Com legislação de proteção de dados em vigor, é fundamental aprofundar, também, o entendimento e a relação com os fornecedores para garantir a segurança da informação

Por Fabio Ferreira

“Não deveríamos pedir a nossos clientes que tenham que escolher entre privacidade e segurança. Temos que oferecer o melhor de ambos. No fim, proteger os dados de alguém protege a todos nós” 

Tim Cook, CEO da Apple

A Lei Geral de Proteção de Dados (LGPD), que deve entrar em vigor em agosto de 2020 no Brasil, exige das empresas mais que adequação da porta para dentro. Diante de implicações como multas pesadas e exposição da marca, a liderança de TI e as demais áreas precisam se preocupar, também, com os fornecedores de tecnologia. E um dos mais sensíveis é o de armazenamento em nuvem. 

Assine a Lozinsky News para obter mais conteúdos sobre liderança de TI e transformação digital e de negócios

Com uma legislação que tem como premissa proteger os dados de todos os cidadãos brasileiros, independentemente de onde estão armazenados, as companhias devem redobrar o cuidado com seus parceiros. A LGPD exige que mesmo que a empresa utilize uma hospedagem em solo estrangeiro, esse fornecedor deverá atender às especificações da legislação nacional. Trata-se de um ponto de alerta para a gestão de TI e de segurança da informação, que deve se assegurar de que será capaz de prestar contas sobre a maneira como os dados são armazenados e utilizados, em caso de possíveis vazamentos. 

A gestão de TI deve estar preparada para lidar com todas essas possibilidades – e isso inclui, também, os fornecedores. Muitos dos grandes players internacionais já estão capacitados para operar conforme os requisitos da General Data Protection Regulation (GDPR). A semelhança da LGPD com a legislação europeia pode levar a gestão de TI a incorrer em erros. Afinal, estar adequado à GDPR não implica que, automaticamente, o fornecedor também esteja de acordo com a lei nacional. Há nuances da LGPD que não podem ficar de fora dessa avaliação.

A opção conservadora seria armazenar esses dados em um provedor brasileiro. Em teoria, os fornecedores nacionais já estarão devidamente preparados para agir em conformidade assim que a lei entrar em vigor. Porém, existe uma questão que não pode ser desprezada: o custo de armazenamento no País ainda é muito elevado, podendo superar o dobro do valor médio cobrado por empresas de fora. 

Será necessário, então, avaliar se a questão financeira – que pode ser atenuada com a contratação de um parceiro localizado no exterior – deve se sobrepor ao risco de incorrer em não-conformidades. Essa não é uma discussão menor e deve ocorrer na esfera estratégica da organização. Uma proposta bastante plausível é que não apenas os data centers, mas todos os fornecedores de tecnologia passem por uma verificação de conformidade, a fim de garantir que todos os aspectos da LGPD estão cobertos. Mas é fato que, independentemente de a empresa que armazena os dados em nuvem ser nacional ou estrangeira, o titular deverá ser claramente informado sobre onde seus dados estão armazenados e para qual uso serão destinados.

A relação com os fornecedores vai depender diretamente da abrangência dos serviços que eles executam e, principalmente, da sensibilidade dos dados sob sua responsabilidade. Quanto mais sensíveis – isso é, quanto maior o dano que podem causar se vazados ou mal direcionados -, mais próxima deve ser essa relação com os fornecedores, o que em determinados ambientes de nuvem, pode ser mais complexo

Ainda há, portanto, muito trabalho a ser feito em relação à LGPD. São questões prementes e estratégicas para a transformação digital, e as soluções devem ser lideradas pela gestão de TI antes que se tornem uma questão (ainda mais) urgente.

Leia mais:

LGPD: Por que você não pode mais esperar para se adaptar