Article (leitura de 9 minutos)

A CCPA e o crescente papel das leis de privacidade de dados

Em vez de reagir a cada legislação aprovada, as organizações devem levar em consideração a implementação da segurança de dados no início do...

Subroto Mukerji / Rackspace

Colaboradores: Jimma Elliott-Stevens, Christopher EvansStephen NolanNirmal Ranganathan

Os esforços para proteção dos dados do consumidor evoluíram muito com a promulgação de 1º de janeiro da Lei de Privacidade do Consumidor da Califórnia (CCPA). A Califórnia, por ser uma das maiores economias do mundo, é oficialmente o primeiro estado a aprovar uma legislação abrangente sobre a proteção da privacidade dos dados dos consumidores. A CCPA segue o conhecido Regulamento Geral sobre Proteção de Dados (GDPR) da Europa. No entanto, até o momento, nenhum outro estado adotou legislação semelhante.

Embora a CCPA possa ser atualmente uma anomalia nos Estados Unidos, acredita-se que ela e demais legislações semelhantes resultarão em uma legislação ainda mais regionalizada sobre a proteção dos dados dos consumidores. Cada vez mais, os consumidores exigem saber quem está de posse de suas informações e como elas estão sendo utilizadas. À medida em que as empresas começam a ver o impacto de punições e multas relacionadas com o não atendimento à GDPR, e enquanto você analisa qual legislação pode estar por vir, é importante entender o que isso significa para o seu negócio.

As organizações podem ajudar a mitigar os desafios criados por legislações futuras, garantindo que todas as estratégias de dados se concentrem em segurança. Em vez de reagir a cada parte da legislação quando é aprovada, as organizações devem levar em consideração a privacidade e a governança de dados em todos os aspectos de seus negócios e tomar decisões importantes considerando a proteção de dados.

O que está motivando a nova legislação?

Grande parte da nova legislação que estamos vendo nasce do caos causado pelas violações de dados cada vez maiores e mais frequentes, e da consequente preocupação do cliente com essas violações.

Grandes violações de dados como as do Facebook e Equifax comprometeram as informações de identificação pessoal de muitos milhares de pessoas, que agora preocupam-se com o fato de seus dados confidenciais estarem disponíveis por aí para qualquer um acessar e usar. Leis como a CCPA procuram controlar os dados para que os consumidores conheçam seus direitos sobre a localização de seus dados, o direito de serem esquecidos, como seus dados estão sendo usados e armazenados e com quem esses dados estão sendo compartilhados.

As violações são financeiramente onerosas e geralmente causam danos à marca e à reputação da organização atingida. Além disso, as violações estão aumentando, pois os hackers continuam tornando-se mais sofisticados. Por isso, as empresas precisam ter um plano forte para proteção de dados, incluindo o monitoramento contínuo da segurança por profissionais de segurança qualificados.

Embora vários setores, especialmente as organizações de serviços financeiros e de saúde, tenham, há muito tempo, adotado ações para proteger os dados pessoais, para muitos outros setores, a governança de dados e a privacidade dos dados do consumidor são considerações relativamente novas e são legislações como GDPR e CCPA que geralmente geram as mudanças.

Estamos caminhando na direção de um padrão mundial?

Embora a legislação de privacidade de dados provavelmente continue a ser implementada em novas regiões nos próximos anos, é pouco provável que algum dia vejamos um padrão aplicado em âmbito mundial no que diz respeito à privacidade e ao gerenciamento de dados. A realidade é que não é provável que países em diversas regiões do mundo atinjam o nível de coesão necessário para concordar e aprovar uma legislação unificada. Por exemplo, há uma legislação na região Ásia-Pacífico que é ainda mais rigorosa que a GDPR e a CCPA, enquanto países como Rússia e China têm leis que tornam ilegal a retirada física dos dados do país. É difícil imaginar um cenário em que esses países venham a concordar sobre exatamente o que precisa ser incluído em uma legislação única.

Outro obstáculo que se opõe a um padrão mundial de privacidade é a aplicação da conformidade. Com tantos requisitos distintos atualmente em vigor de um país a outro, e com a imensa variação regional entre organização e supervisão do governo, é improvável que haja algum dia uma aplicação uniforme da conformidade.

Um cenário mais provável é que as leis de proteção de dados permaneçam sendo criadas e aplicadas no âmbito local, tornando o redimensionamento dos dados uma tarefa mais desafiadora em todas as regiões e levando algumas organizações a perceber que atender a algumas regiões será menos lucrativo do que atender a outras.

Os países continuarão a adotar abordagens mais conservadoras e regionalizadas dos acordos de proteção de dados, o que pode gerar desafios para as empresas. Por isso é importante que a segurança de dados seja considerada no início do projeto.

Como implementar a segurança de dados no inicio do projeto

O conceito da “segurança de dados no início do projeto” é a suposição de que a sua empresa será afetada pela legislação.

Geralmente, faz mais sentido implementar práticas de segurança de dados que permitam que a sua empresa cumpra todas as novas legislações. Embora a sua empresa talvez tenha que se adaptar a uma nova legislação no futuro, a chance de que ela já esteja próxima da conformidade será maior se implementar os princípios adequados.

Veja aqui algumas maneiras de implementar segurança de dados no inicio do projeto:

Uma abordagem sustentada por três pilares

Recomenda-se adotar prioridades orientadas por executivos para segurança e proteção da privacidade dos dados. Trata-se de uma iniciativa de nível executivo, que deve ser reconhecida pelo CEO e pelo conselho geral como requisito básico para os negócios. Não há exceção para essa regra. A segurança e a proteção de dados devem estar no roteiro da empresa e devem ser priorizadas em toda a empresa.

É necessário que a gestão da privacidade de dados faça parte do estatuto da sua empresa, seja incorporada aos KPIs e relatada em análises operacionais recorrentes. Além disso, defendemos uma abordagem sustentada por três pilares para a segurança dos dados no início do projeto. Para ter sucesso em suas práticas, será necessário implementar as seguintes equipes:

  • Jurídica: é preciso contar com advogados para decifrar os requisitos e ajudar a conhecer exatamente o impacto que as diversas leis exercerão sobre o seu negócio.
  • Arquitetos e especialistas em tecnologia e segurança: essa equipe criará e fará a arquitetura das soluções necessárias para atender os requisitos.
  • Equipe de conformidade e risco: essa equipe implementará os processos e as auditorias adequados para ajudar a garantir a conformidade contínua.

A experiência técnica trazida por cada equipe deve ser profunda, para ajudar a garantir o atendimento adequado das preocupações relacionadas aos dados, específicas para o seu setor e a sua empresa.

Nomeie um diretor executivo de dados (Chief Data Officer, ou CDO) e crie um escritório de governança de dados

Analise a possibilidade de contratar ou nomear um diretor executivo de dados e criar um escritório de governança de dados. O escritório de governança de dados terá como responsabilidade os esforços relacionados à segurança de dados e as ações diárias de manutenção desses esforços. O seu objetivo, e o objetivo do escritório de governança de dados, é proporcionar à sua empresa uma visão bem definida dos dados que você possui no momento e permitir a tomada de decisões estratégicas baseadas nos dados disponíveis.

A função do CDO constitui uma combinação das funções do CTO, do CIO e do CISO. Cada um desses indivíduos tem responsabilidades relacionadas e a interseção dessas responsabilidades será exatamente o campo de ação do CDO. Caso creia ainda não haver aplicação comercial suficiente para um cargo independente de CDO, pode também dar ao CIO ou ao CISO o desempenho dessa função.

Comece concentrando-se no fim

Mesmo que a sua empresa não seja afetada por nenhuma legislação recente relacionada à proteção de dados, é importante presumir que um dia ela será. Comece a planejar agora. Se estiver inaugurando uma nova iniciativa ou um novo projeto e considerando a conformidade e a segurança desde o início, poderá evitar muitos problemas quando a nova legislação for lançada. Mesmo que você não cumpra totalmente a legislação atual, considerar a conformidade no desenvolvimento da arquitetura de um novo projeto trará para a sua empresa vantagens que não teria sem essa atitude.

Escolha uma abordagem que você possa manter de maneira razoável

Há algumas maneiras distintas de começar a elaborar o plano de proteção de privacidade de dados da sua empresa, e a maneira que escolher para projetar o seu plano dependerá de seus negócios específicos.

Muitas organizações optam por adotar uma abordagem conservadora, aplicando o regulamento mais rigoroso de forma global. Geralmente, essa é a maneira mais eficiente e eficaz de antecipar-se à legislação de privacidade de dados e, como provável resultado, a empresa excederá os requisitos da legislação em algumas áreas. Além disso, não será necessário preocupar-se em lidar com vários tipos de implementações de sistema para regulamentos distintos.

A desvantagem da abordagem conservadora é a possibilidade de perder o acesso a determinados clientes. Por exemplo, se optar por seguir a GDPR em vez da CAN-SPAM, por ser a abordagem mais rigorosa no que se refere à privacidade dos dados, sua empresa poderá perder parte do público-alvo de marketing com base nos requisitos extras de adesão impostos pela GDPR.

Se perder essas oportunidades de marketing for um fator decisivo para a sua empresa, você poderá optar por seguir níveis diferentes de rigor em áreas diferentes da sua empresa. Lembre-se de que se optar por essa abordagem, será necessário ter recursos de gestão disponíveis para apoiar a aplicação de várias diretrizes nas várias áreas da sua empresa.

Dependendo da localização dos ativos, poderá ser necessário regionalizar seus dados para atender à soberania dos dados. Para muitas organizações, é mais barato (ou exigido pelos requisitos de segurança do país) manter os dados na região. Os dados regionalizados levantam considerações próprias, entre elas a arquitetura ou a fragmentação dos dados regionalizados, os requisitos de computação e armazenamento em multinuvem e os custo associados.

A escolha de uma abordagem exige a identificação do método que mais agrega valor à sua empresa, comparado aos limites do que você pode manter de forma coerente. Se não puder oferecer suporte a tipos diversos de gestão de dados, recomenda-se então adotar um único padrão em toda a empresa. A implementação de uma nova estratégia pode parecer uma tarefa demasiadamente pesada. Entretanto, é a manutenção do programa que definirá o sucesso ou o fracasso da conformidade.

Programe auditorias regulares para monitorar as metas de segurança e conformidade

A legislação de proteção de dados raramente é estática. Portanto, há muito trabalho a ser feito além da definição da abordagem. A conformidade é um esforço contínuo e será necessário realizar auditorias regulares para garantir que tudo esteja no caminho certo. Algumas legislações podem exigir auditorias mais frequentes mas, normalmente, uma auditoria por ano é suficiente. Use essas auditorias como oportunidades para reanalisar os regulamentos em vigor e reunir informações sobre o desempenho das práticas de conformidade da sua empresa.

Conclusão: a segurança dos dados no início do projeto beneficia a todos

Agora que os clientes estão tendo mais controle sobre a localização dos seus dados e como são usados, as empresas devem analisar formas de abordar a gestão da privacidade dos dados.

A evolução da proteção dos dados continuará tornando-se mais regulamentada e ganhará mais escopo e requisitos. Uma provável evolução incluirá requisitos relacionados ao monitoramento de segurança dos dados protegidos, semelhante aos requisitos da GDPR aplicados hoje em dia. Planejar-se para isso desde o início ajudará a garantir que seus ativos e negócios estejam preparados para a próxima regulamentação. As empresas que não se planejam com antecedência lutam para vencer cada novo obstáculo, um de cada vez.

Embora a implementação da segurança dos dados no início do projeto gere alguns custos iniciais, você está protegendo a sua empresa no longo prazo contra a perda de receita e reputação na eventualidade de uma violação de dados. Ser proativo é o melhor a fazer para proteger os seus clientes e a sua organização.

Join the Conversation: Find Solve on Twitter and LinkedIn, or follow along via RSS.

Sobre o autor

Chief Operating Officer

Subroto Mukerji

Subroto é o diretor executivo de operações da Rackspace, responsável por liderar as operações globais e as funções de tecnologia da empresa. Líder internacional com mais de 25 anos de experiência no setor de serviços de tecnologia liderando...

Leia mais