O impacto das legislações de privacidade no mundo de TI

Conformidade requer a criação de uma série de novos processos na área

Thoran Rodrigues

08/05/2019

Quase todos os dias são noticiadas novas histórias sobre o descaso generalizado que existe no trato com os dados. Não importa se estamos falando de gigantes do universo de tecnologia, de governos, ou de pequenas empresas ao redor do mundo. A verdade é que todo tipo de organização apresenta problemas na coleta e no tratamento das informações, das mais diferentes formas e pelos mais variados motivos.

 

Por vezes, os vazamentos ocorrem devido a ações maliciosas de terceiros, que atacam sistemas que não estão protegidos, roubam informações e depois procuram vender os dados roubados para obter algum ganho financeiro. Outras vezes, os ataques podem acontecer por motivos mais complexos, como a tentativa de se tirar algum competidor do mercado, ou enfraquecer alguma organização governamental. Em outras situações, ainda, os vazamentos ocorrem devido à falta de cuidado das próprias organizações, que deixam os dados em ambientes desprotegidos, ou mesmo totalmente abertos à internet. Independentemente do motivo, a realidade é que existem dezenas de ferramentas e métodos gratuitos ou de open-source que podem ser baixados da internet para qualquer pessoa que deseje explorar vulnerabilidades e atacar sistemas.

 

Além do descaso das empresas e da disponibilidade de ferramentas que facilitam os ataques de atores mal-intencionados, temos a concentração cada vez maior de dados nas mãos de empresas privadas. Sempre que acessamos um site, fazemos uma busca, ou simplesmente preenchemos um cadastro para ter acesso à uma rede de wi-fi, acabamos por compartilhar um volume enorme de informações pessoais, sem termos a menor ideia do que vai ser feito com ele e de como isso vai nos afetar no futuro. As empresas que coletam esses dados, por sua vez, tornam-se alvos para criminosos digitais.

 

É nesse contexto que surgem as novas legislações de privacidade com o objetivo de forçar as empresas e as organizações a aumentar os cuidados que têm sobre os dados dos indivíduos e, ao mesmo tempo, garantir alguns direitos básicos para todas as pessoas sobre as suas próprias informações. A primeira legislação desse tipo a ser aprovada e a entrar em vigor foi a GDPR (General Data Protection Rules), da União Europeia. A verdade é que, cada vez mais, países têm seguido o mesmo modelo regulatório para criar leis próprias. No Brasil, temos a Lei Geral de Proteção de Dados (LGPD), aprovada e sancionada em 2018, com data prevista de entrada em vigor de agosto de 2020.

 

Um ponto interessante tanto da GDPR quanto da LGPD é que ambas possuem um modelo “viral”, muito similar aos de licenças de software open source, como a GNU-GPL. Desta forma, todas as empresas que atuam na cadeia de informação podem ser responsabilizadas conjuntamente por um problema que aconteça em qualquer uma delas. Assim, quando uma organização coleta os dados de seu usuário e os armazena em um datacenter que não tem as proteções adequadas, ocasionando um vazamento de dados, tanto aquela empresa quanto o seu fornecedor de infraestrutura são responsáveis e sujeitos a multas. Ou, quando se armazena os dados em uma plataforma de CRM na nuvem, e a plataforma não segue os padrões de segurança necessários, fazendo com que os dados sejam vazados, tanto quem armazenou os dados, quanto a plataforma usada para tanto são corresponsabilizados e multados em conjunto.

 

Essa “viralidade” aumenta exponencialmente o alcance da legislação, forçando a adequação não só das empresas que atuam diretamente com usuários finais mas, ainda, a de todos que, de alguma forma, manipulam ou recebem dados. Esta característica da lei também significa que até mesmo as empresas brasileiras precisam se adequar à legislação de outros países, como a GDPR, não só nos casos em que atendem cidadãos desses outros países, mas quando participam de qualquer cadeia de informação de outras empresas sujeitas à adequação dos novos marcos legais ao redor do mundo.

 

A conformidade a essas legislações de privacidade requer a criação ou ajuste de uma série de processos que envolvem diretamente as áreas de TI das empresas. Na verdade, sem a participação e o buy-in da equipe de tecnologia, a tarefa torna-se praticamente impossível. Assim, a compreensão da legislação e dos seus impactos por parte dos líderes técnicos das empresas é fundamental para evitar que sofram as consequências da não-conformidade com a lei a partir de 2020, quando entrará em vigor. O processo de adaptação envolve três grandes níveis, que vamos explorar em mais detalhes a seguir.

 

Novos processos e responsabilidades

 

A LGPD garante aos indivíduos alguns direitos básicos no seu relacionamento e na troca de dados e informações com as empresas. Cada um desses direitos exige a elaboração e implantação de um (ou mais) processos dentro das empresas. O primeiro, e talvez o que vem sendo mais falado na mídia e nos grupos de discussão relacionados ao tema, é o direito ao esquecimento, o qual garante aos usuários a possibilidade de pedir que as empresas apaguem de seus bancos de dados e sistemas quaisquer informações que possuam sobre eles.

 

À primeira vista, a implantação de um processo para atender a esse requisito parece bem simples: se o usuário pedir, acessamos o banco e deletamos os registros. A realidade, no entanto, é mais complexa. Como ficam, por exemplo, as trilhas de auditoria relacionadas com as operações do seu sistema? Você está preparado para lidar com a situação de um registro de usuário que desaparece totalmente de uma hora para outra? Até mesmo um sistema de relatórios ou B.I., utilizado por analistas de negócios e sem a menor interação com o usuário, pode ser impactado indevidamente quando informações começam a ser apagadas de forma indiscriminada. A remoção das informações do usuário, portanto, deve ser realizada com cuidado e levando em consideração todos os seus impactos nos diferentes sistemas.

 

Um outro ponto importante relacionado ao direito do esquecimento são os outros requisitos regulatórios aos quais as empresas estão submetidas. Uma empresa do ramo financeiro, por exemplo, precisa manter registros de clientes e transações de 5 a 15 anos, conforme o caso. Assim, ela não pode, simplesmente, remover as informações do usuário quando ele pede, porque descumprirá esse requisito. Portanto, faz-se necessário estruturar um modelo de remoção lógica das informações, com múltiplas camadas de dados, que garanta o isolamento e a restrição de acesso aos dados para todos os sistemas, exceto aos regulatórios. As empresas de telefonia são outro exemplo interessante, porque são obrigadas judicialmente a manter os registros, não só dos usuários, mas das ligações realizadas. Assim, antes de partir para a implementação de um processo de remoção de dados, é fundamental se mapear quais são os requisitos e leis, além da LGPD, às quais a empresa está submetida.

 

Um segundo direito importante que a legislação confere aos indivíduos é o chamado direito de explicação. Ele garante a possibilidade de as pessoas terem o poder de entrar em contato com qualquer empresa com a qual tenham algum tipo de relacionamento e pedir a lista completa das informações que aquela organização tem sobre elas, bem como um descritivo de tudo que está sendo feito com esses dados. Esse direito envolve dois processos cruciais. O primeiro é o de exportação dos dados em um formato legível e acessível a qualquer um. Um processo de exportação dessa natureza pode ser bem complexo, especialmente quando os dados estão isolados em silos nas diferentes áreas de negócio — uma situação muito comum nas empresas.

 

O outro processo é a explicação do que está sendo feito com os dados. Com a proliferação de plataformas que permitem a manipulação de dados ou a sua aplicação em modelos ou processos de tomada de decisão sem a necessidade de programação ou envolvimento da área de T.I., a maioria das corporações vive uma realidade em que os processos de negócios e as regras e atividades codificadas estão descentralizadas. Assim, explicar para uma pessoa exatamente o que é feito — e como é feito — com os seus dados pode ser um grande desafio. Para atender a esse requisito, é fundamental o relacionamento próximo com as áreas de negócio e a criação de repositórios unificados para os processos e regras de tomada de decisão.

 

Finalmente, todas as empresas precisam se preparar para as inevitáveis auditorias e avaliações que ocorrerão, uma vez que a lei esteja plenamente em vigor, a partir de agosto de 2020. A força de qualquer legislação está diretamente relacionada ao seu nível de fiscalização. Com a LGPD não será diferente. As empresas precisam estar prontas para lidar com as reclamações e pedidos de verificação que chegarão, seja por meio da justiça ou do órgão regulatório da área.

 

Ajustes em contratos e relacionamentos

 

Como foi explicado acima, uma das características inovadoras da LGPD é a amarração da responsabilidade em toda a cadeia de empresas que lidam com a informação. Não importa se estamos falando de uma empresa que coletou os dados do usuário, de uma plataforma de processamento de dados, ou mesmo de um fornecedor de infraestrutura de computação. Na hora em que ocorrer um vazamento, todas as empresas da cadeia são corresponsabilizadas em conjunto. Isso faz com que as próprias empresas passem a se policiar e se relacionar apenas com outras empresas que estejam atuando de acordo com a lei, reduzindo o fardo de fiscalização que recai sobre os órgãos públicos.

 

Isso também significa que, para estar em plena conformidade com a lei, é fundamental se fazer uma avaliação completa de todos os relacionamentos contratuais que a sua empresa possui, especialmente com fornecedores que, de alguma forma, estão envolvidos com qualquer tipo de trabalho ou manipulação de dados. Se a empresa utiliza, por exemplo, plataformas SaaS para seu CRM, ERP, ou qualquer outra finalidade que envolva dados dos clientes, é preciso se certificar de que essas plataformas estão plenamente adequadas aos requisitos da lei, e também que estejam prontas para atender às requisições relacionadas ao direito de esquecimento e ao direito de explicação. Se um usuário pedir a remoção dos dados dele, não basta apagar os dados apenas em seus sistemas internos. Será preciso garantir que as informações compartilhadas com terceiros também sejam apagadas dos seus sistemas.

 

Na prática, a adequação à lei começa no processo de seleção de fornecedores. É fundamental educar as áreas de negócio e os usuários finais das ferramentas sobre a importância de se trabalhar com empresas que estejam adequadas à legislação, e garantir, por meio das devidas cláusulas nos contratos de prestação de serviços, essa adequação. As cláusulas, no entanto, não são suficientes. É importante ir além e estar pronto para auditar os fornecedores com relação ao cumprimento da lei. Afinal, se algo acontecer com os dados compartilhados, a sua empresa também será responsabilizada junto com o terceiro, sujeita às mesmas punições e multas.

 

Garantia da segurança da informação

 

Um outro ponto importante da LGPD e de outras legislações de privacidade similares é a obrigação das empresas seguirem as “boas práticas de mercado”, principalmente com relação à segurança da informação. Isso faz com que as áreas de segurança, vistas historicamente como “atrapalhadoras” dos processos de negócios, passem a ser fundamentais em qualquer situação que envolva dados de clientes, forçando uma maior consciência das áreas de negócios com relação à proteção das informações internas da empresa.

 

Muitas das chamadas boas práticas já são amplamente conhecidas, mesmo que não sejam amplamente praticadas. A segurança e a proteção começam com um entendimento claro do nível de exposição e do risco que a empresa tem. A forma de se chegar a esse entendimento dá-se por meio de testes de vulnerabilidade, nos quais uma empresa de segurança é contratada para tentar invadir os sistemas em questão e determinar onde estão os pontos fracos da sua segurança. Com o resultado de um teste desse tipo em mãos, fica muito mais fácil adequar os processos e implantar os controles necessários para proteger as informações dos usuários.

 

Os processos e controles, por sua vez, também são conhecidos. A criptografia dos dados é fundamental para minimizar o risco de exposição, mesmo que ocorra uma invasão dos sistemas das empresas. Isto vale tanto quando os dados estão em trânsito — por meio de HTTPS ou outros protocolos seguros na internet, ou de redes privadas isoladas para as intranets — ou quando estão em repouso — com a criptografia de discos rígidos e bancos de dados.

 

Infelizmente, estudos recentes mostram que a maioria das áreas de tecnologia e dos desenvolvedores são preguiçosos quando o assunto é segurança. Apesar de conhecerem os métodos e mecanismos necessários para proteger as informações dos usuários, na grande maioria dos casos eles não são aplicados e os dados ficam expostos para o mundo, resultando nas centenas de vazamentos de informações que são constantemente noticiados na mídia.

 

O envolvimento e o engajamento das áreas de projetos e de desenvolvimento, então, é fundamental, para garantir que os sistemas internos estejam de acordo com os requisitos da legislação. Mesmo que os projetos atrasem, os requisitos de segurança não podem ser deixados de lado, porque o custo de um erro de implementação pode acabar com a empresa.

 

No entanto, não é só no desenvolvimento de software que existe o risco de vazamento de dados. As áreas responsáveis pela análise de informações também representam um grande risco para as organizações, uma vez que analistas geralmente têm acesso a informações detalhadas de clientes e das operações. E, os dados com os quais lidam, muitas vezes, são exportados de sistemas internos para ambientes não seguros, para a construção de relatórios, ou para apresentações e outros tipos de análise. O desafio da segurança com essas áreas está em manter o acesso a informação e, simultaneamente, minimizar o risco.

 

Uma das melhores soluções para essa situação é a codificação ou anonimização dos dados para a análise. Embora uma área de BI geralmente precise ter acesso a informações individualizadas dos clientes da empresa, na maioria dos casos não é necessário o acesso à identidade individual dos clientes, apenas ao seu comportamento. Assim, é possível a montagem de estruturas de codificação dos dados que removam dos mesmos quaisquer elementos que permitam a identificação de um indivíduo, e, ainda assim, manter a visão individualizada. Dessa forma, mesmo que aconteça um vazamento das informações utilizadas na análise, não será comprometida a identidade, nem os dados pessoais, de nenhum cliente da empresa.

 

Conclusão

 

Nem as questões de privacidade, nem as legislações e regulamentações criadas em decorrência delas, são passageiras. Os dados são a principal matéria-prima da nova economia que se estabelece. E, como qualquer outro tipo de matéria-prima — petróleo, água, energia, minérios etc. — deve ter a sua captação, o seu uso e a sua revenda devidamente regulados, ao invés da situação atual, na qual o uso é totalmente livre de controles.

 

As preocupações dos indivíduos com relação a seus próprios dados também não desaparecerão. Ao contrário: serão reforçadas com o passar do tempo. Quanto mais as pessoas se atentam para o descaso com o qual as empresas tratam suas informações pessoais e quanto maior for o impacto social desse descaso, maior a pressão da sociedade para a criação de leis que protejam, fiscalizem e imponham essas leis sobre a iniciativa privada.

 

Nesse contexto, a LGPD, a GDPR, e outras legislações similares, representam uma grande oportunidade. Quanto mais rápido as empresas se adequarem, mas fortemente estarão se posicionando com relação à privacidade e à proteção de seus usuários perante a sociedade. Para as áreas de TI, o novo marco legal se apresenta como uma oportunidade única de assumirem a liderança de um importante processo de transformação pelo qual todas as empresas do Brasil precisarão passar e de retomar um protagonismo no trabalho com informação dentro das companhias.