Total de visualizações de página

terça-feira, 27 de dezembro de 2016

GDPR: General Data Protection Regulation-Parte II-Visão focal

O GDPR é amplo e complexo. O seu detalhamento está publicado na internet e já há uns 3 ou 4 livros na Amazon publicados sobre ele. Acesse http://www.eugdpr.org/ para começar a entendê-lo. A figura-01 mostra, sinteticamente, os pontos principais das mudanças trazidas pela GDPR.


Objetivo:
O objetivo, mostrado de forma simplificada,  é proteger o chamado PII-Personal Identifiable Infomation, ou seja as informações que permitem identificar alguém. Por exemplo, alguns campos são identificadores  mais diretos como o CPF, SSN, # da carteira de identidade, endereço de email, # do telefone. Outros são identificadores indiretos, como data de nascimento, cep e sexo, etc. Esses campos, claro não permitem (diretamente) chegar a alguém, mas podem, caso combinados, aumentar a chance de se chegar ao seu PII. Há uma pesquisa que aponta que, com a combinação dos três elementos de dados(cep, sexo e data-nascimento), há 87% de chance de alguém ser identificado. A conferir... Além da proteção dos dados,  o GDPR também foca nos direitos de cada cidadão com relação aos seus dados. Por exemplo, a entidade controladora(conceito explicado mais abaixo)  será obrigada a, em poucos dias, notificar o cidadão cujos dados foram desviados. A não observância dessa e de outras regras definidas implicará em multas pesadíssimas (até 4% do faturamento bruto anual ou 20 milhões de Euros, o que for maior). No exemplo citado anteriormente sobre o breach do Yahoo, já estaria caracterizada uma violação dessa natureza.
Escopo: 
O escopo das regras será para as empresas que estão localizadas na UE (União Europeia) e processam dados de residentes de lá, ou também empresas que estejam fora da UE, mas que também processam dados de cidadãos residentes naquela comunidade. Está fora do escopo os casos em que o processamento de dados tem a finalidade de segurança nacional ou atrelado a aspectos legais. Cada estado membro da UE definirá um órgão controlador-SA-Supervisory Authority, que terá a missão de receber e investigar reclamações, ofensas etc, naquele domínio e trabalhará, de forma integrada e colaborativa com as outras SA´s. A UE tem aproximadamente 350 milhões de habitantes, distribuídos por 28 estados(países) diferentes. Os membros da UE estarão subordinados a essa legislação, que prevalecerá sobre outras já, eventualmente, existentes.

Papeis importantes na GDPR:
Há os conceitos de Controladores-Processadores-Autoridade de Supervisão e Representantes. Esses conceitos são muito importantes para o entendimento do GDPR e estão representados na figura-02.



Controladores:
São pessoas, agências, autoridades públicas ou qualquer outro corpo organizacional que tenha como objetivo o uso dos dados coletados. Serão os responsáveis por garantir que os dados serão usados, de acordo com a GDPR. Deverão deixar claro: Quais objetivos procuram, quais dados existem e suas categorias, os meios pelos quais serão usados, a forma de coleta, a forma de busca de consentimento (autorização) para o uso dos dados, a descrição dos destinatários( por quem os dados serão usados), os mecanismos de transferência de dados(entre unidades, países, empresas, etc), além das descrições de processos e técnicas a serem aplicados na segurança organizacional daqueles dados. Acresce-se a isso os planos de riscos devidamente definidos para os dados, envolvendo incidência, probabilidade, impacto , mitigação e contingência. As notificações e avisos obrigatórios sobre o uso dos dados deverão incluir o período de retenção para os dados pessoais e informações de contato dos controladores de dados e  do escritório ou gestores de segurança e proteção, definidos. Aliás, já se usa a sigla DPO-Data Protection Office, para definir um grupo totalmente dedicado a isso. Outro aspecto considerado importante será sobre as decisões automáticas(ações por default), que poderão ser contestadas. Ou seja, um cidadão poderá questionar uma opção (definida automaticamente por um sistema-tipo Optin/out) de coleta de seus dados, caso não haja a sua manifestação explícita de concordância sobre aquilo. Os dados deverão ter seu uso explicitamente consentidos pelos usuários. Os sistemas e serviços deverão ter um Plano definido de Privacidade e Segurança. Por exemplo, um Hospital que coleta os dados de pacientes, via sistema de internação e os complementa via sistemas de informações médicas, será o Controlador desses dados nesse contexto, caso haja dados de cidadãos da UE. Como controlador, deverá responder por todos os pontos definidos anteriormente e deverá estar apto a demonstrar, via GD, os elementos requeridos pela GDPR.  

Processadores:  
São pessoas, agências, autoridades públicas ou qualquer outro corpo organizacional que trabalha, em nome de outro(o controlador). São os contratados para  realizarem serviços de dados definidos e esperados pelo Controlador. Os seus processos devem estar de acordo com as definições do Controlador, que por sua vez estarão coerentes com a GDPR. Um contrato entre essas duas partes deverá regular os requisitos de proteção e privacidade, segundo a GDPR. O “How” dos processos, a serem aplicados não precisam ser detalhados pelo Controlador. Poderá ser definido pelos Processadores, desde que estejam em “compliance” com as regras da GDPR. Dessa forma os Processadores assumirão responsabilidades(em nome dos Controladores), definindo: o sistema(ferramentas-processos e tecnologia) usado, as formas de coleta, armazenamento, transferência dos dados,etc. Definem também como os dados PII serão usados  e apresentarão Planos de retenção, disposal(eliminação de dados), etc . O Processador contratado não poderá subcontratar outro processador, sem a autorização expressa do Controlador. É natural que muitos Controladores sejam também os seus próprios Processadores e assim, as regras e exigências permanecem no mesmo domínio organizacional.
As informações requeridas para os Processadores são: nome, detalhe de contratos, especificação de cada controlador e processador(um Controlador poderá ter n Processadores, e vice versa). Detalhamento dos processamentos realizados para cada Controlador, descrição geral de medidas, técnicas e processos de segurança.  

Autoridades de Supervisão-AS:
São organizações, corpos organizacionais, etc definido pela UE como elementos de supervisão e controle constante sobre a GDPR. Estão geograficamente distribuídas pelos vários (países) da UE e serão as responsáveis pela lupa sobre os Controladores, Processadores e Representantes. Serão uma espécie de QA, com autoridade plenamente instituída.

Representantes:
São uma espécie de “proxy” dos processadores, que não estão na geografia da UE. Assim, os representantes respondem pelos processadores, perante as Autoridades de Supervisão, junto ao solo da UE. Suponha, por exemplo, uma empresa brasileira de tratamento de dados (faça projetos de Qualidade de dados, Dados Mestres, BI, etc) que fará um serviço para a FIAT na Itália. Essa empresa, deverá ter um representante formal naquele pais, ou em algum lugar da UE, que será o elo com as autoridades de supervisão.

Outras considerações importantes:
a)O consentimento(ou a autorização concedida pelo donos dos dados), deverá ser feita explicitamente em termos claros, inteligíveis, sem juridiquês (legalese, em inglês), em um formulário facilmente acessível, com o objetivo do uso dos dados pelos controladores e processadores claramente definido. O consentimento dado poderá ser retirado a qualquer momento, bem como a solicitação de eliminação de dados existentes, porém agora sem relevância;
b)O direito ao acesso, por parte dos usuários, será rigoroso, podendo o dono dos dados questionar os controladores ou processadores se os seus dados estão sendo processados por eles;
c)O direito à portabilidade significa que o dono dos dados poderá solicitar (aos controladores e processadores) os seus dados em uso, entregues em forma digital (machine readable) e transferi-los para outro controlador;
d)O direito à Privacidade por projeto(Privacy by design) diz respeito à consideração desses conceitos(Privacidade e Segurança) serem feitas no nível de projetos e não mais à posteriori.

Como se percebe, as exigências da GDPR elevarão, em muito, os cuidados necessários com os dados de residentes da UE. Isso demandará uma visão organizacional sobre dados(nos domínios de Segurança e Privacidade) e , claro, chegará à Governança de dados e o seu papel fundamental e a importância  dos conceitos aplicados por ela. No próximo artigo, falaremos sobre isso. 

domingo, 18 de dezembro de 2016

Governança de Dados e a GDPR: General Data Protection Regulation-Parte I

Um dos pontos que mais chamaram a atenção na última Conferência de Inverno, em DelRay Beach-Florida foi a discussão sobre GDPR-General Data Protection Regulation, traduzido livremente para Regulação para a proteção geral dos dados. Lançada em Abril deste ano(2016) e com data para entrar em vigor, a partir de 25 de Maio de 2018, (portanto daqui a quase 18 meses) a resolução foca, de forma muito mais severa, na proteção de dados para os residentes da Comunidade Europeia. A ideia central é dar aos cidadãos sob sua proteção, a volta do direito absoluto sobre os seus próprios dados, além de uniformizar esse tema para a Comunidade da União Europeia(UE). A Europa, mostra mais uma vez, uma nítida visão de maior preocupação com os aspectos de privacidade e segurança de dados, bem maior do que os EUA, onde o tema é visto com certa leniência. Para ilustrar: De maneira geral, o número de incidentes de segurança/privacidade aumentou 38%, de 2014 para 2015. Em julho deste ano(2016), o Yahoo foi adquirido(seu core business) pela Verizon, por algo em torno de US$4,8 bi. Durante a negociação, diz a Verizon,  o Yahoo não revelou o vazamento(breach) ocorrido em 2014 de 500 milhões de contas, assumido em setembro deste ano, após a concretização da venda. Agora em Dezembro, na última 4afa, dia 14, o Yahoo revela e assume mais um vazamento, desta vez de 1 bilhão de contas, ocorrido em 2013. Talvez o maior vazamento da história digital. Pronto. Está configurado o embaraço, com mais de um bilhão de usuários tendo tido expostos seus nomes, telefones, passwords(criptografadas ou não), perguntas de “check” para confirmação de identidade e email secundário(aquele para onde serão enviados os procedimentos de “reset” de password). Uma empresa de cyber-segurança americana, especializada em circular pelas sarjetas da Dark Web, assegura que 3 cópias dessas informações já foram vendidas por US$300.000,00 cada. Assim , voltamos ao GDPR, como coloquialmente é chamado esse abrangente protocolo regulatório que definirá regras leoninas para mitigar eventos como os acima descritos e proteger os dados dos internautas da União Europeia. Isso, obviamente, cairá no escopo da Governança de dados, exigindo das empresas que ainda não se preocuparam com essas práticas, que se preparem. A implementação de Governança de dados, que inclui Segurança e Privacidade, em seus corpos de conhecimento, além de outros, será extremamente aquecida na Europa. Mas não somente lá. Se uma empresa brasileira realizar um serviço de , por exemplo, Qualidade de dados ou um projeto de dados Mestres para uma empresa da UE, localizada aqui ou lá, ela também(a brasileira) deverá estar  em “compliance”  com o GDPR. Assim, preparem-se para esta nova fase de GD. Lembre-se desta data: 25 de Maio de 2018...Voltaremos ao assunto, dentro da lupa de Governança  e Gestão de Dados.

domingo, 4 de dezembro de 2016

Gerente e Regente-As sutilezas de um anagrama

Domingo das cores de Abril. Praça da Liberdade, céu azul de soneto, Orquestra Sinfônica e repertório dos Beatles. Melhor combinação, pra quê? Encosto numa das palmeiras imperiais da Liberdade. Gigantesca, tronco firme, mal cuidada, com o verde da esperança, bem distante, lá longe, lá no topo...Parece o Brasil. Pessoas se aglomeram. Repertório aberto, será que tocarão Anna? . Provavelmente não... Olho de lado e vejo que pessoas pisam na grama... Ana, grama...esquisito, não é? Acho que meu hipotálamo tá querendo dizer algo, sei lá.. Presto atenção no palco, embora com ângulo desfavorável. De repente olho o maestro. O regente. Maestro, regente, anagrama de gerente. Ok, entendi... Thks cerebelo...Assim, me pus a pensar na diferença entre eles: o regente e o gerente. Os dois conduzem pessoas da sua equipe aos seus objetivos nobres e finais, cada qual na sua especialização. Um coordena o projeto, o outro a flauta doce. Um se vale do cronograma , o outro da partitura. Um segue o código Java e o outro os da clave de Sol. Muitas coisas comuns alinhavam esses dois personagens. Há, entretanto, uma diferença fundamental. O Regente tem propensão a destaque de bateria. Se posta como uma atração em separado, fisicamente à frente da equipe, embora de costas para o público. Não sei se por necessidade técnica , mas o regente tem todo um gestual de corpo, próprio dos grandes exibicionistas. Aponta a batuta com movimentos suaves e flutuantes de braço e tronco , que chamam a atenção para si e discretizam os verdadeiros heróis da equipe, que são os músicos. Apaga o clarinetista da cena, desaparece virtualmente com o pianista do palco e se transforma no foco visual do espetáculo. O bom gerente, por sua vez, se mimetiza na equipe que coordena. Sua presença, mais do que vista, é somente sentida. Coordena pelo conhecimento, conduz pelos detalhes da presença e a sua batuta é a força das palavras e o magneto do seu olhar. Quando observa a sua equipe, o gerente deve ser somente mais um da orquestra. Ouso dizer que aqueles músicos da Sinfônica de domingo tocariam “Yesterday” sem a presença do regente. Mas nunca, o regente faria aquela apresentação sem os músicos.... É, faz sentido... Gerente, deve ser mais mestre e menos maestro e muito menos regente com tiques de destaque. ...Here, there and everywhere...