Em 25 de maio de 2018, o Regulamento Geral de Proteção de Dados (RGPD) da UE entrou em vigor na Europa para ajudar a harmonizar os direitos de privacidade pessoal em todos os 28 Estados-Membros da UE. Embora cada país possa manter suas próprias leis de privacidade e impor penalidades adicionais, o RGPD estabelece uma base comum de proteção para cidadãos (e residentes) da UE e para responsáveis pela coleta e processamento de dados. dados pessoais–um conjunto de obrigações comuns e possíveis multas (até 4% da receita global por empresa por país).
Afinal, de quem são esses dados?
Uma das inovações mais fundamentais do RGPD é a ideia de institucionalizar o direito fundamental aos dados pessoais. Segundo o RGPD, todo cidadão (ou residente) da UE tem o direito de acessar, portar ou apagar seus dados. As empresas que coletam e processam dados de consumidores ou funcionários, ou seja, os controladores de dados, são efetivamente obrigadas a devolver os dados de um indivíduo mediante solicitação. O RGPD reorienta o equilíbrio entre direitos e obrigações entre o proprietário dos dados e o processador de dados. As pessoas nunca perdem o direito aos dados que lhes dizem respeito ou que foram gerados por elas, enquanto as empresas, por sua vez, se transformam em custodiantes de dados com novas obrigações em relação aos dados que gerenciam em nome dos proprietários dos dados.
Este novo princípio manifesta-se de forma mais notória no princípio do Direito ao Esquecimento. Embora a ideia do Direito ao Esquecimento tenha surgido antes do RGPD na Europa e noutros locais, o RGPD eleva o conceito e elimina qualquer ambiguidade em torno da obrigação. Nos termos do RGPD, os cidadãos e residentes da UE têm o direito fundamental de terem os seus dados apagados mediante pedido. Não existe qualquer teste para determinar se os dados estão incorretos. Os dados pertencem ao indivíduo e este pode fazer com eles o que bem entender.
Qual a utilidade de controladores de dados sem controles de dados?
Para as empresas que coletam e processam informações pessoais, esse novo direito aos dados representa uma mudança radical na forma como elas veem e gerenciam seus dados. Desde a criação dos bancos de dados, os dados pessoais têm sido vistos mais como uma mercadoria literal, como refletido nos termos usados para descrever onde são armazenados: repositório de dados, data warehouse, data lake. Compreender a identidade do proprietário dos dados, na medida em que existia, servia ao propósito principal de personalização e previsão. Era – e em grande parte ainda é – tudo sobre “analisar para monetizar”.
Mas o GDPR ajuda a resgatar o papel da "pessoa" nos dados pessoais. Ele lembra às empresas que os dados pertencem a um indivíduo a quem elas são responsáveis e pelo qual devem prestar contas. Conhecer os dados de uma pessoa, no entanto, tem valor que vai além da simples obtenção de informações. Dados desconhecidos não são invisíveis, apenas vulneráveis a roubo, uso indevido e comprometimento. Para atender aos novos requisitos do GDPR, as empresas precisam encontrar e inventariar os dados por pessoa. Isso, por sua vez, cria novas oportunidades para proteção de dados, conformidade e governança. O direito ao esquecimento garante, em última análise, que os dados de cada pessoa não sejam esquecidos. Indiretamente, os novos direitos de dados pessoais permitem uma melhor proteção dos dados pessoais, sejam eles números de CPF ou endereços IP.
Governança e proteção de dados pessoais orientadas por dados
Historicamente, as regulamentações ajudaram as empresas a concentrar sua atenção e, igualmente, seus orçamentos. Nos EUA, regulamentações como Sarbanes-Oxley (SOX), HIPAA e PCI, para citar apenas algumas, levaram as empresas a redefinir prioridades e repensar as abordagens para lidar com dados e aplicativos. Como os EUA são um país sinônimo de industrialização, isso invariavelmente levou à adoção de novos tipos de automação tecnológica com siglas memoráveis como SIEM, SSO, DLP, DAM e DRM. Mas cada inovação responde a um problema específico, e essas inovações abordaram uma necessidade específica em um momento específico. Os direitos individuais de acessar, portar ou apagar seus dados implicam um novo conjunto de requisitos e, portanto, um novo conjunto de requisitos de governança, proteção e conformidade de dados.
Embora o GDPR defina um novo padrão de regulamentação em torno da privacidade pessoal, ele não está sozinho na condução desta nova era de governança e proteção de dados pessoais. A China acaba de instituir um direito semelhante, assim como muitos outros países. Da mesma forma, nos EUA, diversos estados estão debatendo projetos de lei que consagrariam novos direitos sobre dados pessoais. Para as empresas, isso significa que um novo tipo de governança, proteção e conformidade de dados é necessário, capaz de contabilizar os dados de uma pessoa e garantir a responsabilidade por esses dados perante ela. Não surpreendentemente, uma nova geração de empresas, como a BigID, busca preencher essa lacuna com tecnologia que ajuda as empresas a cumprir as novas obrigações, sendo ao mesmo tempo mais responsáveis e transparentes perante seus clientes e funcionários.
Autor
