O que é soberania de dados?

A soberania de dados é a ideia de que os dados estão sujeitos às leis e aos regulamentos do país ou da região de origem desses dados.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Saber o conceito de soberania de dados
  • Comparar soberania de dados, residência de dados e localização de dados
  • Entender como a soberania e a residência de dados podem afetar os programas de conformidade com a privacidade

Copiar o link do artigo

O que é soberania de dados?

O termo "soberania de dados" refere-se à ideia de que os dados, tais como propriedade intelectual, dados financeiros ou informações pessoais, coletados ou armazenados em um determinado local geográfico, como um país específico ou a União Europeia (UE), devem estar sujeitos às leis daquele local. Independentemente de as pessoas estarem inserindo informações de cartão de crédito em um site de comércio eletrônico ou publicando comentários em uma plataforma de mídia social, as regras de soberania de dados visam garantir que esses dados do usuário sejam regulamentados pela estrutura jurídica em vigor no local onde esses usuários são cidadãos.

O conceito amplo de soberania de dados está frequentemente entrelaçado com questões de privacidade de dados, acesso do governo a dados, segurança, concorrência comercial internacional e direitos humanos. Alguns paradigmas de soberania de dados buscam garantir que os dados gerados em uma jurisdição permaneçam fisicamente nessa jurisdição. Outros buscam garantir que as proteções legais garantidas aos dados gerados em uma jurisdição acompanhem os dados, mesmo que sejam processados ou armazenados em outra jurisdição. Outros ainda buscam garantir que os dados gerados em uma jurisdição permaneçam, no mínimo, disponíveis para a aplicação da lei nessa jurisdição, independentemente de serem processados ou armazenados em outro local.

Quase todos os países têm algum tipo de lei de proteção de dados que oferece certas proteções para as informações pessoais coletadas de seus cidadãos. Exemplos relevantes de regras de soberania de dados incluem:

  1. O Regulamento Geral de Proteção de Dados (GDPR) e a Diretiva de Privacidade Eletrônica
  2. As leis de privacidade do consumidor da Califórnia(CCPA e CPRA)
  3. Os Princípios de Privacidade da Austrália (APPs)
  4. A Lei do Japão sobre a Proteção de Informações Pessoais (APPI)

Para um exemplo de uma regulamentação de soberania de dados em ação, imagine uma loja de comércio eletrônico que vende para clientes em todo o mundo, inclusive na UE. Para atender aos pedidos dos clientes da UE, a loja coleta e processa vários dados de usuários, incluindo nomes, endereços e informações de cobrança.

Independentemente de onde a loja de comércio eletrônico esteja sediada, o GDPR da UE será aplicado aos dados dos clientes da UE. Isso significa que a loja deve fazer coisas como informar explicitamente os clientes antes de coletar seus dados e coletar apenas informações pessoais pertinentes à transação (nesse caso, informações relacionadas ao atendimento do pedido). Se a loja quiser coletar e usar informações pessoais adicionais por outros motivos, como o envio de e-mails de marketing, ela precisará obter o consentimento do cliente (que pode ser revogado a qualquer momento).

Além disso, de acordo com o GDPR, os clientes podem solicitar acesso aos dados coletados e pedir que a empresa retifique ou exclua seus dados ("solicitações do titular dos dados"), o que significa que a loja de comércio eletrônico também deve criar sistemas para aceitar e responder a essas solicitações dos titulares dos dados.

Como a soberania e a localização de dados afetam os programas de conformidade com a privacidade?

A soberania e a localização de dados são conceitos intimamente relacionados. Conforme observado acima, a soberania de dados é a ideia de que os dados são regulamentados pelas leis do país ou da região em que eles são processados. A localização de dados, por sua vez, é a prática de armazenar dados dentro dos limites físicos de um país ou região de onde eles se originaram. Geralmente é usada para garantir que informações altamente confidenciais, como detalhes bancários ou informações médicas, permaneçam em conformidade com as regulamentações locais, uma vez que a transferência ou o processamento desses dados em outra região pode colocar as organizações em risco de violações de conformidade.

Voltando à empresa de comércio eletrônico descrita acima: a partir do momento em que ela processa dados pessoais, ela precisa observar as diferentes estruturas legais aplicáveis aos dados do consumidor que estão sendo coletados. A menos que a empresa queira adotar as regulamentações mais protetoras e aplicá-las a todos os dados de clientes, a empresa de comércio eletrônico precisará mapear seus dados para garantir que os requisitos de proteção de dados aplicáveis sigam esses dados pessoais.

Além disso, as regras de soberania de dados podem ter um impacto significativo nas decisões sobre onde os dados são processados e armazenados. Algumas dessas leis também têm implicações para as transferências de dados entre fronteiras, pois as proteções legais para as informações pessoais acompanham os dados, independentemente de onde sejam processados.

No caso da empresa de comércio eletrônico, para transferir os dados de cidadãos da UE para um data center fora da UE, a empresa precisa considerar qual mecanismo legal aprovado pelo GDPR vai usar para transferir os dados. Dependendo da localização da empresa, talvez seja necessário implementar disposições contratuais especiais para processar dados pessoais da UE fora da UE ou obter certificação de uma estrutura de adequação, como a Estrutura de Privacidade de Dados UE-EUA.

O tipo de soberania de dados e os requisitos de localização associados aos dados pessoais que uma empresa processa também podem influenciar a decisão de uma organização sobre o uso de uma solução de armazenamento baseada em nuvem. O armazenamento em nuvem oferece maior flexibilidade e escalabilidade, e muitos podem oferecer também soluções de localização de dados. Mas, para atender a jurisdições muito conservadoras com requisitos rígidos de localização, uma organização pode precisar procurar armazenamento no local, além de, ou em vez de, soluções baseadas na nuvem.

Como a Cloudflare ajuda as organizações a garantir a soberania e a localização de dados

A Cloudflare tem um longo histórico de fornecimento de proteção de dados a seus clientes e usuários finais, antes que essas proteções fossem consagradas em lei, e acreditamos que é importante não apenas dizer que cumprimos determinadas leis, mas também demonstrar nossa conformidade.

A Cloudflare é certificada pela ISO/IEC 27701:2019 (que corresponde ao GDPR da UE) e está em conformidade com a ISO 27001/27002, padrões de segurança de dados do setor de cartões de pagamento (PCI DSS) e com a SSAE 18 SOC 2 Tipo II. A Cloudflare também é certificada de acordo com a Estrutura de Privacidade de Dados UE-EUA, a Estrutura de Privacidade de Dados Suíça-EUA e a extensão britânica da Estrutura de Privacidade de Dados UE. Além disso, a Cloudflare é certificada pelo EU Cloud Code of Conduct.Essas validações e outras que possuímos fornecem garantia às organizações que transferem seus dados mais confidenciais por meio da Cloudflare e ajudam as empresas a cumprir e manter suas próprias obrigações de conformidade.

Há muito tempo, a Cloudflare segue princípios que se alinham às regulamentações comuns de soberania de dados:

  • A Cloudflare coleta apenas os dados pessoais necessários para fornecer nossos serviços e tornar nossos produtos melhores para os clientes.
  • A Cloudflare não rastreia os usuários finais de nossos clientes em ativos da internet, e não traçamos perfis dos usuários finais de nossos clientes para vender anúncios.
  • A Cloudflare oferece aos nossos clientes a capacidade de acessar, corrigir ou excluir suas informações pessoais
  • A Cloudflare dá aos nossos clientes o controle sobre as informações que são processadas por diferentes serviços. Por exemplo, quaisquer dados que sejam armazenados em cache na rede de distribuição de conteúdo (CDN), armazenados no Workers Key Value Store ou capturados pelo firewall do aplicativos web (WAF)

Além disso, a Cloudflare também pode atender a quaisquer requisitos de localização de dados aplicáveis. Nosso Data Localization suite torna mais fácil para as empresas definir regras e controles na borda da internet e manter os dados armazenados e protegidos localmente.

Saiba mais sobre como usar os serviços da Cloudflare e, ao mesmo tempo, manter a conformidade com a soberania de dados.