O Gdpr fica a 1 dia: você sabe onde estão seus dados?

Para muitas empresas, especialmente para pequenas e médias empresas (SMBs), a localização real de seus dados pode ser um mistério. Digamos, por exemplo, que você esteja executando em um cluster de servidores baseado em nuvem, localizado na região norte da Virgínia, pertencente à Amazon Web Services (AWS). Isso significa que seus dados estão no norte da Virgínia, certo? Bem, sim, provavelmente. Mas digamos que você esteja fazendo negócios com empresas ou indivíduos na Europa. Então os dados sobre essas entidades provavelmente também estão nessa região. E em muito pouco tempo, isso pode ser um problema.

Na sexta-feira, 25 de maio, entra em vigor o Regulamento Geral de Proteção de Dados (RGPD) da União Europeia (UE). Nesse momento, sua empresa se enquadra nos regulamentos impostos pela UE que cobrem novos requisitos para a proteção de dados pessoais dos cidadãos. Mesmo se você não estiver localizado na Europa, sua empresa ainda estará sujeita a esses regulamentos se estiver mantendo dados pessoais sobre os residentes da UE. O problema é que, mesmo que você pense que puxar esses dados de volta para a sua empresa nos EUA os manterá melhor protegidos, talvez você não tenha permissão para armazenar esses dados nos Estados Unidos.

Mais importante, além do GDPR, existem outras regulamentações sobre fluxos de dados transfronteiriços que você também precisa considerar. Isso ocorre porque os dados de um cidadão da UE (ou de alguém que vive na UE que não é cidadão) passam por outro país no caminho podem ser problemáticos. Isso significa que você precisa saber mais do que exatamente onde está quando o armazena: precisa saber para onde ele vai entre você e onde quer que esteja o seu cliente ou funcionário.

Não vou entrar nas penalidades draconianas que podem esperar por você se você violar as regras do RGPD, porque elas foram descritas nesta coluna e em muitos outros lugares no passado. Então, digamos que você não deseja que essas penalidades sejam aplicadas a você.

7 caminhos para a conformidade com o GDPR

Mas, desde que você tome algumas medidas preventivas, não precisará se preocupar com sanções. Existem algumas coisas bastante fáceis que você pode fazer para evitar problemas. Aqui estão sete deles, na ordem do mais fácil ao mais difícil de fazer.

Não colete informações pessoais de pessoas na UE. Se o seu site tiver a capacidade de alguém preencher informações pessoais (nome e endereço, por exemplo) no processo de registro em seu site, você não aceita registros da UE ou não os aceita.

Se você deve aceitar informações pessoais de pessoas na UE (talvez porque você tenha um site de comércio eletrônico que vende coisas lá), mantenha os dados armazenados em um servidor em nuvem localizado dentro das fronteiras da UE. Geralmente, isso é simplesmente uma questão de configurar um cluster de servidor de Infraestrutura como Serviço (IaaS) usando o site europeu do seu provedor de nuvem atual. Como alternativa, o financiamento de um breve envolvimento com os braços de serviços profissionais da maioria dos provedores de nuvem fará com que eles cuidem dessa tarefa para você. Não apenas isso, mas se você tiver a sorte de se envolver com seus consultores na Europa , provavelmente também obterá testes certificados e a documentação adequada.

Embora haja momentos em que você pode mover dados para os EUA ou para um dos poucos países da Europa, existem limites. Nos EUA, eles são baseados no Privacy Shield, um acordo entre os EUA, a UE e a Suíça que especifica os requisitos de proteção para dados que fluem entre os EUA e esses países. Provavelmente, é uma boa ideia para sua organização certificar que atende aos requisitos de proteção de dados do RGPD, mas a legislação da UE é tal que a coleta e retenção de dados são limitadas apenas ao necessário para executar a tarefa imediata. Isso significa que alguém com conhecimento dos detalhes do GDPR rastreia seus vários fluxos de dados. Embora tediosa, essa é a única maneira de garantir que você esteja em conformidade.

Se você precisar processar dados, seja na UE ou nos EUA, deverá atender a requisitos específicos, incluindo ter alguém nomeado como DPO (Data Protection Officer). Você também precisará organizar um fluxo de trabalho dedicado à remoção de dados quando não for mais necessário, e isso pode se tornar especialmente complexo, porque parte disso é garantir que você possa remover as informações pessoais de quem pede para ser esquecido. Francamente, essa é outra razão para pensar duas vezes sobre o armazenamento de informações sobre pessoas da UE.

Se você realmente precisa fazer negócios na UE, provavelmente deve pensar em ter uma presença lá, em vez de apenas uma conta na nuvem com um servidor ou serviço de compartilhamento de arquivos de nível comercial na Europa. Você pode querer contratar uma empresa para cuidar de seus assuntos na Europa ou abrir um escritório, já que a equipe de especialistas e consultores do RGPD será mais fácil nesse lado da lagoa, sem mencionar que simplesmente fazer negócios na Europa em um período pós-RGPD mundo será inerentemente mais fácil na Europa do que em qualquer outro lugar.

Se você abrir um escritório, seus funcionários na Europa também precisarão lidar com as informações de acordo com as regras do GDPR. Embora você possa manter os registros de funcionários nos EUA, você precisará seguir as regras, incluindo a não retenção de informações que não sejam estritamente necessárias para que um funcionário faça seu trabalho. Você também precisará obter permissão do funcionário para armazenar informações pessoais (talvez para que ele possa ser pago), mas seu DPO precisará avaliar todos os dados armazenados para garantir que é algo necessário. Por exemplo, você não pode pedir a fotografia deles, a menos que haja um motivo, e então você deve fornecer uma justificativa muito específica de como será usada. E o funcionário deve ter permissão para recusar sem repercussões.

Agora, a parte complicada: o departamento de TI deve poder determinar onde os dados protegidos estão localizados o tempo todo, para onde vão enquanto você os usa, onde estão armazenados e como estão protegidos. Apenas dizer que ele está no seu servidor de nuvem na Irlanda não é suficiente; seus funcionários terão que saber como ele chega a esse servidor, o que acontece quando é usado e como é protegido - em detalhes. Sua melhor aposta é contratar especialistas para fazer isso por você, pelo menos os mapeamentos iniciais e a seleção de ferramentas de gerenciamento que manterão essas informações. Eventualmente, será necessária uma DPO e uma equipe de suporte, mas, a curto prazo, a maioria das empresas faria bem em pelo menos contratar um consultor com experiência verificável.

Para os procrastinadores

Evidentemente, para não deixar bem claro, mas você já deveria ter feito tudo isso. Ainda assim, como as realidades dos negócios do dia-a-dia são o que são, é provável que muitos de vocês que leiam isso não o tenham. Portanto, agora que a data está basicamente sobre você, comece pelo menos sabendo onde estão seus dados. E se não estiver onde deveria estar, veja o ponto número 1 acima até que você descubra.

Enquanto você faz isso, é uma boa ideia postar um formulário de consentimento antes que alguém possa acessar a parte do seu site que solicita informações pessoais. Sagara Gunathunge, vice-presidente do projeto Apache Web Services e diretora do WSO2, oferece alguns exemplos disponíveis gratuitamente de formulários de consentimento para uma variedade de propósitos. Mas lembre-se de que você deve acompanhar quem preenche esses formulários para poder mostrar um link direto para as informações coletadas e se elas estão armazenadas na UE ou em outro local. Certifique-se de que seja claramente redigido, preciso e diga exatamente o que está acontecendo com as informações que você está coletando. Sim, é uma dor no pescoço. Mas a outra opção é a opção 1.