Lei de proteção de dados: como as empresas devem…, por Silnei Kravaski*
…adequar suas infraestruturas de tecnologia para não terem prejuízo
Muito se tem falado sobre a nova Lei Geral de Proteção de Dados Pessoais (LGPDP), sancionada em agosto deste ano, e também dos impactos, cuidados, obrigatoriedades e implicações legais no dia a dia das empresas. Não pretendo entrar muito nesse âmbito, para não correr o risco de ser repetitivo. Mas, em suma, esse conjunto de novas regras estabelece restrições a respeito de como as empresas devem tratar a partir de agora os dados de seus usuários, e rege todo e qualquer mercado que lide com dados dos brasileiros, não somente o online.
O fato é que a necessidade de adequar-se está diante dos nossos olhos. E, neste exato momento, é muito importante que as empresas já estejam se preparando para criar estes novos parâmetros de utilização e armazenamento de dados, de maneira a que não afetem os seus negócios. Mas e como fazer isso? Por onde devo começar?
É mais do que conhecida a importância da gestão inteligente dos dados, seja para conhecer melhor os clientes, ser mais preditivo, evitar fraudes, vender mais, entre outras inúmeras possibilidades. Neste cenário, podemos afirmar que as empresas já estão bem conscientes e têm investido de forma massiva em ferramentas de análise de big data.
Essa questão, porém, a da importância dos dados, não é a que eu gostaria de enfatizar neste artigo. E sim o fato de que, mesmo com essa dependência das informações, as infraestruturas de armazenamento e proteção de dados das corporações, até este momento, tinham outra orientação, diferente da exigida pela nova Lei de Proteção de Dados. Os dados normalmente são armazenados sem muito critério e levando em consideração apenas a importância que têm para o negócio, não sendo seguidas regras de privacidade, por exemplo, ou outras regulamentações, como a que diz respeito ao período de tempo q! ue uma determinada informação deve ser mantida. As infraestruturas são desenhadas e dimensionadas olhando apenas para o volume e tipo de informação a ser armazenada e, prioritariamente, com a missão de encontrar formas de reduzir custos. Sem falar que existem ainda aquelas que colecionam dados dos seus clientes e transformam isso em mais um viés de negócio.
O modelo mais adotado hoje pelas empresas é o da proteção via o uso de ferramentas de backup e replicação, armazenamento em um único repositório e, quando necessitam de algo, restauram o que é necessário para tomar alguma ação.
Com as mudanças e a preocupação maior com a privacidade do cliente, que emerge com a chegada da Lei de Proteção de dados, é evidente que será preciso repensar todo o investimento que já foi feito em tecnologia, seja em infraestrutura ou em ferramentas de análises de dados. E existem dois tipos de necessidades diferentes: a das empresas que precisam pensar em um caminho de volta, que devem se preocupar com os dados já armazenados e também com os que serão gerados daqui para frente; e a necessidade daquelas empresas que estão começando neste novo ambiente e que já devem começar seguindo as novas regras. O ponto em comum é que ambas precisam saber exatamente o que deve ser guardado e o que é dispensável. Redefinir parâmetros necessários, qualificar os dados e agrupá-los em uma base única, são algumas das missões críticas nesse processo. O que garanto não é algo simples e n! em rápido de ser feito.
O primeiro passo é identificar, levantar as necessidades e, a partir disso, montar a infraestrutura mais adequada para seu negócio. Aí vem toda a parametrização, qualificação, separação do que pode estar exposto ou não e dimensionar os insumos necessários na infraestrutura para acomodar toda essa separação. Inclusive essa estrutura é agora definida de acordo com a legislação que rege o segmento de atuação da empresa. Existem ferramentas que podem ser bastante úteis para alguns negócios, que bloqueiam o acesso a determinadas informações, como CPF. Na prática, se um usuário da rede do cliente mandar e-mail com o número de seu cartão de crédito, a solução entende que aquela informação é sigilosa e barra o e-mail.
Um bom diagnóstico e análise do que deve ser feito é fundamental. É o que chamamos de data center transformation e que, muitas vezes, inclui a famosa jornada para a nuvem. Neste cenário, o apoio e o know how de um especialista, que tenha uma visão 360º, que seja de preferência agnóstico, pode fazer toda a diferença. Sempre digo que esse é um tipo de trabalho que precisa ser conduzido a “quatro mãos”. Só assim é possível realizar um bom planejamento e, com isso, tomar as melhores decisões.
Por fim, acho importante salientar novamente que a necessidade de adequar-se à nova Lei de Proteção de Dados está aí. E, por mais que pareça que 2020, que é o prazo final para esta adequação, pareça longe, não é assim que eu vejo. A meu ver, as empresas terão de correr, seja para evitar punições ou mesmo para não perder dinheiro. Afinal, como eu disse anteriormente, as mudanças, repito, não são tão simples e fáceis de serem implementadas.