No dia 25 de maio o General Data Protection Regulation (GDPR) entra em vigor na Europa mas, ainda assim, muitas organizações, especialmente fora do continente, continuam despreparadas. Acontece que as experiências anteriores com regras de compliance não servem tanto como referência quanto se esperava; por outro lado, os aprendizados com normas não relacionadas à privacidade podem se mostrar muito úteis.
Lições aprendidas com outras regras de compliance não ajudam muito com o GDPR
Dado que a prática de compliance está intimamente ligada à legislação, elas frequentemente têm um caráter regional. No Canadá, o Personal Information and Document Protection Act (PIPEDA) ganhou força de lei em 2000. Ele trata essencialmente de privacidade, especificamente sobre obter consentimento e informando aos usuários do porquê de suas informações serem coletadas. Como acontece com muitas leis e regulamentações similares, até hoje não se registaram penalidades ligadas ao PIPEDA no ramo legal.
Os governos sempre querem aprovar legislações para compliance, mas frequentemente hesitam na hora de punir quem descumpre as normas. Essa sensação de “falsa não-conformidade” provavelmente vai surpreender empresas que optarem por ignorar o GDPR, imaginando que as consequências serão as mesmas com as quais estão acostumadas diante do histórico de legislações de privacidade. O GDPR, contudo, já prevê penas logo na primeira não-conformidade. Em vez de tentar se basear na jurisprudência de outras legislações de privacidade, melhor olhar para as referências de compliance do mundo financeiro, se quiser mostrar para sua empresa que o GDPR é para ser levado a sério, pois suas penalidades são um problema sério.
Lições do GDPR vindas do PCI-DSS
O PCI-DSS é uma comparação mais razoável com o GDPR: regras de conformidade locais com impacto global e prevendo penalidades. Quando o PCI foi introduzido, muitas instituições assumiram que ele não se aplicaria a elas, por não serem operadoras de cartão de crédito. Quando se deram por conta, estas mesmas instituições se viram totalmente vulneráveis quando perceberam que havia informações de usuários dos cartões em novos aplicativos ou foram adicionadas a apps originalmente não cobertos pelas normas do PCI. Em um caso particularmente icônico, uma única empresa foi multada em US$13,3M. O GDPR chega para lembrar que mesmo se você não for imediatamente sujeito às suas normas, é importante se manter atento para saber se essa situação não mudará de uma hora para outra.
Lições do GDPR vindas do HIPAA
As companhias americanas em geral não estão preparadas para se adequar ao GDPR. Analisando o histórico de adequação ao HIPAA, já dá para prever como será o processo com relação ao GDPR. O HIPAA é voltado para a privacidade, de modo que pode servir de referência. De início, a fiscalização do HIPAA era leve. O GDPR, por sua vez, se aplica a todas as empresas processando informações pessoais pertencentes a cidadãos da UE. Nos EUA, este requisito já havia sido definido na European Data Privacy Directive. O que mudou é:
- O Safe Harbor foi substituído pelo EU-US Privacy Shield, que requer que empresas americanas se auto-certifiquem junto à Comissão Federal de Comércio;
- Requerimento de relatórios são muito mais restritivos: as organizações têm apenas 72h para se pronunciar após descobrir um vazamento;
- As organizações precisam comprovar que estão usando tecnologia de ponta para proteger informações privadas;
- As multas são maiores. Há dois níveis, sendo o primeiro de até 10M de euros ou 2% do faturamento global da empresa (o que for maior), e o segundo até 20M ou 4% do faturamento;
- As empresas precisam nomear um Data Protection Officer (DPO), que terá autoridade para investigar e reportar vazamentos. Este indivíduo não poderá ser demitido ou penalizado pela empresa em função desta atividade;
- Usuários podem requisitar a correção ou remoção de dados privativos junto ao DPO.
As penalidades por não-conformidades do HIPAA vêm aumentando a cada ano na última década:
Vale notar que de acordo com os termos do Privacy Shield, indivíduos e agências governamentais (especificamente o FTC) podem processar empresas em cortes americanas. Os mecanismos para aplicar multas já estão estabelecidos. Organizações que não estejam preparadas para o GDPR certamente vão enfrentar consequências financeiras pelas não-conformidades, ou seja, o estágio 3, em pouco tempo. Diferentemente do HIPAA, o GDPR já é conhecido para muitas multinacionais. As organizações já vêm recebendo penalidades por conta do Data Protection Directive há anos, de modo que a curva de aprendizado será mais curta desta vez. Não se deve esperar muitos anos até que empresas americanas comecem a enfrentar consequências financeiras; as multas já devem começar a ser aplicadas em questão de 18-24 meses.
Lições do GDPR vindas de Maturidade em Compliance
Compliance nem sempre surge da mesma forma. No caso de outras normas de privacidade é comum que não haja penas por não-conformidades, mesmo em caso de vazamentos intencionais, ainda que em determinadas localidades estes vazamentos possam trazer grandes dores de cabeça. Desta forma, há um certo grau de maturidade no qual se encaixa o conceito de compliance, não necessariamente pela categoria (como financeiro, privacidade etc.) mas por regulações específicas ou padrão. Não há dúvida que todas as normas de compliance precisam acompanhar as devidas penalizações, mas é fato que há grandes diferenças no impacto de cada norma. Imaginamos que as organizações podem amadurecer seguindo um modelo como este:
Nível de maturidade | Características | Exemplos |
0 | Baixa utilidade no compliance, encontra desculpas para não seguir os procedimentos corretos | OWASP Top 10 |
1 | Conta com guias e checklists | NIST Standards, ISO 27001 |
2 | Normas e regulamentações formais sem penalidades | PIPEDA (atual) |
3 | Sofre impacto de não-conformidade | PCI-DSS, HIPAA, GDPR |
4 | Compliance faz parte do negócio | FIPS 140-2 |
A mudança do 0 até o 2 é rápida. Já há empresas que reportam ativamente vazamentos e conduzem investigações internas, assim como recebem multas pelo HIPAA. O Privacy Shield monitora as empresas registradas e oferece uma plataforma para relatar vazamentos e multas.
No final das contas
Embora os prazos do GDPR estejam se aproximando, essa não é uma seara totalmente desconhecida, basta usar algumas práticas que já funcionam para lidar com não-conformidades. Sim, o GDPR é um modelo de proteção de privacidade mais maduro do que a maioria das empresas americanas está acostumada, mas as regras de compliance que já existem e que baseiam leis e normas servem de referência para se adequar à nova realidade.