As leis de soberania de dados se tornaram uma das principais preocupações dos líderes de TI, privacidade, conformidade e segurança. Mais de 100 países promulgaram leis destinadas a proteger a privacidade das informações pessoais de seus cidadãos e isso é bom. No entanto, a conformidade com essas leis pode representar sérios desafios para as empresas globais.
O termo "soberania de dados" tem vários significados. Geralmente, se refere ao direito de um grupo ou de um indivíduo de controlar e manter seus próprios dados. Nos últimos anos, o termo tem sido usado mais especificamente para se referir à ideia de que os dados coletados ou armazenados em um determinado local geográfico, como um país específico, devem estar sujeitos às leis desse local. Independentemente de as pessoas estarem inserindo informações de cartão de crédito em um site de comércio eletrônico ou publicando comentários em uma plataforma de mídia social, as leis de soberania de dados ajudam a garantir que esses dados do usuário sejam regulamentados pelo governo do estado em que esses usuários são cidadãos.
Muitas jurisdições também promulgaram leis de proteção de dados que regem as condições sob as quais os dados gerados dentro das fronteiras de uma jurisdição podem ser transferidos para outros países. Por exemplo, o Regulamento Geral de Proteção de Dados (GDPR) da UE permite transferências de dados internacionais para outras jurisdições somente se determinados mecanismos de transferência tiverem sido implementados (como a nova Estrutura de Privacidade de Dados UE-EUA). Ainda assim, outras jurisdições, como a Rússia, promulgaram leis de localização de dados que exigem, em determinadas circunstâncias, que os dados gerados dentro das fronteiras de seu país permaneçam dentro de suas fronteiras.
A dinâmica por trás das leis de soberania e localização de dados aumentou significativamente na última década, pois as empresas globais têm coletado cada vez mais dados pessoais. Os governos estão cada vez mais preocupados com o fato de os dados de seus cidadãos estarem acessíveis aos governos de países estrangeiros. Os governos que tentam proteger os dados não querem que seus adversários e, às vezes, nem mesmo seus aliados, acessem ou controlem as informações sobre seus cidadãos.
O aplicativo TikTok trouxe as questões de soberania de dados, localização de dados e privacidade de dados para a consciência do público em geral. Os legisladores dos EUA têm se preocupado com o fato de que os dados de milhões de usuários do TikTok baseados nos EUA poderiam ser acessados pelo governo chinês sem o conhecimento do governo dos EUA. Eles estão preocupados porque a empresa controladora do TikTok, a ByteDance Ltd., está sediada na China, e a legislação chinesa pode exigir que as empresas entreguem dados. Como alguns legisladores ameaçaram proibir o aplicativo, a ByteDance teve que se comprometer a armazenar dados de clientes dos EUA nos Estados Unidos.
Sua empresa pode não estar operando na mesma escala que o TikTok, que tem mais de 1 bilhão de usuários em todo o mundo. No entanto, as leis de soberania de dados e a pressão por mais localização de dados ainda podem ter um grande impacto em sua empresa.
A soberania dos dados apresenta sérios desafios para qualquer empresa que queira fazer negócios globalmente. Se a sua empresa estiver sediada na França, mas decidir vender seus produtos no Canadá e na Argentina, talvez seja necessário encontrar maneiras de manter os dados de clientes canadenses e argentinos em seus respectivos países devido a obrigações legais, diretrizes do setor ou padrões de certificação.
Quanto mais você expandir, mais requisitos de soberania de dados provavelmente encontrará. Talvez seja necessário identificar maneiras de processar e armazenar seus dados em jurisdições específicas ou enfrentar custos de transação significativos para permitir transferências de dados entre fronteiras.
Esses desafios são particularmente difíceis de serem enfrentados pelas pequenas empresas. Uma startup, por exemplo, pode não ter os recursos para manter dados de clientes em cada um dos países onde deseja fazer negócios. A liderança da startup podem ter que tomar decisões difíceis sobre a expansão global se a localização dos dados for necessária e a empresa não puder se dar ao luxo de criar armazenamentos de dados em vários países do mundo.
As empresas globais não apenas precisam pensar em como atender aos requisitos de transferência e localização de dados, mas também precisam entender os desafios que a soberania e a localização de dados podem criar para a tomada de decisões orientada por dados. Talvez você queira analisar dados agregados para tomar decisões importantes para a empresa. Entretanto, quando seus dados estão distribuídos em vários países, talvez não seja possível centralizá-los facilmente e realizar análises abrangentes.
Eu me deparei com esse desafio anteriormente como CISO de uma grande empresa global. Estávamos fazendo negócios em dezenas de países e precisávamos manter dados em muitos deles para garantir a conformidade. Mas, ao mesmo tempo, precisávamos tomar decisões sobre fraude e lavagem de dinheiro, que exigem uma visão agregada dos dados.
Para permitir a agregação de dados e, ao mesmo tempo, cumprir as leis de soberania de dados, desenvolvemos regras de acesso aos dados e criamos um ambiente de controle para garantir que as regras de armazenamento e acesso aos dados fossem respeitadas. Chamamos isso de nosso programa de governança de "visto de dados". Desenvolvemos um conjunto de controles rígidos de segurança, acesso e dados com monitoramento 24 horas por dia, todos os dias, para garantir que não houvesse violações. Isso era quase como uma rede confidencial ou de alto nível no governo. Tínhamos redes altamente seguras das quais os dados não podiam sair. Em seguida, levamos esse programa aos órgãos reguladores do país, explicando a eles como essa abordagem era vital para que continuássemos operando. Recebemos as aprovações governamentais necessárias para avançar com essa abordagem de gerenciamento de dados. No entanto, a maioria das empresas menores não tem essa influência junto aos governos nem a capacidade de desenvolver internamente programas inovadores de governança de dados.
Como as empresas globais podem cumprir os requisitos de soberania e localização de dados sem estabelecer seus próprios data centers em vários países? A nuvem pode parecer uma resposta óbvia. Mas você precisará ir além dos típicos provedores de nuvem pública. Essas empresas foram criadas com base em um modelo centralizado de armazenamento de dados. Sim, muitos provedores de nuvem têm vários data centers regionais ao redor do mundo, mas eles podem não estar localizados em todos os lugares onde sua empresa faz negócios.
Para atender aos requisitos de soberania e localização de dados, é fundamental trabalhar com empresas de tecnologia que permitem que você armazene e processe dados em todos os lugares em que tenha clientes. Você também precisará de flexibilidade para escolher onde armazenar e descriptografar dados, armazenar chaves de criptografia, realizar inspeção de dados e manter registros para garantir que o seu ambiente de controle seja compatível com as obrigações legais de soberania de dados.
Dependendo de como você encara suas obrigações legais, você pode precisar armazenar dados em uma jurisdição específica, mas ainda ser capaz de agregar dados para análise fora dessa jurisdição. Ao mesmo tempo, você pode ter uma obrigação legal de que os dados nunca poderão ser acessados em uma terceira jurisdição. À luz de obrigações legais tão complicadas, você também deverá pensar em como estabelecer o controle de acesso a esses dados.
A conformidade com as leis de soberania e localização de dados também pode exigir que você repense como os aplicativos são criados e onde são executados. Por exemplo, criar aplicativos sem servidor e executá-los em regiões geográficas específicas pode ajudar a garantir que os dados usados pelo aplicativo permaneçam onde deveriam estar. Essa abordagem também pode melhorar a experiência do usuário, pois o aplicativo será executado fisicamente mais perto de onde os usuários estão.
Estabelecer políticas de segurança consistentes em todos os seus armazenamentos de dados também será fundamental. A consistência ajudará a garantir que não haja elos fracos em sua rede global e permitirá que você evite a complexidade de gerenciar vários ambientes distintos com várias ferramentas.
Se você ainda não pensou em soberania de dados, é hora de começar a planejar. Em um futuro próximo, você provavelmente enfrentará um número crescente de leis que exigem que você armazene e processe dados dentro de determinadas fronteiras geográficas. Se a sua empresa estiver se expandindo globalmente, é possível que você encontre vários requisitos de soberania e localização de dados já em vigor.
A boa notícia é que a adesão aos requisitos de soberania e localização de dados não precisa significar a criação de novos data centers ou restringir seus planos de expansão. Com a estratégia certa, você pode armazenar e processar dados com segurança em cada um dos países em que faz negócios, e ainda acessar esses dados de forma centralizada para análise e tomada de decisões, sem adicionar custos ou complexidade excessivos.
Saiba como a Cloudflare ajuda as empresas a cumprir os regulamentos de soberania e localização de dados com o Cloudflare Data Localization Suite.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Grant Bourzikas — @grantbourzikas
Diretor de segurança, Cloudflare
Após ler este artigo, você entenderá:
Quais são os desafios que a soberania dos dados apresenta para as empresas globais
Como sua empresa pode cumprir as leis sem restringir seus negócios
O que você deve procurar em parceiros de tecnologia para otimizar a soberania dos dados