Inovação, Privacidade e Proteção de Dados
Entendendo o poder da inovação corporativa e os riscos relacionados à privacidade e proteção de dados.
Seria praticamente impossível falar de inovação e transformação digital nos dias de hoje sem mencionar ambientes Cloud ou soluções no formato de Software-as-a-Service (SaaS). Neste artigo explicaremos brevemente tais conceitos, questionamentos e responsabilidades frente às diferentes legislações e regulamentações de privacidade.
Os modelos comerciais em formato “Cloud” modernos, surgiram por volta de 2006, quando a Amazon lançou seu serviço Amazon Web Services (AWS), introduzindo o serviço Elastic Compute Cloud (EC2). A partir daí, as demais gigantes no setor como Google, Microsoft, IBM e Oracle seguiram seus passos.
“Cloud”, ou “Computação em nuvem”, é o termo usado para a disponibilização de recursos de Tecnologia da Informação, sob demanda, como servidores, armazenamento de dados, recursos de rede, etc. Ou seja, para você disponibilizar uma nova aplicação ou serviço, você não precisa ter a máquina física a sua disposição, mas pode adquirir capacidade através de serviços “Cloud” a um custo menor, com maior confiabilidade e disponibilidade.
Serviços “Cloud” são mais que uma mera alternativa ao modelo físico (On-Premise). São ferramentas que possibilitam uma rápida escalabilidade de aplicações e serviços, são facilitadores da inovação, permitem oferecer respostas rápidas às demandas de mercado, permitem a conexão de múltiplos serviços, e a execução ágil de projetos pilotos com custos reduzidos frente ao modelo tradicional.
Serviços “Cloud” oferecem tais possibilidades porque em questão de minutos, um novo serviço ou aplicação podem ser disponibilizados ao público. Provedores “Cloud” oferecem centenas de serviços próprios ou de terceiros para viabilizar desde uma pequena página web à aplicações de IoT, Machine Learning e Data Analytics. Em um modelo tradicional, tal escalabilidade ou flexibilidade seriam praticamente impossíveis de serem executadas ou seu custo seria elevadíssimo. E o tempo da equipe de TI economizado com a gestão terceirizada dos serviços, pode agora ser utilizado para produzir soluções que tragam novas oportunidades de negócio.
No gráfico a seguir (Fonte: Red Hat), você pode ver a diferença entre alguns modelos de serviços em nuvem.
Assim, olhando pela ótica dos riscos relacionados a privacidade e proteção de dados, percebemos que com os serviços em nuvem, estamos acabando por terceirizar a prestação da atividade de gerenciamento de infraestrutura e equipamentos e, potencialmente do desenvolvimento / implantação de serviços.
Pelo lado da inovação, Software-as-a-Service (SaaS), ou Software como serviço se apresenta como um potencializador de transformações empresariais que oferece rápido crescimento / inovação pela facilidade de adoção. Empresas podem conectar seus sistemas, processos e softwares existentes a produtos inovadores (muitas vezes oriundos de Startups com alto grau de especialização), executar projetos pilotos e crescer conforme a necessidade.
Para tratar estas demandas de mercado e predição de “futuro”, a adoção de SaaS e ferramentas Cloud para o tratamento de massas dados para geração de insights, para a melhoria de eficiência e experiência de usuário, acaba sendo algo necessário.
E como ficam estes serviços quando pensamos em privacidade e proteção de dados?
É muito importante que, como gestores, as estratégias digitais não fiquem limitadas a silos ou departamentos. O ideal é que as decisões sobre quais plataformas e serviços utilizar sejam definidas (ou validadas) de forma coordenada, evitando o chamado “Shadow IT”. Shadow IT, ou TI Invisível, refere-se a dispositivos, softwares e serviços não mapeados pelo departamento de TI e que portanto, não estão validados para garantir aderência às boas práticas de mercado ou às políticas de segurança da informação de sua organização.
Sem a análise adequada do provedor de serviços, há a potencial exposição à riscos indesejados e não planejados. Uma das principais preocupações é que os dados compartilhados nestes ambientes SaaS talvez não estejam protegidos de forma adequada, não tenham sido mapeados nas políticas de privacidade da organização contratante (ex. Transferência Internacional de Dados), ou não estejam em conformidade com os padrões da organização ou de clientes. Há ainda, a preocupação quanto às informações confidenciais ou proprietárias inseridas em tais sistemas.
Tal preocupação não está restrita às ferramentas pagas. As gratuitas, inclusive, sofrem do mesmo problema, mas são mais difícies de serem controladas. Gerenciadores de atividade, mindmaps, calendários compartilhados, repositórios de arquivos, CRMs, blocos de notas (ou lembretes), etc. Talvez estes, inclusive, sejam um dos maiores riscos ocultos de sua organização.
Frente à LGPD, este risco se traduz no controlador (sua empresa) haver escolhido um operador (o SaaS) que não esteja conforme, cujas políticas sejam insuficientes, ou que ainda, armazenem dados em país não coberto por leis rigorosas de proteção de dados. E em caso de incidentes, sua empresa poderá ser considerada responsável pelos erros e omissões do operador, sofrer multas pesadas de até 50 milhões de reais e claro, dano à imagem, processos judiciais, perda de clientes e ainda, eventualmente, o vazamento de propriedade intelectual.
Pode também, sofrer punições simplesmente pelo fato de não ter os tratamentos plenamente mapeados, dificultando a visão 360o dos dados da organização, e o desenvolvimento de planos de ação e de minimização de dados.
Veja também:
LGPD, Inovação e Data Analytics
Parte das estratégias digitais também envolve coletar o maior número de informações relevantes para suportar a tomada de decisões. Hoje em dia, corporações contam com bases de dados estruturadas (aquelas onde sabe-se de antemão quais dados são gravados) e/ou não-estruturadas (sem estruturas pré-definidas, como audio, video, imagens, anexos). A palavra-chave na permissão deste tratamento estaria no “RELEVANTE”.
Para serem tratados frente a LGPD, dados precisam ser relevantes e alinhados aos objetivos declarados aos titulares. Situações futuras ou não mapeadas, não deveriam ser justificativas de tratamento.
Igualmente, há de se considerar a implementação de princípios de limitação e segregação de acesso, mascaramento, anonimização ou pseudo-anonimização e claro, criptografia. Sem se esquecer, claro, do prazo de validade. Ou seja: No momento em que o dado deixar de ser relevante, ou que o prazo prescrito quando informado ao titular houver expirado, este deve ser eliminado fisicamente das bases ou anonimizado.
LGPD e Inovação de mãos dadas
Devemos ver a LGPD como uma ferramenta que vai nos ajudar a nos colocar em uma situação privilegiada frente aos nossos clientes e concorrência.
Ela nos oferece uma série de possibilidades, como por exemplo, a chance de se estabelecer (e aplicar) políticas internas robustas para o tratamento de dados, mapear os gaps, as práticas, as ferramentas e todo o processo desde a aquisição até a eliminação do dado.
Ela também nos possibilita revisar as nossas ações como empresa, de obter visibilidade sobre o processo, padronizar procedimentos de diferentes departamentos, escolher as melhores ferramentas, de nos colocarmos na posição do consumidor.
Investir na capacitação da equipe nos ajudará nas posturas de privacidade e proteção de dados. Como a LGPD não foca apenas em sistema, é importante que as pessoas que lidam com dados pessoais estejam devidamente treinadas. Por exemplo, não utilizar os dados de um sistema interno seguro e disponibilizá-los em um ambiente inseguro, carregar em um pen drive, etc.
A LGPD nos dá a oportunidade de escolher fornecedores de TI que estejam comprometidos com a segurança dos dados. Teremos a oportunidade de trabalhar com operadores que colocam a qualidade do serviço e a proteção dos dados como prioridade. Afinal, a brecha deles é a sua brecha.
Imagem. Você mostra aos seus clientes que você se importa com eles e acima de tudo respeita seus direitos e cumpre com suas obrigações.
Tudo isso com foco no cliente. No colaborador. No parceiro. Na possibilidade de encantá-los através do respeito e comprometimento com a segurança e proteção de seus dados pessoais.
Falar em inovação, é falar em LGPD, Privacidade e Proteção de Dados!
Fale com nossos consultores
Precisa de um orçamento de projeto de adequação ou DPO-as-a-Service?
Fontes:
- https://www.forbes.com/sites/insights-ibmservices/2019/12/20/8-ways-cloud-is-transforming-business/?sh=6ccf04f02cde
- https://www2.deloitte.com/content/dam/Deloitte/global/Documents/Technology/gx-drp-saas-innovation-sept%202017.pdf
- https://blogbrasil.comstor.com/o-que-e-shadow-it
- https://www.redhat.com/pt-br/topics/cloud-computing/iaas-vs-paas-vs-saas