Skip to main content

O Cloud Software é compatível com o GDPR? Um Guia para Profissionais de Marketing

As plataformas de nuvem se tornaram uma ferramenta cada vez mais importante para as empresas modernas, e é fácil perceber por que - 85% dos dados das empresas americanas estavam em armazenamento na nuvem em 2020 e espera-se que o volume do mercado público de nuvem atinja 679 bilhões de dólares até 2025 (Statista, CRN).

Mas, à medida que as empresas fazem a migração para a nuvem em números cada vez maiores, a questão da segurança dos dados de armazenamento em nuvem tem crescido em importância - particularmente à luz dos requisitos rigorosos do GDPR que entraram em vigor em 2018.

Algumas empresas estão preocupadas com o fato de se abrirem a multas por não conformidade com o GDPR, utilizando um provedor de cloud computing para armazenar dados para elas.

E, embora isso seja compreensível, uma vez que um terceiro está envolvido, não há razão para que os dados armazenados e gerenciados sejam necessariamente menos seguros.

O que é a Nuvem?

Em termos simples, a nuvem é uma rede de servidores concebida para armazenar enormes quantidades de dados.

As empresas podem utilizar este hardware para armazenar os seus próprios dados, que lhes é acessível através da Internet.

Exemplos populares incluem Dropbox, Google Cloud, e Amazon Web Services.

Em termos gerais, o software de nuvem pode ser categorizado em três tipos:

  1. Público - um serviço em nuvem baseado na internet, fornecido a várias organizações, seja de graça ou com uma assinatura pay-per-use.
  2. Private - um serviço de nuvem interno dedicado a uma única empresa
  3. Híbrido - uma mistura de nuvem pública e privada

Muitas vezes eles também são quebrados de outra forma:

  • Infrastructure-as-a-Service (IaaS) - uma empresa paga para acessar os recursos de computação e armazenamento de um provedor de nuvem
  • Software-as-a-Service (SaaS) - uma empresa paga para aceder a software on-demand através da Internet
  • Platform-as-a-Service (PaaS) - um serviço com um ambiente de desenvolvimento e implantação que as empresas podem usar para construir aplicativos em um navegador

Benefícios da Nuvem para as Empresas

O armazenamento em nuvem pode ter enormes vantagens para as empresas a um preço contido: reduz a segurança dos dados e os custos de gestão, melhora a comunicação e catalisa melhor o trabalho em equipe.

As empresas também se beneficiam de uma maior segurança, menos tempo de inatividade devido a problemas de infraestrutura de TI e uma excelente escalabilidade à medida que crescem.

Em conjunto, o software em nuvem fornece às empresas a flexibilidade extra que pode dar-lhes uma vantagem competitiva crucial:

  • 84% relatam melhorias operacionais nos primeiros meses de introdução (Multisoft)
  • As pequenas e médias empresas acham 40% mais econômico empregar plataformas de nuvem de terceiros do que manter uma alternativa interna (Multisoft)
  • 94% das empresas relatam melhorias substanciais na segurança online após a migração de dados para a nuvem (Salesforce)

Como o Cloud Software tem sido impactado pela GDPR?

É importante ressaltar que 91% das empresas acreditam que as plataformas de armazenamento em nuvem têm sido uma grande ajuda no seu trabalho de conformidade com os requisitos governamentais, como a GDPR (Salesforce).

Elas têm sido projetadas há muito tempo com frente e centro de segurança, empregando criptografia avançada ao transmitir dados - o que significa que nenhum usuário não autorizado é capaz de acessar informações privadas.

Dito isto, a GDPR alterou permanentemente a forma como os dados pessoais podem ser armazenados e processados na nuvem e a AEPD - o cão de guarda da privacidade da UE - está a investigar se o AWS da Amazon e o serviço de nuvem Azure da Microsoft estão a proteger eficazmente os dados dos cidadãos.

Os requisitos da GDPR para os fornecedores de serviços em nuvem são os seguintes:

  • Desenvolver princípios para o tratamento de dados pessoais
  • Assegurar que o processo de processamento de dados respeite os 8 direitos do sujeito dos dados da GDPR
  • Estabelecer requisitos de privacidade por projeto para qualquer pessoa envolvida em atividades de processamento e controle de dados
  • Implementar controles sobre a propriedade e o direito de portabilidade dos dados
  • Introduzir medidas de segurança que garantam a privacidade dos dados
  • Estabelecer princípios para o processamento de dados a partes internacionais
  • Desenvolver políticas e procedimentos para gerenciar violações de dados
  • Desenvolver políticas relativas ao estabelecimento de acordos contratuais, períodos de retenção de dados e outros requisitos aplicáveis

Qual é a Responsabilidade de uma Empresa pelos Dados Retidos na Nuvem?

As questões de segurança de terceiros são uma grande preocupação da GDPR, e estas incluem quando uma plataforma de nuvem de terceiros está armazenando dados em nome de um negócio do cliente.

A GDPR distingue entre "controladores de dados" e "processadores de dados" quando se trata de responsabilidade pela segurança de informações pessoais.

Neste contexto, o negócio é o controlador de dados, enquanto o fornecedor de software na nuvem é o processador de dados - o que significa que o negócio é, portanto, responsável por manter os dados pessoais seguros, independentemente de estarem ou não armazenados em seus próprios servidores.

 

O que pensar na escolha de uma plataforma em nuvem

Antes de migrar para a nuvem, é aconselhável que as empresas se certifiquem de que o seu fluxo de dados pessoais está devidamente mapeado e que realizem uma avaliação do impacto na privacidade.

As considerações a seguir serão centrais para isso:

  • Os regulamentos desoberania de dados da GDPR estipulam que os dados devem ser armazenados na União Europeia. Felizmente, há muitos fornecedores de serviços em nuvem que permitem que você escolha onde os dados são armazenados, para que você possa selecionar um que utilize centros de dados na Europa.
  • Segurança dos dados Verifique qual a segurança que a plataforma de armazenamento em nuvem possui e escolha uma que ofereça criptografia de ponta a ponta. Em última análise, você precisa estar satisfeito que o provedor tenha procedimentos de segurança adequados.
  • Respeito pelos sujeitos dos dados Escolha um fornecedor da nuvem que adere aos oito direitos de privacidade dos sujeitos dos dados da UE - estas informações devem ser prontamente fornecidas pelas empresas da nuvem.
  • Proteção de dados por projeto e por padrão Garantir que a empresa de nuvem tenha integrado segurança em seu projeto e procedimentos - por exemplo, usando criptografia zer0-knowledge que restringe o acesso a informações confidenciais. Isso é fundamental, pois qualquer violação de dados será, em última instância, de responsabilidade da sua empresa.

O cumprimento do GDPR requer um trabalho contínuo

Uma vez que uma empresa tenha migrado dados para a nuvem, é prudente realizar auditorias regulares para garantir que os procedimentos e processos operacionais continuem a estar em conformidade com a GDPR.

Também é aconselhável verificar regularmente se a plataforma da nuvem continua a cumprir com as garantias de segurança dadas.

Este trabalho é normalmente realizado por cães de guarda independentes de terceiros ou sites de revisão, que devem ser verificados antes de tomar qualquer decisão sobre qual a opção a ser tomada.