Olá, tudo bem?

Este texto faz parte de uma linha de publicações contínuas. Caso você não tenha lido o texto anterior, recomendo que clique aqui e leia o primeiro texto da série de publicações sobre armazenamento de dados e políticas de privacidade!

 

AS NOVAS LEIS: UM PANORAMA GERAL

 

Se este texto te chamou a atenção, é porque você – muito provavelmente – já ouviu falar da LGPD.

A LGPD – Lei Geral de Proteção de Dados – foi promulgada no Brasil e está em processo de vacatio legis, que nada mais é do que um daqueles termos bonitos do direito para dizer que, apesar de ela já ter sido aprovada, o Estado resolveu dar um prazo de alguns anos para que as empresas possam se adequar ao texto da lei e evitar aquela multinha básica que pode chegar até os R$ 50.000.000,00 (cinquenta milhões de reais).

Estas discussões não são inteiramente novas.

Na Europa, a discussão sobre proteção de dados é um pouco mais antiga do que no Brasil, e já em 2014 houve o decanto da decisão do parlamento europeu, que gerou a GDPR (General Data Protection Regulation), no que seria o primo chique da LGPD.

Ambas as leis criam diretrizes para o controle, gerenciamento, manutenção, coleta e demais processamentos de dados pessoais de tal forma que a redação dos dispositivos legais sempre busca encontrar o equilíbrio entre: a) os direitos do titular dos dados e b) a manutenção do mercado de dados de forma ética e sadia.

Estas diretrizes trazem, por consequência direitos e deveres para todas as partes envolvidas no trânsito de dados na data driven society.

 

O QUE É A FORMA DE MANUTENÇÃO DE DADOS?

 

Defino aqui a forma de manutenção de dados como o conjunto de tecnologias, técnicas e métodos que formam a estrutura por detrás do qual o dado é devidamente armazenado.

A forma de manutenção traz três elementos essenciais para sua composição, como já foi dito, de tal forma que passarei agora a explicar cada uma delas de forma mais aprofundada.

1.  Tecnologias: as tecnologias são recursos desenvolvidos pelo ser humano para resolver algum problema. Nesta situação, as tecnologias seriam essencialmente os meios, ferramentas e objetos físicos que fariam parte da solução para o problema do armazenamento dos dados, exemplificados como: a internet, os satélites, os Hard Drives (HDs), os Data Centers, os softwares de segurança, o sistema DNS, etc.

Pergunta chave para identificar as tecnologias: O que é usado na guarda dos dados?

 

2.  Técnicas: as técnicas são conjuntos de procedimentos que possuem o objetivo de alcançar um determinado resultado. Nesta situação, as técnicas seriam essencialmente a linguagem de programação, os procedimentos de segurança humano, o conhecimento de análise de dados que é utilizado para identificar ameaças e invasões, etc.

Pergunta chave para identificar as técnicas: De que forma são guardados os dados?

 

3.  Métodos: os métodos são processos organizados, lógicos e sistemáticos que visam assistir alguma técnica ou tecnologia. Nesta situação, o método seria essencialmente o processo de operação da manutenção dos dados que se pautaria nas diretrizes ético-jurídicas determinadas por Lei.

Pergunta chave para identificar as técnicas: Quais as condições para a guarda dos dados?

Uma vez respeitados estes elementos essenciais, temos por consagrado a boa manutenção de dados.

Em regra, as empresas que lidam com dados pessoais no seu dia a dia já possuem um bom conhecimento sobre as técnicas e tecnologias de armazenamento, seja porque possuem profissionais qualificados ou gestores com know-how em implementação de processos de gestão/governança de dados e outras informações, seja porque os envolvidos no projeto acabaram por terceirizar os serviços de armazenamento.

 

TECNOLOGIAS E TÉCNICAS

 

Se você já entende bastante deste assunto, pode pular esta parte do texto: ela foi feita para pessoas que querem ter uma ideia geral de como encarar a terceirização destes serviços.

Se você chegou até este texto, provavelmente já deve ter lido o primeiro passo a ser dado após a coleta do dado, que seria: DEFINIR O TEMPO DE ARMAZENAGEM DO DADO COLETADO.

Se você leu este primeiro texto, deve ter compreendido que cada espécie de dado, dependendo da sua natureza, pode ter um tipo de regulamentação própria que ditará se aquele dado deve ou não ser mantido por mais ou menos tempo na sua base de dados.

Uma vez que você tenha estipulado um tempo certo para a manutenção de seus dados – e assim já consegue ter uma noção básica dos custos de manutenção destes dados na sua base – você estará automaticamente pronto para fechar algum negócio com uma plataforma terceirizada ou montar a sua própria estrutura física de armazenamento.

Hoje, existe – especialmente no caso das Startups e Empresas de Pequeno ou Médio porte – a tendência em buscar um outsorcing (uma terceirização especializada de serviços) do que chamamos de data centers (que são aquelas grandes centrais de dados que vemos em filmes como “Missão Impossível”).

Este fenômeno ocorre devido à delicadeza de se manter uma estrutura física de dados, em que a temperatura do local deve ser controlada para que os componentes do hardware não queimem sistema para manutenção da integridade da estrutura física em caso de terremotos, raios, furacões, etc e até mesmo barreiras de segurança físicas para garantir que apenas pessoas autorizadas possam ter acesso aos dados ali contidos.

Obviamente toda esta delicadeza gera um custo extraordinário para a empresa.

Se se calcularmos os custos da expertise humana necessária para criar esta estrutura, da programação dos softwares envolvidos, da compra do hardware (incluindo aqui a sua manutenção e troca periódica devido à obsolência da tecnologia utilizada) e os custos estruturais de locação, água, energia, etc, chegaríamos facilmente à casa dos milhões.

Portanto, é muito comum que os empresários e as empresas prefiram terceirizar este serviço, delegando estas atividades de tal forma a poder se concentrar na sua atividade primária (aquela que traz o lucro).

Todavia, por mais que a terceirização seja possível (e altamente viável), é preciso que a cúpula diretora da empresa tenha ciência sobre os riscos deste outsorcing, especialmente se não tiverem o conhecimento necessário sobre os Métodos de armazenamento de dados, que não podem ser terceirizados de forma completa.

 

MÉTODOS DE ARMAZENAMENTO

 

Como já disse, estes métodos são guiados por princípios, e estes princípios – hoje – estão pautados na Lei.

A exemplo:

Na Europa, a GDPR traz a obrigatoriedade da implementação da privacidade de dados by design.

Isto significa que o sistema que faz a manutenção e guarda dos dados deve ter mecanismos de segurança para evitar a publicidade indesejada dos dados pessoais que ali são mantidos, algo que é feito através de técnicas e tecnologias que se guiam pelo que chamamos de “método de privacidade”.

Vejamos o caso da Google, que oferta um espaço em seus bancos de dados e cobra um preço pelo armazenamento.

Toda a transmissão, acesso, solicitação e fornecimento de dados é feito via cloud computing (computação nas nuvens) na forma de drives com login, senha, contrato, termo de privacidade, condições gerais de uso e MUITA tecnologia de segurança.

Enfim, ao fechar um contrato de terceirização de banco de dados com a Google você poderá perceber que, no contrato de prestação de serviços firmado, vão existir algumas disposições sobre o método de privacidade utilizado pela empresa.

Neste caso específico, a Google utiliza uma técnica modular para salvar os dados.

O que ocorre é que ela transforma o espaço do cloud em vários “containers” e guarda os dados em grupos de forma que eles, por si só, não identifiquem uma pessoa.

Na prática, o que acontece é que a Google possui um sistema físico de hardware que armazena os dados em HDs diferentes e quando você acessa o sistema deles nas nuvens, eles identificam o seu acesso e permitem que você manipule todos os seus dados através de uma interface gráfica (que te dá a impressão de que os dados estão todos juntos), acessando todos os HDs ao mesmo tempo.

Todavia, caso um individuo mal intencionado tente invadir o sistema deles, é muito provável que – ao ser identificado o acesso irregular – o sistema de segurança desconecte os outros HDs de tal forma que o invasor só consiga acessar as informações de 1 (um HD), de tal forma que estas informações seriam – sozinhas – completamente inúteis.

Vou tentar ilustrar esta situação:

Imagine que para identificar um carro você precise saber a 1) Cor do Carro, 2) Numero do Chassi, 3) Placa do Carro, 4) Modelo e Ano do Carro e 5) RENAVAM do Carro.

Sem saber ao menos estes dados, não é possível identificar o carro.

Assim, o que o método de privacidade da Google faz é separar estes dados em – pelo menos – cinco “containers” digitais que seriam o equivalente a cinco HDs.

Assim, mesmo que um invasor consiga uma lista com as cores e placas de todos os carros registrados, ele não teria o que fazer com estas informações pois não seria possível identificar nenhum dos carros registrados naquele banco de dados.

Este é apenas UM dos princípios que devem integrar o métodos de segurança e privacidade incluídos by design pelas empresas que fazem manutenção de dados que se refletem nas tecnologias e técnicas que utilizam, que no Brasil corresponderia ao artigo 6º, VII, da LGPD, conforme podemos ler:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

(…)

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

 

COMO DEFINIR O MÉTODO DE ARMAZENAMENTO?

 

Finalmente vamos ao “X” da questão.

Já sabemos que o Armazenamento depende de técnicas, tecnologias e métodos e que ou você vai ter de estudar muito pra entender este assunto (inclusive, existe um curso de nível superior chamado “Gestão de Dados”, com duração média de 5 anos, que trata sobre este assunto) ou você vai optar por terceirizar este serviço.

Seja como for, não dá pra terceirizar o método de dados, isto vai ter de ser implementado dentro da sua empresa e, muito embora você possa contratar uma acessoria que saiba como definir o método de armazenamento e treinar os seus funcionários, você terá de saber pelo menos o básico sobre o assunto.

Então vamos lá: Como definir o método de armazenamento?

A primeira coisa que você deve fazer – após ter definido o tempo de armazenamento – é revisitar aquelas leis específicas regem os dados de natureza específica. Se forem dados pessoais, você tem de visitar a LGPD, caso nós estejamos falando de dados relativos à área da saúde, você deverá ao menos visitar a resolução 466/2012 do Conselho Nacional de Saúde.

Seja na esfera jurídica ou na autorregulamentação privada (como é o caso da resolução do Conselho Nacional de Saúde), é importante buscar os princípios específicos que regem as regras dos dados de natureza específica como forma de se manter em compliance com a diretriz geral do direito que afirma lex specialis derogat legi generali (a lei especial prevalece sobre a lei geral).

Uma vez que os princípios das leis especiais tenham sido identificadas, um segundo ponto de questionamento válido deverá ser: onde está localizado meu data center?

Caso o seu Data Center esteja localizado nos Estados Unidos, as leis norte-americanas deverão ser respeitadas ainda que o negócio jurídico seja praticado no Brasil.

Ainda, no caso de negócios feitos em alguns países/blocos econômicos, como é o caso da União Europeia, as Leis se aplicam Extraterritorialmente, o que significa que mesmo que o Data Center da sua empresa esteja localizada no Brasil, caso você faça negócios na Europa, deverá respeitar as estipulações contidas na GDPR, especialmente aquelas contidas nos artigos 5 a 23 (capítulos 2 e 3) desta Lei.]

Assim, saber onde está localizado o seu Data Center e entender o escopo territorial do seu negócio (e isto não pode incluir apenas como o seu negócio está hoje, mas para onde o seu negócio pretende expandir no futuro) é uma condição essencial para que você não tenha que esquentar a cabeça com aquela multinha básica milionária (lembrando que a multa pode vir em Euros, como ocorreu com a Google no começo deste ano).

Está ficando complicado? Pois se prepare…

O Armazenamento de dados vai impactar de forma drástica os seus processos internos e sua estrutura operacional!

Porque que eu digo isto?

Porque, saindo um pouco da esfera do direito, dependendo do que as Leis supramencionadas impuserem, é bem provável que você terá de atribuir atividades novas para seus colaboradores, manter registros de acesso, criar um mecanismo célere e seguro para garantir a qualidade, integridade e veracidade das informações armazenadas e, ainda, terá de demonstrar para o seu cliente o que está acontecendo com os dados que você coleta, caso este cliente assim solicite.

Invariavelmente, estas escolhas afetarão o custo da estrutura de seu negócio para mais ou para menos.

Um exemplo que posso dar, inclusive de ordem prática (e, para o desencargo de consciência de todos, positivo) foi um caso de um cliente meu que adotou uma estrutura de registro de matrículas de alunos online.

Antes, a secretária da escola tinha que, sempre que solicitada sobre pagamentos, notas, frequência e outras informações, parar o que estava fazendo – geralmente um trabalho administrativo e, vez ou outra, um atendimento voltado para venda do curso – para acessar um arquivo físico com fichas cadastrais/de acompanhamento.

Ainda, a funcionária tinha que fazer o levantamento de três sistemas de controle de pagamento: verificar relatório de pagamento de boletos emitidos, verificar registro do caixa físico (dinheiro) e bater todos os extratos de depósito, transferência e cheque) para saber como estava a situação daquele aluno especificamente.

Com a contratação do serviço – e seu data bank terceirizado –, não apenas esta funcionária passou a ter todas as informações disponíveis com apenas um click (relatório emitido em segundos), como também pode aumentar sua eficiência de atendimento.

O custo desta brincadeira? R$ 1,00 (um real) por mês por cada aluno cadastrado na base de dados, o que foi facilmente convertido na mensalidade e passaria despercebido pela maioria dos pais caso não tivessem recebido uma notificação de reajuste.

Este é um dos grandes exemplos – apesar de simples – de como a definição de um método de armazenamento de dados pode ser altamente benéfico para a empresa, apesar de representar um custo na sua estrutura.

 

ORIENTAÇÕES GERAIS PARA DEFINIR UM MÉTODO DE ARMAZENAMENTO.

 

Chegado este momento do texto, você deve pensar: Otávio, você não poderia resumir logo todo o método de armazenamento?

A resposta correta para esta pergunta seria: não.

Definir o método de armazenamento de dados não é fácil e, uma vez definido, terá consequências para a sua empresa de tamanho grau que podem garantir que ela seja um expoente na sua área de atuação ou então garantir a falência da sua empresa e gerar muita, mas MUITA dor de cabeça.

É essencial que, caso você trabalhe com dados, busque o máximo de informações sobre o assunto e, já ressalto, cada vírgula de um texto sobre armazenamento de dados é ESSENCIAL!

No entanto, sabendo que muitos empresários e empreendedores tentarão – por força da necessidade – evitar contratar um profissional especialista nesta área (ao menos em um primeiro momento), vou tentar elencar aqui alguns pontos que podem ser a base de uma decisão que evitará o grande desastre da falência.

Então vamos lá:

 1 – Uma vez que você já definiu o tempo de armazenamento de seus dados, busque revisitar as Leis específicas e preste atenção se há alguma ressalva específica que a Lei faz quanto ao método de armazenamento.

2 – Leia a Lei Geral de Proteção de Dados, a General Data Protection Regulation ou qualquer que seja a Lei de Proteção de Dados que exista no seu país, no local em que esteja instalado o seu Data Center ou ainda no local em que o seu negócio vá ser feito.

Obs: Aqui você terá o molde básico para poder implementar um método de armazenamento que esteja em conformidade com as Leis, evitando os maiores riscos jurídicos.

3 – Analise as técnicas e tecnologias que você utiliza no armazenamento.

4 – Caso as técnicas e tecnologias não possibilitem a implementação do método em conformidade com a Lei, investigue a possibilidade de mudar as técnicas e tecnologias utilizadas e de que forma estas mudanças irão impactar no custo da sua empresa (ex: quanto deverá ser investido em maquinário, quanto custará um novo treinamento para o setor de T.I, etc.).

5 – Modifique a estrutura ou assuma certos riscos com base em um cálculo real de “custo x benefício” após ter definido o grau de probabilidade de materialização de um risco jurídico e das consequências reais deste risco caso ele venha a se materializar.

 Obs2: Nesta altura você já terá um método pronto para ser implementado, com um valor de custo bem definido e com bastante consciência dos riscos que podem acontecer caso um risco assumido venha a se materializar (ex: multa de 2% sobre o faturamento anual em caso de vazamento de informações, multa determinada pela Agência Nacional de Proteção de Dados caso você não emita o relatório semestral de fluxo de dados em conformidade com as diretrizes da agência, etc.)

6 – Defina planos de contenção de riscos (ex: fundos líquidos para cobrir o pagamento de multas, fundos líquidos para pagar acordos em conciliações para evitar ações judiciais, modelos de notificação de vazamentos de dados integrados ao sistema de segurança) e já se programe para que o seu sistema de armazenamento de dados (terceirizado ou não) cubra as necessidades do seu plano de expansão de negócios.

 

 

Se você se interessou pelo tema de Armazenamento de Dados, saiba que este assunto não é abordado no Brasil da forma como deveria ser. Mas fique tranquilo! Preparei para você uma linha de publicações exclusivas e completas que serão publicadas neste site.

Caso você tenha interesse em se aprofundar no assunto e, logo mais, ter uma vida mais feliz e um negócio mais seguro e lucrativo, basta fazer o cadastro em nosso sistema que lhe enviarei um e-mail ou mensagem notificando sobre a nova publicação.

Não fique para trás! Entenda sobre os negócios digitais.