*Por Cláudio Yamashita
70% das corporações devem aumentar gastos para atender as exigências de soberania de dados. Como sua empresa está lidando com isso?
Os governos ao redor do mundo estão escrevendo novas leis de privacidade de dados rigorosas para proteger os dados dos cidadãos e interesses de segurança nacional. Esta corrida para proteger informações confidenciais e pessoais ameaça as atuais estratégias de negócios, práticas e processos amplamente utilizados por organizações que operam internacionalmente.
Na União Europeia, por exemplo, está em trâmite a Regulação Geral de Proteção de Dados (GDPR), que quando finalizada, afetará qualquer organização que opere em seus países membros. No Brasil, o Ministério da Justiça apresentou o anteprojeto de Lei que deve ser submetido ao Congresso, que aborda a coleta de dados no território nacional, a transferência internacional desses dados, a notificação sobre ocorrência de incidentes que coloquem tais dados em risco, entre tantos outros pontos.
Recentemente, vimos as atividades do aplicativo de mensagens Whatsapp serem suspensas pelo período de 12 horas em todo o território nacional, devido ao não cumprimento da quebra de sigilo de mensagens de pessoas suspeitas, solicitado pela Justiça. Nesta semana, o presidente-executivo do WhatsApp, Jan Koum, comentou sobre a questão criada com o governo brasileiro: "Nós não vamos ceder e abrir a nossa criptografia para ninguém”, disse. Em 2013, o Superior Tribunal de Justiça (STJ) também determinou que o Google Brasil quebrasse o sigilo de comunicações para o Gmail. Estes são exemplos reais de como a privacidade de dados está entrando em conflito com a regulação.
Com a adoção massiva da computação em nuvem pelas empresas, juntamente com uma mudança para plataformas móveis, sabemos que controlar a localização física dos dados e estar em compliance com as regulações de privacidade é um grande desafio.
Um estudo global realizado pela Ovum em novembro de 2015, a pedido da Intralinks, mostrou que mais de 70% dos entrevistados esperam aumentar os gastos, a fim de atender às exigências de soberania de dados. Dos que planejam atualizar as estratégias de privacidade de dados nos próximos três anos, 38% esperam contratar especialistas no assunto, e 27% vão contratar um CPO (Chief Privacy Officer).
O estudo ainda mostrou um fato alarmante: muitas organizações não estão fazendo uso das tecnologias já disponíveis que protegem dados sensíveis. Apenas 44% dos entrevistados acompanham as atividades dos usuários e fornecem alertas para violações na política de dados, e apenas 53% classificam as informações para alinhar com controles de acesso. Quase metade (47%) não têm políticas ou controles que regulem o acesso ao armazenamento em nuvem de nível consumidor e a sistemas de compartilhamento de arquivos, como o Dropbox, por exemplo.
Como as corporações devem se preparar?
Enquanto as novas regulações são discutidas, as corporações precisam afunilar suas estratégias de governança da informação para se aproximarem das novas diretrizes quando estas forem oficializadas. Essas estratégias precisam ser gerenciadas por um time de executivos de alto escalão (CIOs, CPOs, CISOs), que devem estabelecer controles, políticas e procedimentos para manter a conformidade.
Uma boa governança começa por identificar os principais riscos para a organização. A avaliação dos riscos à privacidade deve iniciar com a classificação das informações em categorias amplas (por exemplo, informações de identificação pessoal, informações confidenciais da empresa) e então mapeá-las aos processos de negócios existentes e às localidades geográficas relacionadas. O próximo passo é identificar e revisar as regulações de privacidade pertinentes a cada jurisdição em que a empresa opera – poderá ser preciso mudar processos de negócios para atender às demandas regulatórias. Mantenha e faça bom uso das ferramentas já existentes na empresa que possam ajudar com a governança, e interrompa o uso de ferramentas não corporativas utilizadas pelos funcionários (aplicações de nível consumidor, por exemplo), que aumentam os riscos de segurança para a empresa.
Por fim, tenha em mente que os desafios da privacidade e soberania de dados são complexos e envolvem todo o negócio e, por isso, todos os setores precisam trabalhar em conjunto. Educar o quadro de colaboradores é tão crítico quanto implementar soluções de tecnologia para gerenciar os fluxos de dados. Os investimentos precisam se estender à tecnologia, processos e atividades dos funcionários.
* Por Cláudio Yamashita, diretor geral da Intralinks no Brasil