ccpa-data-privacy

A CCPA e o crescente papel das leis de privacidade de dados

Em vez de reagir a cada legislação aprovada, as organizações devem levar em consideração a implementação da segurança de dados no início do projeto.

Colaboradores: Jimma Elliott-Stevens, Christopher EvansStephen NolanNirmal Ranganathan

Os esforços para proteção dos dados do consumidor evoluíram muito com a promulgação de 1º de janeiro da Lei de Privacidade do Consumidor da Califórnia (CCPA). A Califórnia, por ser uma das maiores economias do mundo, é oficialmente o primeiro estado a aprovar uma legislação abrangente sobre a proteção da privacidade dos dados dos consumidores. A CCPA segue o conhecido Regulamento Geral sobre Proteção de Dados (GDPR) da Europa. No entanto, até o momento, nenhum outro estado adotou legislação semelhante.

Embora a CCPA possa ser atualmente uma anomalia nos Estados Unidos, acredita-se que ela e demais legislações semelhantes resultarão em uma legislação ainda mais regionalizada sobre a proteção dos dados dos consumidores. Cada vez mais, os consumidores exigem saber quem está de posse de suas informações e como elas estão sendo utilizadas. À medida em que as empresas começam a ver o impacto de punições e multas relacionadas com o não atendimento à GDPR, e enquanto você analisa qual legislação pode estar por vir, é importante entender o que isso significa para o seu negócio.

As organizações podem ajudar a mitigar os desafios criados por legislações futuras, garantindo que todas as estratégias de dados se concentrem em segurança. Em vez de reagir a cada parte da legislação quando é aprovada, as organizações devem levar em consideração a privacidade e a governança de dados em todos os aspectos de seus negócios e tomar decisões importantes considerando a proteção de dados.

O que está motivando a nova legislação?

Grande parte da nova legislação que estamos vendo nasce do caos causado pelas violações de dados cada vez maiores e mais frequentes, e da consequente preocupação do cliente com essas violações.

Grandes violações de dados como as do Facebook e Equifax comprometeram as informações de identificação pessoal de muitos milhares de pessoas, que agora preocupam-se com o fato de seus dados confidenciais estarem disponíveis por aí para qualquer um acessar e usar. Leis como a CCPA procuram controlar os dados para que os consumidores conheçam seus direitos sobre a localização de seus dados, o direito de serem esquecidos, como seus dados estão sendo usados e armazenados e com quem esses dados estão sendo compartilhados.

As violações são financeiramente onerosas e geralmente causam danos à marca e à reputação da organização atingida. Além disso, as violações estão aumentando, pois os hackers continuam tornando-se mais sofisticados. Por isso, as empresas precisam ter um plano forte para proteção de dados, incluindo o monitoramento contínuo da segurança por profissionais de segurança qualificados.

Embora vários setores, especialmente as organizações de serviços financeiros e de saúde, tenham, há muito tempo, adotado ações para proteger os dados pessoais, para muitos outros setores, a governança de dados e a privacidade dos dados do consumidor são considerações relativamente novas e são legislações como GDPR e CCPA que geralmente geram as mudanças.

Estamos caminhando na direção de um padrão mundial?

Embora a legislação de privacidade de dados provavelmente continue a ser implementada em novas regiões nos próximos anos, é pouco provável que algum dia vejamos um padrão aplicado em âmbito mundial no que diz respeito à privacidade e ao gerenciamento de dados. A realidade é que não é provável que países em diversas regiões do mundo atinjam o nível de coesão necessário para concordar e aprovar uma legislação unificada. Por exemplo, há uma legislação na região Ásia-Pacífico que é ainda mais rigorosa que a GDPR e a CCPA, enquanto países como Rússia e China têm leis que tornam ilegal a retirada física dos dados do país. É difícil imaginar um cenário em que esses países venham a concordar sobre exatamente o que precisa ser incluído em uma legislação única.

Outro obstáculo que se opõe a um padrão mundial de privacidade é a aplicação da conformidade. Com tantos requisitos distintos atualmente em vigor de um país a outro, e com a imensa variação regional entre organização e supervisão do governo, é improvável que haja algum dia uma aplicação uniforme da conformidade.

Um cenário mais provável é que as leis de proteção de dados permaneçam sendo criadas e aplicadas no âmbito local, tornando o redimensionamento dos dados uma tarefa mais desafiadora em todas as regiões e levando algumas organizações a perceber que atender a algumas regiões será menos lucrativo do que atender a outras.

Os países continuarão a adotar abordagens mais conservadoras e regionalizadas dos acordos de proteção de dados, o que pode gerar desafios para as empresas. Por isso é importante que a segurança de dados seja considerada no início do projeto.

Como implementar a segurança de dados no inicio do projeto

O conceito da “segurança de dados no início do projeto” é a suposição de que a sua empresa será afetada pela legislação.

Geralmente, faz mais sentido implementar práticas de segurança de dados que permitam que a sua empresa cumpra todas as novas legislações. Embora a sua empresa talvez tenha que se adaptar a uma nova legislação no futuro, a chance de que ela já esteja próxima da conformidade será maior se implementar os princípios adequados.

Veja aqui algumas maneiras de implementar segurança de dados no inicio do projeto:

Uma abordagem sustentada por três pilares

Recomenda-se adotar prioridades orientadas por executivos para segurança e proteção da privacidade dos dados. Trata-se de uma iniciativa de nível executivo, que deve ser reconhecida pelo CEO e pelo conselho geral como requisito básico para os negócios. Não há exceção para essa regra. A segurança e a proteção de dados devem estar no roteiro da empresa e devem ser priorizadas em toda a empresa.

É necessário que a gestão da privacidade de dados faça parte do estatuto da sua empresa, seja incorporada aos KPIs e relatada em análises operacionais recorrentes. Além disso, defendemos uma abordagem sustentada por três pilares para a segurança dos dados no início do projeto. Para ter sucesso em suas práticas, será necessário implementar as seguintes equipes:

  • Jurídica: é preciso contar com advogados para decifrar os requisitos e ajudar a conhecer exatamente o impacto que as diversas leis exercerão sobre o seu negócio.
  • Arquitetos e especialistas em tecnologia e segurança: essa equipe criará e fará a arquitetura das soluções necessárias para atender os requisitos.
  • Equipe de conformidade e risco: essa equipe implementará os processos e as auditorias adequados para ajudar a garantir a conformidade contínua.

A experiência técnica trazida por cada equipe deve ser profunda, para ajudar a garantir o atendimento adequado das preocupações relacionadas aos dados, específicas para o seu setor e a sua empresa.

Nomeie um diretor executivo de dados (Chief Data Officer, ou CDO) e crie um escritório de governança de dados

Analise a possibilidade de contratar ou nomear um diretor executivo de dados e criar um escritório de governança de dados. O escritório de governança de dados terá como responsabilidade os esforços relacionados à segurança de dados e as ações diárias de manutenção desses esforços. O seu objetivo, e o objetivo do escritório de governança de dados, é proporcionar à sua empresa uma visão bem definida dos dados que você possui no momento e permitir a tomada de decisões estratégicas baseadas nos dados disponíveis.

A função do CDO constitui uma combinação das funções do CTO, do CIO e do CISO. Cada um desses indivíduos tem responsabilidades relacionadas e a interseção dessas responsabilidades será exatamente o campo de ação do CDO. Caso creia ainda não haver aplicação comercial suficiente para um cargo independente de CDO, pode também dar ao CIO ou ao CISO o desempenho dessa função.

Comece concentrando-se no fim

Mesmo que a sua empresa não seja afetada por nenhuma legislação recente relacionada à proteção de dados, é importante presumir que um dia ela será. Comece a planejar agora. Se estiver inaugurando uma nova iniciativa ou um novo projeto e considerando a conformidade e a segurança desde o início, poderá evitar muitos problemas quando a nova legislação for lançada. Mesmo que você não cumpra totalmente a legislação atual, considerar a conformidade no desenvolvimento da arquitetura de um novo projeto trará para a sua empresa vantagens que não teria sem essa atitude.

Escolha uma abordagem que você possa manter de maneira razoável

Há algumas maneiras distintas de começar a elaborar o plano de proteção de privacidade de dados da sua empresa, e a maneira que escolher para projetar o seu plano dependerá de seus negócios específicos.

Muitas organizações optam por adotar uma abordagem conservadora, aplicando o regulamento mais rigoroso de forma global. Geralmente, essa é a maneira mais eficiente e eficaz de antecipar-se à legislação de privacidade de dados e, como provável resultado, a empresa excederá os requisitos da legislação em algumas áreas. Além disso, não será necessário preocupar-se em lidar com vários tipos de implementações de sistema para regulamentos distintos.

A desvantagem da abordagem conservadora é a possibilidade de perder o acesso a determinados clientes. Por exemplo, se optar por seguir a GDPR em vez da CAN-SPAM, por ser a abordagem mais rigorosa no que se refere à privacidade dos dados, sua empresa poderá perder parte do público-alvo de marketing com base nos requisitos extras de adesão impostos pela GDPR.

Se perder essas oportunidades de marketing for um fator decisivo para a sua empresa, você poderá optar por seguir níveis diferentes de rigor em áreas diferentes da sua empresa. Lembre-se de que se optar por essa abordagem, será necessário ter recursos de gestão disponíveis para apoiar a aplicação de várias diretrizes nas várias áreas da sua empresa.

Dependendo da localização dos ativos, poderá ser necessário regionalizar seus dados para atender à soberania dos dados. Para muitas organizações, é mais barato (ou exigido pelos requisitos de segurança do país) manter os dados na região. Os dados regionalizados levantam considerações próprias, entre elas a arquitetura ou a fragmentação dos dados regionalizados, os requisitos de computação e armazenamento em multinuvem e os custo associados.

A escolha de uma abordagem exige a identificação do método que mais agrega valor à sua empresa, comparado aos limites do que você pode manter de forma coerente. Se não puder oferecer suporte a tipos diversos de gestão de dados, recomenda-se então adotar um único padrão em toda a empresa. A implementação de uma nova estratégia pode parecer uma tarefa demasiadamente pesada. Entretanto, é a manutenção do programa que definirá o sucesso ou o fracasso da conformidade.

Programe auditorias regulares para monitorar as metas de segurança e conformidade

A legislação de proteção de dados raramente é estática. Portanto, há muito trabalho a ser feito além da definição da abordagem. A conformidade é um esforço contínuo e será necessário realizar auditorias regulares para garantir que tudo esteja no caminho certo. Algumas legislações podem exigir auditorias mais frequentes mas, normalmente, uma auditoria por ano é suficiente. Use essas auditorias como oportunidades para reanalisar os regulamentos em vigor e reunir informações sobre o desempenho das práticas de conformidade da sua empresa.

Conclusão: a segurança dos dados no início do projeto beneficia a todos

Agora que os clientes estão tendo mais controle sobre a localização dos seus dados e como são usados, as empresas devem analisar formas de abordar a gestão da privacidade dos dados.

A evolução da proteção dos dados continuará tornando-se mais regulamentada e ganhará mais escopo e requisitos. Uma provável evolução incluirá requisitos relacionados ao monitoramento de segurança dos dados protegidos, semelhante aos requisitos da GDPR aplicados hoje em dia. Planejar-se para isso desde o início ajudará a garantir que seus ativos e negócios estejam preparados para a próxima regulamentação. As empresas que não se planejam com antecedência lutam para vencer cada novo obstáculo, um de cada vez.

Embora a implementação da segurança dos dados no início do projeto gere alguns custos iniciais, você está protegendo a sua empresa no longo prazo contra a perda de receita e reputação na eventualidade de uma violação de dados. Ser proativo é o melhor a fazer para proteger os seus clientes e a sua organização.

 

Join the Conversation: Find Solve on Twitter and LinkedIn, or follow along via RSS.

Stay on top of what's next in technology

Learn about tech trends, innovations and how technologists are working today.

Subscribe

Photo by Philipp Katzenberger on Unsplash

Melhore a segurança no mundo multinuvem

About the Authors

Subroto Mukerji, President, Americas Region

President, Americas Region

Subroto Mukerji

Subroto is President of the Americas region of Rackspace Technology®. He previously held the position of Chief Operating Officer. Subroto is focused on delivering profitable revenue growth and Fanatical Experience™ to customers while continuing the tradition of Rackspace Technology being best place to work for all locations throughout the Americas region. Before joining Rackspace Technology, Subroto was Vice President and General Manager at DXC Technology, a $25 billion publicly traded IT services company, where he was responsible for up to $2.5 billion in annual revenue across the travel, transportation, automotive, energy, consumer and retail industries. He has held leadership positions at Hewlett-Packard, Hewlett Packard Enterprise, Digital GlobalSoft and Wipro. His specialties include profit management, customer engagement, growth strategy and global leadership. His deep expertise in change management has successfully led teams through periods of robust digital transformation and evolution. Subroto received his Master of Management Studies degree at Birla Institute of Technology and Science in Rajasthan, India, where he completed a five-year integrated program with three years of general engineering and two years of management education.

Read more about Subroto Mukerji