Entenda por que a soberania de dados é essencial para garantir privacidade, conformidade e controle sobre informações em serviços de nuvem
Por Neil Thacker
Quando os dados trafegam por serviços em nuvem, muitas vezes cruzando fronteiras geográficas em milésimos de segundo, saber onde essas informações estão armazenadas e sob qual jurisdição elas se encontram deixou de ser uma preocupação meramente técnica.
A discussão sobre soberania de dados é complexa, porque exige que as empresas antecipem cenários jurídicos ainda incertos e possíveis conflitos entre legislações internacionais.
Muitas vezes, é como mirar em um alvo em movimento: normas como LGPD, GDPR, CCPA e outras leis nacionais de proteção de dados — que nem sempre estão alinhadas entre si — fazem com que o que ontem estava em conformidade, hoje pode não estar mais.
Por isso, entender quem tem acesso aos dados, onde eles estão armazenados e sob quais regras legais se submetem é um pilar fundamental de uma governança de dados robusta, e exige uma abordagem proativa e estratégica para gerenciar dados e fornecedores.
Ao avaliar fornecedores de tecnologia, sobretudo os que oferecem serviços em nuvem, sempre recomendo que os DPOs e CISOs analisem com atenção os Termos e Condições relacionados ao tratamento de dados. Não basta perguntar se estão em conformidade com a LGPD, por exemplo. Os riscos estão nos detalhes. Quero listar aqui algumas perguntas e pontos essenciais que devem ser analisados.
Privacidade por Design
Este é um conceito no qual a privacidade é considerada desde o início do processo de engenharia do sistema, e não algo acrescentado depois, por meio de arquiteturas ou processos de negócio.
Embora o princípio de “segurança por design” já conte com estruturas e diretrizes consolidadas para orientar as empresas na avaliação de boas práticas dos fornecedores (como a estrutura Secure by Design da CISA), a privacidade por design ainda não tem definições tão claras.
Na prática, o ideal é buscar evidências sobre como o fornecedor lida com dados muito antes de qualquer coleta ocorrer. Ao avaliar um fornecedor, é importante investigar seus controles e práticas de governança. Isso inclui políticas claras sobre o uso de dados para treinar modelos de IA: usarão seus dados diretamente, uma versão anonimizada ou nunca usarão seus dados?
Fornecedores responsáveis já refletiram sobre essas questões e, idealmente, devem oferecer documentação e processos de governança bem definidos para análise do cliente. Ao avaliar um parceiro, vale investigar se ele possui documentação detalhada que especifique quais dados são coletados, com qual finalidade e por quanto tempo são retidos; se consegue fornecer exemplos de avaliações de impacto de privacidade (PIAs) realizadas para seus serviços; e se oferece recursos que permitam ao cliente impor seus próprios requisitos de privacidade dentro da plataforma.
Um fornecedor que realmente incorpora a privacidade por design será transparente sobre seus processos e estará disposto a demonstrar, de forma clara, como suas soluções foram desenvolvidas com a proteção de dados como prioridade desde a concepção.
Menos é mais
Um dos princípios fundamentais da proteção de dados é a minimização de dados. Em termos simples, o ideal é que qualquer fornecedor colete e processe apenas os dados estritamente necessários para uma finalidade específica. Além disso, o acesso a esses dados deve ser temporário, e não permanente.
Por isso, é essencial analisar a arquitetura do serviço contratado e questionar todos os pontos em que os dados são armazenados. Muitas vezes, é possível realizar o processamento diretamente na memória, em vez de manter os dados armazenados, o que significa acessá-los por milissegundos, e não os reter por minutos ou mais. No fim das contas, o objetivo é garantir que sua empresa continue sendo a custodiante das próprias informações, e não que esses dados fiquem sob a guarda permanente de terceiros.
Ao avaliar os fornecedores, vale entender como eles garantem a minimização de dados em seus serviços, que mecanismos adotam para evitar a coleta ou retenção de informações desnecessárias e se existe a possibilidade de sua empresa recusar o armazenamento dos dados por parte do fornecedor, sem abrir mão do serviço prestado.
Reduzir a quantidade de dados processados por terceiros é uma forma direta de mitigar riscos relacionados à soberania da informação. Quando um fornecedor adota a minimização de dados como princípio, isso demonstra um compromisso com a privacidade por design.
Por outro lado, a ausência de processos claros ou resistência a discutir esse tema de forma transparente deve ser vista como um sinal de alerta. Isso vale para situações em que a empresa não consegue indicar facilmente um responsável capaz de responder às suas dúvidas.
Tecnologias de Aprimoramento de Privacidade (PETs)
Embora o princípio da minimização de dados se baseie em coletar apenas o essencial, as PETs (sigla em inglês paraPrivacy Enhancing Technologies) são fundamentais para proteger os dados que, ainda assim, precisam ser processados. Técnicas como anonimização, pseudonimização, redação, supressão, generalização, perturbação e tokenização permitem que os fornecedores extraiam informação de valor sem acessar diretamente os dados brutos.
Do ponto de vista da soberania, isso significa que os dados podem permanecer em data centers localizados dentro da jurisdição desejada, sendo transferidos para outras regiões apenas após passarem por um processo de anonimização ou separação de selos de identificação. A lógica é que um conjunto de dados redigido não tenha valor algum se for interceptado ou analisado.
Ao avaliar fornecedores, é essencial verificar se eles incorporam alguma PET em suas ofertas de serviço e entender, após a aplicação dessas tecnologias, exatamente quais dados ou metadados são transferidos para fora da região de soberania.
Também é importante solicitar exemplos claros de como essas tecnologias serão aplicadas aos seus dados e confirmar se há possibilidade de implementar PETs próprias da empresa como uma camada adicional de proteção integrada aos serviços do fornecedor.
Qualquer fornecedor confiável que queira que você confie seus dados corporativos a ele, deve ser capaz de explicar com clareza quais PETs estão integradas à sua arquitetura, e essas tecnologias precisam estar alinhadas ao princípio da minimização de dados. Afinal, não adianta anonimizar informações (como em processos de treinamento de IA) se o conjunto completo e original ainda precisa ser transferido para fora do território soberano para esse processamento.
Visibilidade
Um dos desafios mais comuns ao mapear a soberania de dados é a falta de visibilidade sobre os subprocessadores. Ao contratar um fornecedor de tecnologia, é comum que ele dependa de provedores terceirizados para entregar seus serviços, o que significa que seus dados podem acabar nas mãos de entidades que você nunca avaliou diretamente.
Embora essa investigação possa demandar tempo, ela é inegociável para qualquer empresa comprometida com a soberania e a governança de dados. É essencial questionar cada fornecedor sobre quais subprocessadores estão envolvidos e onde estão localizados, como são verificados e monitorados, se há possibilidade de aprovar ou contestar novos subprocessadores, e de que forma o fornecedor garante que todos eles seguem os mesmos padrões de proteção e soberania de dados acordados.
A verdade é que nem todos os fornecedores estão preparados para responder prontamente a essas questões. Cabe à sua estratégia de governança de dados definir se todos os tipos de informação exigirão o mesmo nível de verificação ou se certas categorias devem passar por uma apuração mais rigorosa.
O importante é insistir em respostas objetivas e cláusulas contratuais que garantam visibilidade e, idealmente, algum grau de controle sobre a cadeia de subprocessadores. Sem isso, sua empresa corre o risco de operar com um ponto cego relevante na estratégia de soberania de dados.
Base contratual
O Acordo de Processamento de Dados (DPA) é a base legal da sua relação com o fornecedor. Ele define claramente as responsabilidades de ambas as partes no tratamento de dados pessoais e, quando se trata de soberania de dados, precisa ser robusto e preciso.
É fundamental que o DPA detalhe quais dados serão processados, com que finalidade e por quanto tempo, além de incluir cláusulas específicas sobre localização de dados, indicando em quais regiões geográficas esse processamento pode ocorrer.
Na minha experiência, um DPA firmado com precisão é uma ferramenta essencial para mitigar riscos de soberania. Não hesite em questionar cláusulas genéricas e exigir termos que protejam de fato os dados da sua empresa.
Tratar dados de forma responsável, com foco em soberania, é um processo exigente. Leva tempo e, muitas vezes, será preciso lidar com a frustração de colegas quando o fornecedor desejado não oferece a transparência necessária. Nesses momentos, é fundamental manter firmeza na aplicação das políticas definidas pela organização e evitar exceções. Afinal, é essa consistência que contribui para elevar os padrões do nosso setor.
Se a soberania de dados é uma meta para sua empresa, faça as perguntas certas, analise as práticas dos fornecedores e utilize acordos contratuais para garantir que você tenha controle e visibilidade das jornadas de seus dados através das fronteiras digitais.
Segurança de dados e conformidade: o papel do ERP
Bases sólidas para o varejo com adaptabilidade, dados e Inteligência Artificial
INSS passa a usar procuração eletrônica para reforçar proteção de dados e segurança digital
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
