Como navegar na localização de dados e na conformidade

Como as regulamentações de proteção de dados estão moldando a internet

O Regulamento Geral sobre a Proteção de Dados (RGPD) transformou o mundo da privacidade na maioria das vezes para melhor. No entanto, ao mesmo tempo que a política histórica da Europa estabeleceu o padrão para a proteção das informações do consumidor on-line, também desencadeou uma cascata de ações regulatórias baseadas na ideia duvidosa de que a localização de dados os torna mais privados e seguros.

Leis de proteção de dados com disposições de localização existiam em algumas jurisdições antes do RGPD, geralmente para fins de segurança nacional. Mas desde que o RGPD entrou em vigor em 2018, pelo menos 30 países adotaram novas leis de proteção de dados ou alteraram as existentes, de acordo com dados da Comissão sobre Comércio e Desenvolvimento das Nações Unidas, e muitos deles impõem restrições à transferência de dados pessoais para determinados outros países.

A privacidade dos dados é minha paixão e nunca recebeu tanta atenção. Penso nisso o tempo todo e estou feliz que muitas outras pessoas, reguladores e empresas, também estejam pensando. Mas a localização não torna os dados mais privados. Na verdade, a pressão crescente para cumprir regras de localização de dados, por vezes inconsistentes e incompatíveis, pode tornar mais difícil para as organizações proteger a privacidade dos dados que processam. E o não cumprimento custa caro, como a Meta descobriu quando os reguladores irlandeses a multaram em 1,2 bilhão de euros por transferir dados criados localmente para os Estados Unidos.

O problema da localização de dados

O RGPD é geralmente visto como um padrão ouro de proteção da privacidade. Ele consagra os direitos dos titulares dos dados e exige práticas de tratamento de dados que foram copiadas por legisladores de outros países. Além disso, devido aos requisitos abrangentes do RGPD, muitas empresas adotaram a abordagem de aplicar as normas do RGPD a todos os dados pessoais que processam. Como resultado, os dados pessoais de bilhões de pessoas em todo o mundo estão protegidos no nível definido pelo RGPD, quer vivam na Europa ou não.

No entanto, um dos efeitos (talvez não intencionais) do RGPD foi o surgimento da geografia como proxy de privacidade. Antes do RGPD, havia casos de uso limitados para localização de dados. Os governos escreveram requisitos de localização em contratos para proteger certos dados de estrangeiros, ou estados autoritários os exigiram para permitir o acesso do governo a dados privados. Mas o RGPD intensificou o foco na regulamentação de transferências de dados internacionais. Quando a decisão Schrems II do Tribunal Europeu de Justiça invalidou o Escudo de Privacidade UE-EUA em 2020, isso levou vários reguladores a considerar que nenhuma transferência de dados da UE para os Estados Unidos seria permitida sob o padrão definido por aquele tribunal. E como alguns dos maiores provedores de nuvem estão sediados nos EUA, essa decisão teve grandes repercussões para as empresas em todo o mundo.

A ideia por trás da localização de dados, que os dados devem ser armazenados e processados no mesmo local em que foram gerados, é atraentemente simples. Se os dados dos cidadãos de um país permanecem em servidores dentro do país, o que se pensa, então o país pode manter esses dados seguros e garantir que os dados serão tratados de acordo com as leis locais. Na prática, porém, isso cria uma internet mais fragmentada, onde a privacidade e a segurança reais são mais difíceis de alcançar. Ao criar silos geográficos artificiais, a localização de dados na verdade diminui nossa capacidade de identificar vulnerabilidades e agir proativamente em relação a elas. Quando os dados sobre as tendências de bots na Índia não podem ser compartilhados com especialistas em segurança cibernética em Indiana, por exemplo, a internet fica mais perigosa para todos. E manter os dados locais também pode ter impactos perigosos na segurança nacional de um país, como a Ucrânia descobriu quando a Rússia invadiu o país em 2022.

Esse é o efeito do panorama geral. Para organizações individuais que tentam operar à medida que os mandatos de localização proliferam, a existência de tantas regulamentações nacionais, regionais e locais é um grande problema. Reunir uma infraestrutura de TI que satisfaça a todos sem sacrificar o desempenho é assustador.

Alcançar a conformidade e o desempenho

É assustador, mas não impossível, se você fizer as perguntas certas ao avaliar as soluções de segurança e proteção de dados. Você pode cumprir as obrigações regulatórias, bem como as demandas de clientes e usuários com produtos e fornecedores que priorizam a conformidade proativa, a resiliência e a visibilidade.

Ao avaliar se uma ferramenta de segurança pode ajudar você a atender aos requisitos de localização de dados e fornecer os resultados que seus usuários esperam, considere estas três perguntas principais:

1. Ela tem uma presença e uma mentalidade verdadeiramente globais?
   Uma ferramenta não lhe dará controle sobre a localização dos dados sem um software e hardware subjacentes que já estejam operacionais e em conformidade em muitos países e regiões. E você desejará escolher um fornecedor que tenha levado em conta cuidadosamente as nuances da conformidade com a proteção de dados em cada jurisdição onde possui usuários.

2. Ela fornece uma visão de onde (e como) seus dados estão sendo tratados?
   Você não pode ter certeza de que está cumprindo as exigências locais de manuseio de dados sem uma visibilidade imediata de onde seus dados estão e uma explicação clara do que acontece com eles em trânsito e em repouso.

3. O fornecedor está comprometido com a privacidade e a segurança?
   A empresa que apoia o produto deve ter um conjunto completo de certificações com foco em privacidade de organizações de padrões e agências governamentais. Também deve ter um registro de manter a criptografia dos dados do usuário, independentemente das políticas locais, onde quer que os dados estejam. E deve ter experiência em enfrentar solicitações de dados do governo que estejam em conflito com as leis de proteção de dados da jurisdição de origem do titular dos dados.
   

Na Cloudflare, acreditamos que a forma como você protege os dados é mais importante do que onde você o faz. Construímos uma rede global em nuvem que, ao colocar a privacidade em primeiro lugar, coloca a segurança em primeiro lugar. E temos as certificações que validam a nossa abordagem: ISO 27701 e ISO 27018, além da validação ao abrigo da Estrutura de Privacidade de Dados UE-EUA e do Código de Conduta de Nuvem da UE .

Mas como reconhecemos que alguns de nossos clientes precisam de ferramentas de localização, colocamos o poder dessa rede global nas mãos deles com um conjunto de ferramentas localizadas que oferecem visibilidade centralizada do estado de seus dados e controle sobre onde eles são usados e armazenados.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.

Autoria

Emily Hancock — @emilyhancock
Diretora de Privacidade da Cloudflare

Principais conclusões

Após ler este artigo, você entenderá:

• Como a geografia se tornou um proxy para a privacidade de dados

• As deficiências da localização de dados

• Três perguntas principais a serem feitas ao avaliar ferramentas de segurança

Recursos relacionados

• Como aprendi a parar de me preocupar e amar a conformidade

• Rumo a uma estrutura global para fluxos de dados internacionais e proteção da privacidade

• Série: Em busca de uma segurança que coloca a privacidade em primeiro lugar