Dados e privacidade

Privacidade na cadeia de suprimentos: onde e como atuar para proteger os dados que sua empresa utiliza

Empresas de todos os tamanhos não estão prestando a devida atenção a como seus parceiros lidam com dados pessoais dos consumidores. É hora delas aprenderem a fazer as perguntas certas.

Art by

sodavekt

Compartilhar artigo

data security supply chain

A força de uma cadeia não é definida por seu elo mais forte, e sim pelo mais fraco.

Sua empresa é responsável não só por garantir que a privacidade seja respeitada dentro da sua companhia, como também por todos os terceiros para os quais você fornece esses dados, desde empresas de contabilidade, telecomunicações e armazenamento em nuvem até seus parceiros de segurança e manutenção.

Os órgãos reguladores levam a privacidade bem a sério

Existe uma razão legal que justifica a necessidade de reforçar a segurança para proteger a privacidade dos dados dentro da sua cadeia de suprimentos, além de uma razão moral. A privacidade é um dos pontos centrais da General Data Protection Regulation, mais conhecida como GDPR, uma nova e rigorosa regulamentação digital criada pela União Europeia. A norma aplicada para todos os dados privados processados por organizações dentro da Área Econômica Europeia (EEA) e também todos os agentes externos que ofereçam produtos e serviços dentro deste território.

Atualmente, a GDPR é o parâmetro mais elevado que existe para proteção de dados, e novas regulamentações ao redor do mundo utilizaram a GDPR como modelo, incluindo o California Consumer Privacy Act (CCPA), a recente alteração do Australia’s Privacy Act de 1988 e até a nova Lei Geral de Proteção de Dados (LGPD) do Brasil. Mas seguir à risca as regras de compliance da GDPR não significa que você esteja seguindo todas as regras de outras jurisdições, portanto, caso você esteja enviando dados pessoais além das fronteiras, é bom se informar sobre as normas locais de cada país.

A GDPR foi construída com o objetivo de definir o que significa ser um controlador ou processador de dados, e o quê cada uma dessas categorias deve cumprir. O controlador é aquele que escolhe quais dados coletar, os armazena e depois decide como usá-los. Já o processador recebe dados pessoais de terceiros e os processa diretamente, mas não escolhe como esses dados serão usados. A GDPR afirma que controladores só devem utilizar processadores com uma estrutura técnica e organizacional que assegure a privacidade dos dados processados.

Vazamentos de dados significam interrupção de serviços e danos à reputação de empresas e pessoas. Mas com a GDPR os prejuízos são muito maiores. Controladores e processadores estão sujeitos a multas enormes, de pelo menos 20 milhões de euros ou até 4% do lucro do ano anterior, dependendo de qual dos dois for maior. Em 2019, por exemplo, a British Airways sofreu a maior punição já vista, com uma multa de 183 milhões de libras esterlinas por um vazamento sofrido.

Brechas na privacidade afetam negócios de todos os tamanhos

“Mesmo que a GDPR já esteja em prática desde 2018 muitas empresas ainda não estão prestando a devida atenção para a privacidade de dados”, afirma Jamel Ahmed, da consultoria de privacidade de dados britânica Kazient Privacy Experts. “E isso é uma realidade entre empresas de todos os tamanhos, das gigantes até as menores. Eu encontro frequentemente grandes empresas que têm processos internos de segurança de dados muito bons, com o departamento de compliance sempre fazendo as perguntas corretas e buscando evidências para tudo. Mas quando você olha ao longo da cadeia de suprimentos, existe uma grande lacuna em relação a dados pessoais. E isso se deve à falta de compreensão e à falta de experiência e informação”.
data security supply chain

Peter Wright, diretor executivo do Digital Law, escritório britânico especializado em questões jurídicas do mundo digital, concorda: “É algo ignorado há muito tempo. E mesmo que exista uma preocupação maior com isso hoje, não significa que é suficiente”. 

Os dados deveriam ser manipulados de uma forma que não só satisfaça as normas e regulamentações, mas que respeite as melhores práticas e a ética. E se você for negligente, as consequências devem ser severas”, completa.

Como evitar brechas na sua privacidade

1. Faça as perguntas certas aos seus fornecedores

Você precisa fazer a lição de casa antes de dar início a uma relação que envolva o fluxo de dados com um fornecedor. Ahmed afirma: “Como mínimo, você deve checar se esse novo parceiro tem um registro vigente na autoridade local que controle o uso de dados. No Reino Unido, o órgão responsável pelo setor é a UK’s Information Commissioner’s Office (ICO). Cheque se seu provedor tem boas práticas e boas políticas, e se elas falam sobre suas obrigações e responsabilidades sobre privacidade de dados”. 

“Eles têm um responsável dedicado somente à proteção de dados? Quais são as qualificações desse profissional? Também é bom averiguar se a empresa tem algum tipo de iniciativa para desenvolver melhores práticas ao invés de somente preencher os requisitos básicos do setor”, completa Ahmed.

2.  Faça um contrato que inclua tudo

O GDPR aponta que deve haver um contrato escrito entre o controlador de dados e o processador, e quais são os termos que devem aparecer neste contrato, incluindo tipos de dados, período pelo qual devem ser armazenados e razões e objetivos do seu processamento. Mas os especialistas acreditam que acordos entre controladores e processadores devem ir além, demarcando limites e obrigações sobre outros detalhes, para dar aos controladores uma visão completa dos processos envolvendo os dados.  

3.  Tenha um plano para orientar as ações do controlador em caso de vazamentos

Sob o guarda-chuva da GDPR, todo tipo de negócio que lide com dados pessoais deve manter um registro oficial de vazamentos, documentando todos os incidentes de segurança que ocorram. Os controladores devem conseguir encontrar e ver quaisquer incidentes retratados nesse registro que coincidam com os dados vazados. Segundo Ahmed, os negócios devem novamente não se ater ao mínimo, e sim exigir um plano detalhado de ação por parte do processador em caso de que uma invasão aconteça.

“O GDPR obriga os processadores a informar aos controladores imediatamente sobre qualquer vazamento assim que este for detectado. Mas os contratos devem explicar exatamente o quê constitui um vazamento e o qual será a exata definição de “imediatamente” a se considerar”, diz Ahmed

4.  Introduza o gerenciamento de riscos em suas operações

Ter um contrato bem escrito e alinhado com o seu fornecedor é apenas o primeiro passo. Wright e Ahmed ressaltam que empresas controladoras de dados devem saber avaliar os riscos ao longo da cadeia de suprimentos de maneira proativa e recorrente. Isso significa passar por auditorias de risco e analisar todos os processos para verificar as políticas de dados de clientes e fornecedores conforme mudem as circunstâncias.

Wright aconselha: “Os órgãos reguladores ficam de olho para ver como as empresas mostram seu compliance. Eles não querem que você use um contrato de dois anos atrás e diga: ‘Olhem, nós analisamos isso dois anos atrás e estava tudo ok’. Eles exigem uma atualização constante. Se o pior acontece e você for afetado por um vazamento de dados, eles irão exigir que apresente evidências de que seguiu todos os requisitos da lei corretamente”.

“Você precisa mostrar que revisa regularmente seus registros de risco e que atualiza suas previsões depois de cada avaliação. Se um fornecedor muda seus termos, mostre que você pesquisou sobre aquilo, fez questionamentos ao provedor e verificou suas respostas. Os reguladores querem que você implemente essa auditoria e gestão de riscos como algo regular, um padrão nas suas operações”, completa.

5.  Fique atento a mudanças e aos seus impactos na privacidade 

As constantes mudanças e evolução da nossa maneira de viver e trabalhar nos obrigam a ser vigilantes sobre o que acontece com nossos dados.

Segundo Wright: “Trabalhar remotamente se tornou um hábito em 2020, de uma forma que nunca havia sido sequer cogitada pelos departamentos de segurança e de TI. Você pode ter assinado um termo de responsabilidade em 2017 e tê-lo revisto após a implementação da GDPR em 2018, mas o fornecedor mudou de sistema desde então e agora você está desatualizado novamente. Digamos que seu provedor para reuniões por teleconferência tenha tido um aumento significativo na demanda e precise revisar os termos porque migrou seu servidor para fora da União Europeia e por isso, não consegue mais confirmar onde exatamente seus dados estão sendo processados. Essa é uma mudança e tanto, não?”. 

As empresas devem insistir para ter conhecimento completo sobre o que mudou e quais são os efeitos de cada mudança sobre a privacidade de seus dados. “As grandes perguntas precisam ser respondidas. Para onde seus dados estão sendo levados? Eles estão seguindo os padrões da GDPR? O registro das gravações do seu serviço de SAC está sendo transferido para outro lugar? Qual é o nível de segurança desse novo servidor? Será que os dados ainda estão seguros com criptografia de ponta a ponta?”, pergunta Wright.

6.  Lembre-se de todos os membros da sua cadeia de suprimentos

Uma das maiores armadilhas a se evitar é esquecer de que seus dados passam por toda uma cadeia de suprimentos.

A regra principal é considerar cada parceiro comercial como um processador dos seus dados. Senão lapsos podem ocorrer, até mesmo com os dados pessoais mais sensíveis, materiais considerados como “dados especiais” sob as normas da GDPR. Isso corresponde a quaisquer dados que possam ser utilizados para uma discriminação ilegal, como raça, orientação sexual, históricos de saúde ou até dados de biometria.

Ahmed tem uma história envolvendo um caso do tipo: “Um de meus clientes procurou um software terceirizado para aplicar um teste psicotécnico como parte do seu processo de recrutamento. Mas a empresa não se deu conta de que os dados obtidos se encaixariam nessa categoria de dados especiais da GDPR. Ou seja, o cliente ficou exposto a sérios riscos caso houvesse um vazamento, simplesmente por não ter feito uma avaliação correta de riscos e ignorar a necessidade de proteção daqueles dados.”

O pior é que a ignorância não serve como desculpa, ainda mais na era do Big Data.  

Se dados pessoais estão em sua posse, você deve estar sempre atualizado, não só  sobre as últimas normas, mas também com os melhores procedimentos e o melhor parâmetro ético possível. Espalhe a informação, ensinando sobre os riscos e responsabilidades, dentro e fora da sua empresa. Fazendo isso você reduzirá as chances de ter um vazamento e garantirá que seus consumidores saibam que você está de olho em seu bem-estar e privacidade.

A evolução e o futuro dos ataques à cadeia de suprimentos

Um webinar para assistir a qualquer momento, que mostra como cibercriminosos atacam através da cadeia de suprimentos, e como impedi-los.

Sobre os autores

William Ham Bevan writes and edits for universities, UK national newspapers and government departments. He also enjoys touring France, 1980s junk culture and skiing at a relaxed pace.