GDPR e o fim do compartilhamento de dados imprudente

GDPR e o fim do compartilhamento de dados imprudente

O Regulamento Geral de Proteção de Dados da União Européia (GDPR) colocará em todas as empresas uma estratégia digital sob risco de grandes penalidades financeiras. Qualquer empresa que processe informações pessoais sobre cidadãos da UE — seja como clientes, funcionários ou parceiros de negócios — e não cumpra, pode enfrentar multas de até quatro por cento de sua receita global anual, além de danos severos à reputação. E a conformidade exigirá muito mais do que simplesmente criptografar os dados.

O GDPR, que entrou em vigor no dia 25 de maio deste ano, harmoniza as leis nacionais de proteção de dados dentro da UE. Procura assegurar que os dados pessoais são protegidos contra uso indevido e o roubo e dá aos cidadãos da UE o controle sobre a forma como seus dados são utilizados.

Atualmente, a maioria das empresas está em risco de não conformidade, já que poucas, se houver, têm controle total sobre os dados de seus clientes. Embora muitas organizações tenham feito progressos na proteção dos dados que estão em seus repositórios primários, elas podem não levar em conta as inúmeras maneiras pelas quais compartilham essas informações hoje. As empresas estão mais dependentes de parceiros de ecossistemas e provedores de tecnologia do que nunca, e o iminente prazo do GDPR ressalta um modelo fragmentado de compartilhamento de dados entre as empresas e seus parceiros.

O escopo da GDPR é de longo alcance, abrangendo qualquer informação que possa ser vinculada a um indivíduo identificável (consultas em mecanismos de pesquisa, autenticação de funcionários, transações de pagamentos, filmagens de câmeras de circuito interno), em qualquer formato (estruturado ou não), em qualquer meio (armazenamento online, offline e backup). Como resultado, o escopo de proteção de dados, que as empresas agora devem implementar, deve ser muito mais amplo do que o dos padrões atuais.

A maioria das empresas deve compartilhar seus dados com seus fornecedores, clientes, seguradoras, distribuidores e consultores para competir e oferecer uma experiência melhor e superior ao cliente. E eles compartilham esses dados de uma das três maneiras, nenhuma das quais a protege totalmente:

  • Transmitir os dados totalmente ao parceiro, aplicando um contrato legal detalhando o grau em que o parceiro deve aplicar proteção aos dados. No entanto, isso não garante que o parceiro cumpra 100% do acordo.
  • Criptografe os dados e conceda acesso com senhas, o que ajuda a proteger os dados contra os hackers e outras pessoas que tentam acessar os dados, mas, depois que os arquivos foram entregues ao terceiro confiável, eles podem ser duplicados, compartilhados com outros sistemas e exposto.
  • Programaticamente, conceda acesso aos dados por meio de uma interface de programação de aplicativo (API), que é uma abordagem mais automatizada para o compartilhamento de dados. O método API, no entanto, normalmente deixa o parceiro com a capacidade de armazenar os dados compartilhados localmente ou duplicá-lo, novamente correndo o risco de exposição.

Em resumo, as empresas estão simplesmente confiando — e esperando — que seus parceiros protegerão adequadamente os dados do cliente. As futuras leis GDPR, no entanto, deixam claro que tal esperança não será uma estratégia eficaz para o cumprimento.

Parcerias ecossistêmicas não são o único elo fraco na cadeia de proteção de dados. As empresas também enfrentam riscos significativos de exposição de dados devido ao softwares e aos provedores de serviços que têm acesso aos dados de seus clientes.

Atualmente, um número cada vez maior de empresas utiliza soluções de software como serviço (SaaS) para vendas, atendimento ao cliente, comércio eletrônico, e-mail e muito mais, para melhor sua agilidade, a capacidade de respostas e a experiência do cliente. Infelizmente, muitos usuários corporativos se inscrevem nesses serviços sem um entendimento claro de se o provedor pode cumprir o GDPR ou outras regulamentações de dados. Eles aceitam rapidamente os termos de serviço sem ler as várias páginas que detalham os direitos que concederam ao provedor de tecnologia — um parceiro que pode não estar disposto a ficar do seu lado no tribunal por expor informações pessoais identificáveis.

Assim, enquanto muitos argumentam — e com razão — que os principais provedores de serviços em nuvem gastam mais em privacidade e segurança de dados do que uma uma única empresa poderia investir em seu próprio data center, as soluções de terceiros devem, no entanto, ser analisadas de maneira minuciosa.

O que as empresas devem fazer para lidar com esses riscos, em última instância, é assumir total responsabilidade pela proteção dos dados de seus clientes — onde quer que estejam, onde quer que trafeguem. Essa não é uma tarefa pequena em uma época que o compartilhamento de dados no ecossistema digital é praticamente um requisito básico para prosperar no mercado atual. Toda empresa deve trabalhar de forma colaborativa em seus ecossistemas para garantir a conformidade, entendendo que a proteção dos dados do cliente continua sendo sua responsabilidade, mesmo quando ela está na posse de seus parceiros.

Algumas ações que as empresas tomar para lidar com isso incluem:

Se os dados do cliente de sua empresa forem expostos, é pouco provável que os julgadores com base na GDPR, acreditem que tenha sido o resultado de um lapso por parte de um parceiro de negócio ou provedor de tecnologia; sua empresa sempre será a responsável pela conformidade. Agora é a hora das empresas reavaliarem seus processos de compartilhamento de dados e seus níveis de segurança — ou arriscar consequências e impactos importantes no seu negócio.