BLOG DO ATLÂNTICO

Qual o impacto da GDPR nas empresas de TI?

Com a crescente evolução e integração da tecnologia no nosso dia a dia, foi natural que houvesse uma intensificação da troca de dados de usuários entre serviços e empresas do mundo virtual. Assim, como forma de garantir a segurança do usuário, a União Europeia trabalhou em prol da criação da GDPR, um regulamento do qual falaremos aqui.

Sabe-se que, em processos de compra e venda, estudos, relacionamentos virtuais, consultas ou qualquer outra atividade que envolva o meio digital, dados são utilizados com o intuito de segmentar anúncios, melhorar a inteligência de serviços ou facilitar a utilização de recursos, por parte do usuário — algo que, inclusive, tende a crescer com a ascensão da Internet das Coisas e do Big Data nas empresas.

Como consequência disso, os usuários passam a ter sua privacidade constantemente sujeita à exposição ou, ainda, à possibilidade de uso indevido dos dados fornecidos, como ocorreu em 2016, no caso da Cambridge Analytica. Na ocasião, a companhia utilizou dados do Facebook de forma indevida para influenciar as eleições nos Estados Unidos. Foram coletadas informações de aproximadamente 50 milhões de perfis da principal rede social de Mark Zuckerberg, para esse fim.

Por conta desse e de diversos outros casos semelhantes, surgiu uma preocupação em relação às informações dos internautas. Essa questão surgiu, mais especificamente, em relação a aqueles que fazem parte da União Europeia, seja como cidadãos ou residentes.

Assim, com o intuito de aumentar a transparência e eliminar possíveis abusos na forma como essas informações são utilizadas, foi criada a General Data Protection Regulation — uma lei de abrangência internacional que visa controlar o uso dos dados desses usuários. Com a vigência desse regulamento, todas as companhias que gerenciam dados de cidadãos — ou residentes — europeus devem estar de acordo com as regras estabelecidas na GDPR.

Por conta disso, reunimos algumas informações para que você possa saber mais sobre essa regulamentação, conhecer a sua importância, implicações e, ainda, saber como a sua empresa pode estar dentro dos padrões exigidos por essa lei. Tudo isso é o que você confere a seguir!

O que é o GDPR?

A União Europeia julga que a segurança da informação é um direito dos internautas que fazem parte dos países do bloco. Dessa forma, todas as instituições são obrigadas por lei a seguir regras bastante específicas em relação à obtenção, processamento, armazenamento e distribuição ou publicação de dados pessoais, independentemente do ramo de atuação ou tamanho da empresa.

De forma sucinta, a General Data Protection Regulation — ou simplesmente GDPR — é um conjunto dessas leis voltadas para a proteção de dados de usuários da internet. O regulamento é válido para o território da União Europeia e substitui a antiga lei de informações virtuais que já existia desde 1995. A ideia visa, principalmente, oferecer mais controle aos usuários no que diz respeito à forma como os seus dados virtuais são utilizados pelos serviços que essas pessoas utilizam.

Entretanto, apesar de o regulamento ser voltado para os cidadãos e residentes europeus, diversas companhias têm atualizado suas políticas de privacidade a nível global e definindo-as de acordo com a GDPR. Isso se deve, principalmente, à forma integrada como os serviços online funcionam.

As restrições da GDPR passaram a valer para aumentar a transparência na forma como os serviços digitais utilizam as informações cedidas pelos seus usuários, diminuindo, assim, o risco de abusos relacionados ocorrerem.

Quando o GDPR foi criado?

A União Europeia tem bastante experiência no assunto, já que, em 1995, já contava com leis relacionadas à privacidade de dados.

Entretanto, por datarem da década de 90, ainda que tenham passado por atualizações durante seu período de existência, essas diretrizes já não atendiam às necessidades da nova era, cheia de novas tecnologias e possibilidades online.

Por conta disso, em 2012 a região começou a trabalhar na ideia da GDPR até que, em abril de 2016, o projeto foi aprovado e adotado pelo Parlamento Europeu, incluindo um período de dois anos para que as empresas e serviços tivessem tempo o bastante para planejar e implementar suas atualizações, fazendo com que apenas em maio de 2018 a lei entrasse, efetivamente, em vigor.

Por que o GDPR é importante?

Nos últimos anos, diversas autoridades ao redor do mundo têm procurado, por meio de leis e regulamentos, alternativas de solução para problemas relacionados ao controle de privacidade das informações de usuários da rede.

Isso se dá, entre outros fatores, por conta da relevância e integração cada vez maiores da internet e dos serviços digitais no nosso cotidiano. Nessa realidade, dados que antes eram sigilosos correm risco de exposição e má utilização, se não forem devidamente protegidos e tratados.

Com a GDPR, há uma rigorosa determinação de como essas informações de cidadãos europeus devem ser tratadas, além de tornar mais explícito o consentimento do usuário quanto a esse processo de utilização.

Caso haja descumprimento das diretrizes, a empresa infratora pode receber multas de até 20 milhões de euros. Aqui é válido lembrar que, ainda que essa instituição não esteja localizada na região da União Europeia, se ela utiliza dados ou fornece serviços a cidadãos europeus, a multa também pode ser aplicada.

Ainda que muitos enxerguem essa prática como abusiva, a ideia da GDPR é melhorar a segurança, tanto dos usuários, quanto das empresas, de modo que estes façam negócios e transações de dados apenas com instituições que cuidem devidamente da segurança digital e respeitem os direitos de utilização acordados.

Quais os cuidados que as empresas de TI precisam ter?

É preciso ter em mente que, independente do objetivo do negócio, todas as companhias que lidam com dados oriundos de cidadãos da União Europeia precisam se submeter às regras dispostas pela GDPR.

Quando às empresas que dependem dessas informações, podemos definir um cenário com dois grupos: os manipuladores — ou controladores — de dados e os processadores do mesmo. Brevemente, pode-se definir que um define e o outro executa.

Dentro do primeiro grupo, podemos incluir empresas de diversas áreas distintas e que ditam como os dados devem ser utilizados, além das razões para isso. Entre elas, podemos citar companhias aéreas, instituições bancárias, lojas de varejo, entre outras. Os motivos e a forma de utilização dependerão, é claro, do tipo de negócio e dos seus objetivos.

Enquanto isso, no segundo grupo temos as empresas que efetivamente, farão o processamento de dados. Estas são as empresas de TI que são contratadas pelos negócios do primeiro grupo.

Assim, dada a possibilidade de realizar todo esse processo com informações alheias, é preciso que essas empresas se sujeitem a um conjunto de métodos resultantes da GDPR. Caso não haja tal observância, o negócio poderá sofrer com alguns tipos de penalidade — que explicaremos no tópico seguinte.

As empresas devem ser responsáveis pela proteção desses dados desde o momento da identificação inicial do internauta até que uma autoridade competente seja notificada, em caso de violação. No que tange às imposições que a GDPR faz às empresas em relação à segurança digital, temos alguns itens importantes, como os que citamos a seguir.

Fornecimento de informação

É preciso fornecer informações claras ao titular dos dados, informando quais dados foram ou estão sendo gerenciados, por quanto tempo isso ocorrerá e por quanto tempo a empresa os armazena nos servidores.

Cumprimento de limites

Este é um ponto que para muitos pode parecer óbvio, mas que, ainda assim, é de grande importância ser ratificado. A utilização dos dados pessoais deve estar restrita ao desígnio original e que foi acordado com o usuário.

Isso quer dizer que, se a ideia explicitada no contrato é a utilização para o cadastro em um curso, esses dados só devem ser utilizados para esse fim. É proibido, por exemplo, fazer futuras divulgações de outros serviços da empresa utilizando esses dados, sem que, previamente, o usuário tenha concordado com isso.

Demonstração de consentimento

Na fase de processamento das informações, a empresa deve mostrar o consentimento explícito do usuário, concordando com os procedimentos que serão realizados.

Notificações em tempo hábil

Em caso de violação dos dados, a empresa responsável deve notificar as autoridades competentes em até 72 horas após ter ciência do ocorrido.

Direito ao esquecimento

Além disso, o usuário deve ter direito ao esquecimento, isto é, o direito de ter todas as suas informações totalmente apagadas do banco de dados da companhia. Também deve ser possível solicitar essas informações para que possam, por exemplo, ser movidas para outro serviço.

Como direcionar o assunto nas discussões?

Se a sua empresa realiza transações de dados com a União Europeia ou pretende fazer isso futuramente, é imprescindível que todos os processos já estejam de acordo com essas definições e, caso não estejam, esse tema deve ter prioridade imediata nas pautas de discussões da empresa, incluindo setores de compliance, jurídico, legal e também de desenvolvimento.

Uma boa forma de realizar o direcionamento desse tema nas reuniões é seguir os passos abaixo:

Primeiramente, analise o nível de conformidade da empresa em relação às exigências da regulamentação sobre proteção e privacidade de dados. Quanto mais questões já estiverem ajustadas, menos trabalho as equipes terão em adaptar-se.

Além disso, verifique todas as questões de segurança digital que ainda precisam ser implantadas por exigência da GDPR e as execute.

Por fim, faça uma análise a respeito do nível de adequação do time a respeito do tema, já que, com as mudanças nas regras e processos, também é preciso que os colaboradores da empresa estejam cientes e aptos a lidar com as novas necessidades.

O que acontece com a empresa que descumprir o GDPR?

Empresas de qualquer lugar do mundo que lidem com dados de usuários pertencentes à União Europeia devem cumprir as normas estabelecidas pela GDPR. O não cumprimento dessas diretrizes fará com que a empresa infratora receba desde multas até a suspensão das suas atividades no mercado europeu.

No caso de infrações leves, as empresas podem apenas receber uma notificação, o que ajuda a alinhar os processos totalmente. Em casos mais graves, entretanto, a penalidade pode aplicada por meio de uma multa de até 20 milhões de euros ou 4% da receita anual do negócio a nível global — o que for maior, será aplicado.

É possível, ainda, que as operações — consideradas ilegais sob a ótica da GDPR — causem até mesmo a suspensão das operações da empresa no mercado europeu, no tocante às ofertas e vendas.

É válido lembrar que tudo isso ocorre ainda que a empresa não conte com uma representação oficial na região europeia. Em casos como esse, são efetuados acordos e procedimentos diplomáticos com entidades locais ao país sede da empresa, para a aplicação da penalidade.

Isso mostra que a União Europeia leva a privacidade dos cidadãos a sério, de forma que está preparada para executar todas as rotinas necessárias e aplicar a penalidade a uma instituição de outro país, ainda que esse processo seja relativamente complexo.

Como garantir a segurança dos dados a empresa?

É comum que, antes de se preocuparem com privacidade e segurança de dados, as empresas primeiro definam aspectos relacionados à arquitetura da informação e ao processo de desenvolvimento de seus produtos e serviços. Nesse cenário, a segurança fica em segundo plano, apenas sendo aprimorada, conforme for preciso.

Entretanto a realidade no universo digital aponta que essa postura precisa ser revista com urgência, uma vez que a segurança da informação já é um ponto fundamental a ser integrado ao processo de desenvolvimento de produtos e modelos de negócio.

Um exemplo disso é o fato de que o artigo 37 da General Data Protection Regulation exige que todas as instituições que coletem ou gerenciem dados sobre cidadãos da União Europeia contratem uma Data Protection Officer — ou DPO — ou seja, uma empresa que seja responsável pela proteção de dados. O DPO conta com uma série de responsabilidades, como as que listamos abaixo.

Educar a empresa a respeito da GDPR e se certificar de que a mesma esteja adequadamente capacitada;

Ser um meio de contato para autoridades que realizem supervisões relacionadas ao GDPR;

Realizar auditoria do trabalho de processamento dos dados, conferindo a sua conformidade com as normas da GDPR, corrigir eventuais problemas do tipo e monitorar a privacidade;

Manter os registros relacionados às tarefas de gerenciamento de informações dos usuários;

Contatar os titulares dos dados em caso de solicitações e problemas relacionados à GDPR.

Nota-se que um DPO eficiente depende, portanto, de um conhecimento sólido a respeito da GDPR e outras leis de dados e privacidade digital, além de, obviamente, conhecimento prático sobre a infraestrutura e técnicas de TI da empresa que o contratar.

Terceirize o DPO

Como é possível notar, a participação de um DPO nos processos de segurança da informação da empresa se torna fundamental e muitas empresas já estão descobrindo que terceirizar essa tarefa é a melhor alternativa.

Em relação à área de tecnologia, as empresas normalmente mantêm essa tarefa de forma interna ou são justamente as terceirizadas por empresas de outros setores, realizando o processamento de dados destas, por meio de Data Science e Machine Learning, por exemplo.

Por conta dessa realidade, já que os terceiros que realizam o processamento das informações estão dentro do escopo do GDPR como processadores de dados, é preciso compreender e esclarecer as normas pertinentes a ambas as partes.

Nesse sentido, os processadores de dados contam com obrigações que incluem entender, por exemplo, que os dados só devem ser processados após o recebimento de uma instrução clara e explícita.

Além disso, outras questões incluem responsabilidades de notificação de violações, responsabilidade por deletar ou devolver os dados ao fim de um contrato, limites de transferências subsequentes de dados, além de aspectos de eventuais indenizações e cooperação em investigações, quando necessário.

Ainda que essas questões sejam relativamente complexas, as empresas de tecnologia que ainda não estejam adaptadas às normas devem iniciar esse processo o quanto antes.

Faça um mapeamento de dados

Para que seja possível proteger os dados da empresa de forma eficaz, é necessário conhecer quais são eles e de onde vêm.

Para isso, é necessário contar com uma estratégia de mapeamento de dados eficiente e, no caso das empresas de tecnologia, esses dados não se restringem ao cliente, mas também podem abranger a área de marketing e vendas, por exemplo. Nesse sentido, há dois tipos de abordagem comumente utilizados pelas empresas: o mapeamento de dados de cima pra baixo e o de baixo pra cima.

No primeiro caso, os processos costumam ser manuais e começam em áreas de prática ou setores da empresa, identificando processos, sistemas e aplicativos que realizem a coleta, processamento e armazenamento dessas informações, além de serem desenvolvidos mapas de fluxo desses dados.

Enquanto isso, a segunda forma de realizar esse procedimento baseia-se em meios automatizados inicia-se nos sistemas, repositórios de arquivos e bancos de dados, verificando dados de usuários com base em elementos de dados e classificações definidas previamente.

A verdade é que os dois meios oferecem vantagens e uma maneira ideal de realizar o mapeamento é começar com um processo de cima para baixo e validar os resultados utilizando a abordagem inversa.

Busque formas de automatizar processos

Adequar-se às normas previstas pela GDPR é um processo que leva um certo tempo e esforço. Assim, um meio de reduzir as demandas da equipe durante o processo de adaptação é buscar automatizar tarefas sempre que possível, como é o caso da parte de resposta às solicitações de dados.

Essa é uma forma de melhorar consideravelmente a otimização dos processos durante o período de adaptação pois, com a GDPR em vigor, os usuários têm o direito de requerer todos os dados que uma companhia armazena em relação a eles, com um prazo de até 30 dias para resposta.

Nesse cenário, a tendência é que haja um aumento considerável nas solicitações conforme as companhias se adaptem ao regulamento. Desse modo, contar com serviços automatizados na entrega desses dados a seus titulares certamente reduzirá o tempo de espera do cliente e o esforço da equipe em providenciar essas informações.

Um outro aspecto relevante a ser mencionado aqui é que a privacidade de dados e a segurança digital não devem bloquear ou atrapalhar a inovação. É preciso que as empresas saibam aproveitar a oportunidade para melhorar o negócio com novas propostas e tecnologias baseadas na segurança — como o Blockchain, por exemplo.

Há, é claro, diversos aspectos extras que são necessários para estar de acordo com a GDPR, mas que dependem do modelo de negócio de cada instituição. Assim, as companhias devem trabalhar em prol do entendimento de perfil do negócio, reunindo-se membros de equipes de compliance e prestadores de serviço. Isso permite contar com uma abordagem direcionada e que ajuda e atingir os objetivos de maneira mais prática.

Como a GDPR afeta o Brasil?

O nível de abrangência da GDPR é um aspecto que pode confundir algumas pessoas. Primeiramente, é preciso entender que, apesar de o regulamento ter sido criado pela União Europeia, sua abrangência é mundial, já que inclui toda empresa que lide com dados oriundos da União Europeia, não importa onde a empresa coletora esteja sediada.

Isso quer dizer que, se seu comércio realiza vendas para o mundo inteiro e um cidadão europeu realiza uma compra em seu estabelecimento, a GDPR já pode ser aplicada ao seu negócio.

É importante lembrar, entretanto, que os níveis de gravidade possíveis para os casos de infrações são variáveis. As autoridades europeias não aplicarão ao proprietário de um site com apenas um ad tracker, às mesmas penalidades que uma empresa que utilizou indevidamente dados sigilosos. Ainda assim, é fundamental que as empresas brasileiras estejam em dia com o regulamento, de forma que não enfrentem problemas posteriores.

A verdade é que, apesar de a GDPR forçar as empresas a se adequarem a diversas questões de segurança trabalhosas, essa mudança traz vantagens para ambas as partes: o usuário e a empresa.

De um lado, os internautas contam com mais segurança ao utilizar serviços online — lembrando, é claro, que isso inclui os próprios líderes de empresas —, do outro, as instituições que manipulam essas informações passam a correr menos risco de problemas com vazamentos e processos judiciais.

A lei de proteção de dados também beneficia os brasileiros de uma forma ainda mais cotidiana, visto que empresas como Twitter, Facebook, Spotify e Google também precisaram se adaptar às novas leis. Isso explica, por exemplo, os diversos e-mails recebidos no ano de 2018 a respeito de atualizações da política de privacidade dessas e de outras companhias.

Por mais complexa e desagradável que essa mudança pareça ser para as empresas de TI, é preciso perceber as diversas vantagens e possibilidades disponíveis, como a melhoria da segurança e oportunidades de impulsionar os negócios. Já no lado do usuário, a experiência online só tende a melhorar, após tudo isso.

Dessa forma, espera-se que, apesar da GDPR não solucionar todos os casos de problemas relacionados à privacidade, o impacto causado pela legislação — uma das mais agressivas e abrangentes até então —, ajude a reduzir casos de vazamentos e má utilização de dados, como temos visto nos últimos anos.

Compreendeu a importância da GDPR no mundo digital, hoje? Quer receber atualizações sempre que publicarmos sobre esse e outros assuntos? Então não deixe de assinar a nossa newsletter para estar sempre informado