Dados 'perdidos' em sistemas e arquivos também são responsabilidade das organizações. LGPD exige adequação
Os negócios geram a cada segundo uma quantidade infinita de dados, de várias origens e sobre uma outra infinidade de áreas da atividade humana. Tanto isso é verdade que a Ciência de Dados se tornou uma das mais promissoras profissões para os jovens que entram no mercado de trabalho, mesmo tendo surgido há 30 anos.
Nas empresas, quanto mais sistemas de informação são utilizados em suas atividades, desde a produção e comercialização de seus produtos e serviços, mais dados são gerados e que poder em grandes silos de informações perder caso não se possua uma política avançada de coleta e tratamento de dados.
Com o amadurecimento dos direitos dos cidadãos em todo o mundo sobre seus dados pessoais em poder das organizações empresariais e governamentais, surgiram novas legislações, tais como a europeia GDPR e a brasileira LGPD.
O fato é que as informações pessoais dos cidadãos podem ser geradas e armazenadas em diversos sistemas dentro de uma organização, o que exige que sejam corretamente gerenciadas. O problema é que muitas informações têm origem em ferramentas de produtividade, tais como o Word, Excel, PPT, ou que são geradas diretamente nestas aplicações vinculadas ao e-mail.
Assim, a exigência legal, muito mais que uma garantir aos clientes, representa para as empresas uma oportunidade para que adotem novas políticas de segurança e avancem para uma boa governança de seus dados. Afinal, as informações pessoais de clientes, funcionários e outros titulares de dados não podem estar submetidas a uma má gestão dos dados.
A maioria das organizações têm encontrado muitas dificuldades porque sistemas distintos que podem conter estes dados não são sincronizados entre si na maioria das vezes.Com isso, não será possível saber em quantas bases de dados pode estar um e-mail de um cliente que deve ser apagado, a pedido dele.
A imposição das novas regras aumenta radicalmente o escopo dos dados pessoais, onde quer que possam estar localizados dentro de uma organização empresarial, que não podem confiar apenas em uma análise conceitual para atender ao compliance.
Em outras palavras, as organizações não podem também contar com a maneira como seus usuários se comportam ao tentar fazer as coisas, e é quase certo que os dados sujeitos à LGPD poderão vazar de onde deveriam estar armazenados
Nenhum sistema de informação em nenhuma organização está fora dos limites impostos pela Lei. Ou seja, sempre que qualquer tipo de dados relevante for coletado e processado, os requisitos da LGPD devem ser aplicados. Os são dados não estruturados “oeste selvagem”, ou no caso aqui, a “escuridão”.
Embora os dados não estruturados possam se provocar pesadelos, a boa notícia é que existem ferramentas e processos disponíveis para gerenciar com eficácia o crescimento e a segurança dos dados. Olhar para elas com carinho é uma boa iniciativa para evitar os problemas que podem ser oriundos do desconhecimento dos dados e de sua desestruturação.
Sem avançar sobre as tecnologias disponíveis, oferecemos algumas dicas básicas para que iniciar o processo eliminar a escuridão dos dados para que o compliance à LGPD (inclua a GDPR em seus objetivos) possa avançar dentro das empresas:
Crie um mapa de dados: proteger dados não estruturados é quase impossível sem compreender todos os diferentes repositórios de conteúdo onde os dados não estruturados podem ser armazenados. O verdadeiro tamanho dos dados não estruturados geralmente é desconhecido. Quando você pensa em quantas vezes um arquivo ou uma iteração próxima do arquivo pode ser salvo no Box, Google Drive, SharePoint etc., você sabe por que é tão difícil quantificar. É importante entender onde os dados se encontram e o seu uso não estruturado, pois sem esta primeira etapa crítica fica mais difícil avançar;
Classifique seus dados: Nem todos os dados têm o mesmo valor, nem exigem o mesmo nível de proteção. Embora alguns dados possam não ter valor comercial, ainda assim podem ter a necessidade de serem confidenciais, por isso eles precisam ser classificados com as tags adequadas. Os especialistas em governança de dados usam o termo ROT (redundante, obsoleto, trivial) – para descrever dados que não fornecem valor comercial. Um software de análise de arquivos adequado permite que uma empresa classifique dados e otimize o uso de dados;
Governança de dados contínua: depois de entender quais dados são vulneráveis e o que são valiosos, você pode implementar as medidas de segurança adequadas e necessárias. Com uma pegada reduzida na superfície de dados, é mais fácil gerenciar os dados de acordo com as políticas e procedimentos de retenção. Comece a adquirir dados progressivamente e apenas quando for realmente necessário.
Reduza a quantidade de dados: A prática de acumular dados não é apenas um ponto cego para a privacidade, mas também aumenta o risco de acesso às informações de identificação pessoal e às informações altamente confidenciais, em caso de violação. Quanto mais você retém os dados, mais o risco aumenta, ao passo que o valor diminui, em uma situação de perda / perda. Depois de mapear e classificar seus dados, você pode excluir ou colocar em quarentena os dados que não fornecem valor comercial;
Levar a sério a conformidade e considerar o histórico da empresa em governança de informações. Esta análise ajuda a identificar em quais pontos a organização pode possuir falhas. A maioria das organizações possui um histórico desigual de controle de informações e, portanto, não pode contar com uma análise conceitual (como uma série de entrevistas com partes interessadas ou uma consulta de mapeamento de processos;
Considere que as pessoas cometem erros de entendimento sobre a importância de uma informação. Não confie na capacidade dos usuários dos sistemas em lidar corretamente com os dados pessoais de clientes. Os dados podem estar sujeitos a usos inadequados ou a vazamentos de várias formas.
Feito isso, a empresa estará no caminho do sucesso na adequação às novas regras de proteção de dados a partir do entendimento dos riscos que a organização deverá corrigir em sua estrutura de informações. Pode não ser tarefa simples, mas a certeza é que os dados não estruturados precisam ser monitorados e gerenciados continuamente – caso contrário, os hackers continuarão a explorar esta vulnerabilidade. Não seja vítima de seus dados obscuros – eles podem prejudicar os negócios e a reputação da empresa.
* Juan Carlos Cerrutti é diretor da ActiveNav para a América Latina
