Como adequar sua nuvem às leis de proteção dos dados?

Home Cloud Computing
Como adequar sua nuvem às leis de proteção dos dados?
como-adequar-sua-nuvem-leis-de-protecao-dos-dados

Como adequar sua nuvem às leis de proteção dos dados?

Mais e mais empresas estão migrando para a nuvem. Isso pode trazer grandes vantagens para uma empresa: a nuvem permite uma melhor otimização dos recursos de TI, pois suas soluções são quase ilimitadas e têm uma grande flexibilidade. Tudo a um custo contido.

Enquanto as vantagens da nuvem para sua operação e orçamento são mais claras, ainda há dúvidas sobre como dados armazenados na nuvem estarão em complicance com as novas leis de proteção de dados — a GDPR, lei européia, e a LGPD, lei brasileira aprovada em 2018.

Normalmente, um provedor de serviços em nuvem se qualifica como um processador quando sua empresa usa seus serviços.

Isso significa que o provedor processará dados pessoais — armazenados nos bancos de dados ou servidores em qualquer lugar do mundo — em seu nome: o controlador. O provedor de serviços em nuvem não pode fazer nada com seus dados, a menos que você os instrua a fazê-lo.

Mas como isso é visto na lei e como se adequar para garantir compliance? Continue lendo e descubra conosco os aspectos principais aos quais ficar de olho!

Desafios gerais da privacidade na nuvem

O primeiro desafio na computação em nuvem está ligado à sensibilidade das informações confiadas. Como empresa, você pode hospedar praticamente qualquer tipo de informação na nuvem, incluindo informações confidenciais, o que aumenta o risco de distribuição descontrolada desses dados a terceiros (por exemplo, concorrentes).

Se uma solução de computação em nuvem for escolhida onde o processamento de dados e / ou o armazenamento das instalações forem compartilhados, o risco de vazamento de informações estará presente.

Além disso, com a computação em nuvem, a relação de dados com uma localização geográfica pode ficar desfocada, ou seja, nem sempre é claro onde os dados são armazenados. Portanto, pode ser difícil para uma empresa determinar a lei aplicável.

Dentro da GDPR, a localização física é um fator decisivo para determinar quais regras de privacidade se aplicam. A LGPD segue a mesma linha. No entanto, em outras jurisdições, outros regulamentos podem ser aplicados.

Esse desafio se torna mais difícil por causa da volatilidade dos dados na nuvem. Os dados podem ser transferidos de um local para outro regularmente ou podem residir em vários locais por vez. Isso dificulta determinar a lei aplicável e observar os fluxos de dados.

Outro desafio está na externalização da privacidade. As empresas que fazem uso de provedores de serviços em nuvem esperam que os compromissos de privacidade que eles fizeram com seus próprios clientes e funcionários continuem sendo aplicados pelo provedor de serviços de nuvem.

Se esse fornecedor opera em muitas jurisdições, o exercício dos direitos dos titulares de dados pode também estar sujeito a condições diferentes.

Como assegurar compliance na nuvem

É aconselhável escolher um provedor de serviços que esteja preparado para esses compromissos de privacidade, junto a acordos sobre o controlador e o relacionamento do processador. Veja alguns pontos para ficar de olho:

Implementando retenção efetivamente na nuvem

Em geral, de acordo com as leis de proteção dos dados, informações pessoais não podem não ser armazenados por mais tempo do que o necessário para o objetivo predefinido. Portanto, os períodos de retenção devem ser implementados e devem permitir a exclusão dos dados efetivamente quando os períodos de retenção expirarem: para dados armazenados localmente e na nuvem.

A eliminação de dados também imporá um desafio. Para excluir dados completamente, os backups também devem ser levados em consideração. Portanto, é importante ter uma visão geral clara de como os backups são protegidos e a retenção é gerenciada pelos provedores de serviços em nuvem.

Ruptura de resposta e coordenação

As obrigações e protocolos de notificação de violação devem ser incluídos nos contratos de processamento de dados com provedores de nuvem. O contrato deve definir um evento de violação e descrever um procedimento para o fornecedor notificar sua empresa sobre quaisquer violações sem atrasos indevidos.

Mesmo que o provedor de nuvem sofra uma violação de dados que afeta vários clientes, o controlador (você) deve possuir comunicações externas e gerenciar a violação geral com seu suporte. O que os controladores não querem é uma violação que faz manchetes antes que seu provedor os notifique sobre o evento e antes que ele mesmo possa notificar as autoridades locais.

Processamento de dados pessoais fora da jurisdição

Como os dados podem ser armazenados em vários locais por provedores de serviços de nuvem, pode ser possível que eles sejam guardados fora da jurisdição.

Para este processamento, salvaguardas apropriadas devem ser tomadas se nenhuma decisão de adequação tiver sido tomada sobre o país onde os dados residem. Os controladores precisarão definir uma estratégia de nuvem para aderir aos requisitos de adequação, bem como às leis de localização de dados.

Portabilidade de dados para o controlador

Os controladores devem poder facilitar o direito de portabilidade de dados para os titulares. Se os dados do controlador estiverem na nuvem, deve ser possível para ele recuperá-los em um formato estruturado, comumente usado e legível por máquina. Os provedores precisarão fornecer a capacidade técnica para garantir que os controladores possam satisfazer esse direito dos dados.

Gerenciamento de riscos

Os provedores de serviços de nuvem devem estar sujeitos ao gerenciamento de riscos de terceiros. Para determinar quaisquer riscos que possam surgir ao usar um provedor de serviços de nuvem, uma avaliação de impacto e de segurança pode ser realizada.

Além disso, o direito de auditar provedores de nuvem deve ser incorporado nos contratos concluídos com esses provedores. Para realizar uma auditoria adequada, uma estrutura de controle com privacidade deve ser definida junto a um plano de auditoria apropriado.

Arquitetura de nuvem e privacidade por design

Como um controlador, ao envolver um provedor de nuvem, você deve entender as tecnologias subjacentes que este usa e a implicação que essas tecnologias podem ter nas proteções de segurança e proteção dos dados pessoais armazenados na nuvem.

A arquitetura do sistema de um provedor de nuvem deve ser monitorada para abordar as alterações na tecnologia e as atualizações recomendadas para o sistema.

Agora que você sabe como adequar sua nuvem às leis de proteção dos dados, conheça os aplicativos do G Suite e veja porque eles são a melhor escolha para garantir compliance na nuvem!

Receba todas novidades


    Veja mais conteúdos: