Skip to Content
Author's profile photo Eduardo Rodrigues
Eduardo Rodrigues
August 17, 2018 2 minute read

Os “dados da sua empresa”, pertencem a quem?

Lendo o artigo sobre LGPD (Lei Geral de Proteção de Dados), fiquei me perguntando: quantos dados MEUS as empresas com quem eu interajo, tem ao meu respeito? Cheguei a triste conclusão que é impossível saber, mas resolvi fazer um teste. Seguindo os passos deste artigo, baixei meus dados do Facebook.

 Primeiro, tenho que dizer que eu não sou viciado em posts multimídia. Nunca postei um vídeo no Facebook e tenho relativamente poucas fotos. Dito isso, meu humilde mundo digital do Facebook tem “apenas” 50Mb em um arquivo zip.

Olhando o conteúdo do arquivo, em poucos minutos chego a alguns casos de uso:

  • Mapear minha rede de relacionamento e de influência
  • Determinar pessoas/empresas que me influenciam
  • Inferir meus gostos em diversos assuntos: música, filmes, produtos, literatura e etc.

É importante ressaltar que os 3 casos de uso acima podem ser implementados usando apenas meus 50Mb de dados, sem relacionar com outros usuários, sem contextualização externa. Numa pesquisa rápida, encontrei um artigo do The Guardian sobre o assunto. O texto é cru, direto e assustador. “Eles” sabem tudo sobre mim e sobre você.

A pergunta natural que vem na sequência, é simples: esses dados são das empresas ou meus? Eles podem fazer isso com dados que descrevem quem eu sou e o que eu faço? A União Europeia respondeu essas questões com clareza. A partir de 25 de março de 2018 entrou em vigor o GDPR, que deixa explicito o fato que o dado é da pessoa, e a empresa que “guarda” esse dado é responsável por fazê-lo seguindo regras claras de governança, segurança e ética.

O GDPR não se aplica ao Brazil diretamente, isso porque, empresas brasileiras que tenham dados sobre cidadãos europeus estão sim obrigadas a seguir o GDPR. Mas a partir de ontem, o presidente Temer sancionou o LGDP, que é a versão tupiniquim do GDPR.

Não é objetivo desse artigo discutir o LGDP em si, mas provocar a discussão: sua arquitetura de dados está pronta para endereçar as demandas do GDPR/LGPD?

  • Se uma pessoa física solicitar todos os dados que sua empresa tem sobre ela, sua arquitetura permite identificar esses dados de forma assertiva e em tempo hábil (48 hrs)?
  • Você é capaz de explicar o uso que é dado para todas os dados relativos a uma determinada pessoa física? E.g.: itens comprados e não comprados, clics, sites navegados, informações de crédito, fotos e etc?
  • É possível demonstrar uma política clara de gestão do ciclo de vida do dado (dato ativo, período de retenção de eliminação desses dados)?
  • Como demonstrar que os dados estão protegidos contra acesso indevido e não são comercializados (de forma direta ou indireta) com outras empresas sem as devidas permissões?
  • Para todos os dados referentes à uma pessoa física, é possível demostrar que a pessoa em questão manifestou explicitamente a autorização para que sua empresa armazene esses dados?

As perguntas acima não cobrem toda a regulamentação, são apenas um guia. A minha experiência, na minha interação diária com empresas de diversos tamanhos e setores, sinaliza para muito trabalho por fazer.

Em um outro artigo, eu discuti o HANA Data Management Suite, que quando bem desenhado por endereçar muito bem esses temas de governança, privacidade e segurança. Em um próximo artigo, vou discutir melhores práticas e guias gerais para levar em consideração.

 

Assigned Tags

      Be the first to leave a comment
      You must be Logged on to comment or reply to a post.