O que é conformidade de dados?

A conformidade de dados é a coleção de esforços que permitem que uma empresa siga os regulamentos de privacidade de dados.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Explicar o que significa conformidade de dados
  • Comparar conformidade de dados com privacidade e segurança
  • Justificar por que a conformidade de dados é importante

Copiar o link do artigo

O que é conformidade de dados?

A conformidade de dados é o ato de estar em conformidade com as leis e os padrões do setor para armazenamento, manuseio ou processamento de informações pessoais ou dados confidenciais. Para proteger a privacidade, existem hoje muitos tipos diferentes de regulamentos relativos a dados pessoais e confidenciais. As organizações que não seguirem esses regulamentos podem violar a privacidade pessoal e, como consequência, podem receber multas ou outras penalidades dos órgãos administrativos relevantes.

Os indivíduos têm vários direitos em relação aos seus dados pessoais de acordo com essas estruturas regulatórias. Tanto os direitos quanto a forma como esses direitos são descritos podem variar entre jurisdições. Não existe um conjunto de normas que sirva para tudo. Entretanto, seguir as práticas recomendadas típicas para o manuseio de informações pessoais (por exemplo, as Práticas de Informação Justa) pode iniciar uma organização na direção certa para a conformidade.

Por que a conformidade de dados é importante?

Proteger a privacidade individual:

Cumprir os regulamentos de privacidade de dados, como se pode inferir, ajuda a manter os dados pessoais privados. Muitos conjuntos de leis de privacidade dão aos consumidores controle sobre seus dados, permitindo que eles os editem ou, em alguns casos, os excluam, e exigem que as organizações que coletam dados informem aos consumidores quem pode ver seus dados e como eles são usados.

Muitos (incluindo a Cloudflare) consideram a privacidade um objetivo desejável por si só. Mas, independentemente das opiniões de qualquer pessoa sobre privacidade, as organizações que respeitam a privacidade do consumidor têm mais probabilidade de conquistar a confiança de seus usuários e clientes.

Evitar multas e outras punições:

As organizações que desejam continuar a fazer negócios em várias regiões, e evitar resultados comerciais negativos, como multas, devem dar um grande valor à conformidade de dados. Muitas estruturas regulatórias atribuem aos tribunais locais um forte poder para impor multas, sanções e outras penalidades por violações.

Por exemplo, as multas do Regulamento Geral sobre a Proteção de Dados (RGPD) são:

  • Primeiro nível: uma violação que resulta em uma multa máxima de 10 milhões de euros ou 2% da receita anual mundial da empresa, o que for maior.
  • Segundo nível: Uma violação que resulta em uma multa máxima de 20 milhões de euros ou 4% da receita anual mundial da empresa, o que for maior.
  • Além dessas multas, os indivíduos podem buscar indenização por danos quando uma empresa viola seus direitos no RGPD .

Evitar violações de dados:

Embora a conformidade de dados não seja em si a mesma coisa que proteger os dados, os controles exigidos pela maioria das estruturas de privacidade de dados geralmente tornam os dados mais seguros. Isto reduz a probabilidade de uma violação de dados.

Conformidade de dados é a mesma coisa que segurança de dados?

Não é bem assim, embora a conformidade e a segurança interajam de algumas maneiras. Por exemplo, parte da conformidade de dados é implementar controles para garantir que pessoas não autorizadas não visualizem dados, o que também aumenta a segurança.

No entanto, conformidade e segurança são dois esforços diferentes e, na verdade, às vezes entram em conflito. Por exemplo, se uma ferramenta antimalware de terceiros verificar todos os arquivos pessoais, isso pode aumentar a segurança. Mas também pode colocar a organização fora de conformidade se a ferramenta de terceiros não estiver em conformidade com as normas regulatórias aplicáveis.

É importante que as equipes de segurança e privacidade de uma organização trabalhem em conjunto para garantir que esses dois esforços, conformidade e segurança, não entrem em conflito.

Quais são as principais normas de conformidade de dados a serem seguidas?

Cada região geralmente tem seus próprios regulamentos de dados e outros são aprovados pelos órgãos legislativos o tempo todo. Alguns dos principais que provavelmente se aplicam a qualquer empresa que opere globalmente incluem:

Outras informações a serem conhecidas incluem a Lei de Privacidade do Consumidor da Califórnia (CCPA), a Diretiva de Privacidade Eletrônica, a Lei CAN-SPAM (Controlling the Assault of Non-Solicited Pornography and Marketing) e a Lei Sarbanes-Oxley (SOX).

Como tomar medidas para a conformidade de dados

A conformidade de dados é um esforço constante e nunca há uma garantia completa de que uma organização esteja totalmente em conformidade. Mas certas práticas tornam a conformidade de dados muito mais provável.

  • Inventário de dados: uma organização deve saber quais dados possui e onde eles estão. Uma estratégia abrangente de governança de dados é de grande ajuda aqui.
  • Controle de acesso: restringe a disponibilidade dos dados apenas às pessoas e aos serviços que precisam deles para reduzir a exposição de dados, evitar o movimento lateral de invasores e manter os dados seguros. A pessoa errada visualizando dados pessoais pode, em alguns casos, colocar uma organização fora de conformidade, portanto, o controle de acesso é essencial.
  • Criptografar dados em repouso e em trânsito: a criptografia embaralha os dados para que apenas pessoas ou serviços com a capacidade de descriptografar os dados possam visualizá-los ou alterá-los.
  • Treinar funcionários e prestadores de serviços: treinamento e educação são extremamente importantes para evitar violações de conformidade intencionais e acidentais.
  • Registrar o uso de dados e realizar auditorias: o registro em log permite que as organizações demonstrem conformidade para autoridades externas e ajuda a confirmar se as políticas de dados adequadas estão sendo seguidas.
  • Conhecer e estudar os regulamentos que se aplicam: dependendo de onde uma empresa opera, onde estão seus clientes e em que setor ela está, diferentes estruturas regulatórias de dados podem ser aplicadas. As organizações devem empregar pessoas que tenham experiência nos regulamentos aplicáveis e possam ajudar na governança de dados e na conformidade. Esta é, de fato, uma exigência de alguns regulamentos: o RGPD exige que as organizações de um determinado tamanho empreguem um "Data Protection Officer".

A Cloudflare foi criada tendo em vista a conformidade e foi projetada para oferecer às organizações os recursos e soluções de que precisam para permanecerem em conformidade. A nuvem de conectividade da Cloudflare simplifica a conformidade ao oferecer controles combináveis em uma única plataforma. Explore como a Cloudflare simplifica a conformidade de dados.