital eram esforços voluntários de empresas, órgãos do setor e iniciativas de várias partes interessadas. Isso agora está mudando, com um número crescente de regimes regulatórios promulgados ou propostos que incluem disposições sobre avaliações de risco. Estes podem ser amplos, como as avaliações de risco sistêmico sob a Lei de Serviços Digitais da UE , ou se concentrar em direitos específicos (por exemplo, avaliações de impacto de proteção de dados), tecnologias (por exemplo, a Lei de Inteligência Artificial da UE ) ou grupos vulneráveis (por exemplo, o UK Age-Appropriate Código de projeto ). Requisitos em torno de avaliações de risco de segurança on-line dedicadas também aparecem no Australian Online Safety Act , Singaporean Online Safety Bille o Projeto de Lei de Segurança Online do Reino Unido , entre outros.
Embora seja papel dos formuladores de políticas e reguladores moldar requisitos juridicamente vinculativos específicos para a conformidade da avaliação de risco sob esses regimes, ainda há valor em abordagens globais e com várias partes interessadas para explorar desafios coletivos e possíveis soluções. Nossa coalizão se beneficiou das diversas perspectivas e insights de especialistas dos membros contribuintes, aprendendo com os esforços existentes e conciliando os desafios operacionais para desenvolver uma estrutura de alto nível para entender e avaliar os riscos de segurança digital.
A estrutura resultante propõe uma abordagem holística que vincula conceitualmente os riscos – o potencial para impactos adversos – e os danos percebidos em um processo cíclico. Este framework pode ser utilizado por organizações de diferentes portes, escalas e níveis de maturidade, oferecendo diversos serviços, enfrentando todos os tipos de danos online. Essa abordagem holística visa permitir que empresas e partes interessadas adotem uma abordagem mais consistente para a avaliação de riscos digitais, ao mesmo tempo em que incentiva os atores a avaliar e abordar os riscos de segurança na rodada, abrangendo o dano potencial a usuários e não usuários e o impacto em diferentes humanos direitos, incluindo segurança, acesso à informação, liberdade de expressão e privacidade.
Também reunimos estudos de caso que refletem as lições aprendidas de uma ampla gama de práticas existentes e visões gerais de como as estruturas existentes foram projetadas e implementadas. Os exemplos incluem princípios de devida diligência ao lidar com restrições governamentais à liberdade de expressão e privacidade e ferramentas de avaliação para start-ups incorporarem Safety by Design em produtos online. Alguns dos estudos de caso analisam estruturas, como as melhores práticas da Digital Trust & Safety Partnership, enquanto outros aplicam uma abordagem de avaliação de risco a um caso de uso específico, como segurança infantil em jogos imersivos ou avaliação de impacto algorítmico para um mecanismo de pesquisa.
Eles mostram como a avaliação de risco pode ser aplicada na prática a uma tecnologia, serviços e danos específicos. Destinam-se a fornecer exemplos úteis para todas as partes interessadas envolvidas na segurança online, incluindo provedores de serviços online, players de tecnologia de segurança e inteligência de risco, moderação de conteúdo e provedores de serviços, setor público (governos, reguladores, organizações internacionais), sociedade civil (ONGs, educadores, jovens) e investidores (VCs, start-ups, fundadores).
Esperamos que esta estrutura e os estudos de caso que a acompanham sejam uma contribuição significativa para as discussões globais sobre o gerenciamento eficaz de riscos e ajudem a elevar o nível de segurança digital em todo o mundo.
Fonte:
Traduzido para o Português pela Redação Sustentabilidades
Colin Kurre
David Sullivan
Minos Bantourakis
WEF
