Mais do que simplesmente reforçar as suas defesas cibernéticas, reduzir a quantidade de informações pessoais coletadas pode ser uma excelente forma de diminuir os impactos de uma eventual exposição indevida de dados.
A Lei Geral de Proteção de Dados (LGPD) ainda está dando dor de cabeça para muita gente — embora já esteja em vigor há anos, muitas empresas (principalmente aquelas de pequeno a médio porte) não conseguiram garantir total conformidade com a norma. Com a iminência da aplicação de multas, a situação se torna ainda mais preocupante. E, no fim das contas, muitos empreendedores e até mesmo encarregados de dados (data protection officers ou DPOs) não sabem qual é o primeiro passo para alcançar o compliance.
Pois bem: diferente do que muitos imaginam, a jornada para a LGPD não envolve simplesmente reforçar suas defesas cibernéticas ao máximo. Um dos conceitos mais básicos e funcionais que qualquer corporação deve adotar é o de minimização de dados, que, como seu nome sugere, envolve reduzir a quantidade de informações que a sua empresa coleta e processa. A premissa aqui é bem simples — quanto menos peso você carregar, menor será o impacto caso tudo vá ao chão.
Pare e pense em todas as operações relativas a dados pessoais são realizadas ao longo de seu ciclo de vida: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle, modificação, comunicação, transferência, difusão, extração… É muita coisa! Quanto menor for a quantidade de informações que passarão por todas essas etapas, menor será a chance de termos uma exposição grave.
Dados obscuros: coletados por obsessão
É importante ressaltar que a LGPD em si não estabelece o que são dados necessários ou desnecessários. Porém, a comunidade de cibersegurança sabe que a maior parte dos dados armazenados pelas empresas cai na categoria de “dark data”. É como chamamos dados desconhecidos, inúteis e não-estruturados. De acordo com um recente estudo da IBM, 80% de todos os dados digitais do mundo são “obscuros” e é possível que tal porcentagem aumente para 93% em alguns anos.
Não é difícil explicar o surgimento do fenômeno do dark data: na década passada, a corrida por coletar e encontrar usos comerciais de informações pessoais — para marketing direcionado, por exemplo — explodiu ao redor do mundo, com as empresas recolhendo mais dados do que futuramente seria necessário. Além do óbvio desperdício de recursos computacionais para guardar e processar tudo isso, a chegada das legislações de proteção de dados pessoais se mostrou uma pedra no sapato para quem adotou tal estratégia.
Afinal — novamente —, por mais que a lei não defina ao pé da letra o que é um dado útil, ela deixa bem claro que você só deve coletar, processar e armazenar informações que sejam estritamente necessárias para o exercício de seu core business. A finalidade de cada tipo de dado deve ficar explícita para o titular, de maneira que ele possa conceder o devido consentimento. Aliás, nada de dados “obscuros ou perdidos por aí”, já que este mesmo titular pode requisitar uma cópia de tudo o que estiver sob seu controle!
Vejamos o que diz o art. 6º da LGPD:
As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
Somente o necessário
Claro, a minimização de dados é um conceito muito mais simples caso estejamos falando de novos negócios. Ele dialoga diretamente com as metodologias security by design e privacy by default, que orientam a criação de fluxos organizacionais e estruturas de desenvolvimento de produtos que respeitam a privacidade e a segurança do usuário final acima de tudo desde os primórdios. Mas isso não significa que uma empresa com maior tempo no mercado não consiga minimizar seus dados.
O primeiro passo, como sempre, é mapear o fluxo de dados atual, identificando eventuais informações que não são utilizadas e que podem ser descartadas. Também é crucial adequar processos de todos os departamentos da corporação. É muito comum, por exemplo, que o setor de recursos humanos armazene currículos de uma determinada vaga por mais tempo do que o necessário, ou que mantenha-os em uma espécie de “banco de talentos” para uso futuro. Será que isto é realmente adequado? Vale o risco?
Por fim, também é importante tomar cuidado também com a forma com a qual os dados desnecessários são descartados. As melhores práticas de descarte dependem da mídia na qual eles estão guardados — desde as clássicas fragmentadoras de papel para relatórios físicos até o “degaussing”, que utiliza campos magnéticos para “limpar” discos rígidos.