Com o prazo de adaptação ao Regulamento Geral de Proteção de Dados (GDPR – General Data Protection Regulation) da União Europeia chegando ao fim, os CIOs estão correndo para mitigar riscos de multa por não cumprirem com as exigências. GDPR é uma regulamentação que exige que as empresas protejam os dados pessoais e a privacidade dos cidadãos europeus para todas as transações realizadas entre membros da União Europeia.
Este é um exercício tático necessário, mas os CIOs não devem pensar sobre o GDPR apenas por este viés. Na verdade, existem três razões importantes para que todos os CIOs vejam o GDPR também de forma estratégica.
A responsabilidade futura pelo uso de dados pessoais irá além do GDPR
O prazo final para adaptação ao GDPR (25 de maio de 2018) é uma data importante. Porém, não será a última.
À medida que as organizações acumulam mais dados do cliente, exploram e monetizam esses dados das mais diversas formas, e considerando possíveis usos inadequados dessas informações que expõe os clientes a maiores riscos, é importante que as agências reguladoras e os formuladores de políticas tomem medidas apropriadas.
O GDPR pode ser a resposta atual de maior destaque às preocupações relacionadas aos dados dos clientes, mas é apenas um indicativo das mudanças que estão por vir. Uma nova evolução da economia digital global inevitavelmente levará a outras regulamentações relacionadas à gestão de dados, e não apenas na União Europeia e nos Estados Unidos, mas em todo o mundo. Na verdade, o GDPR foi amplamente discutido em vários fóruns legislativos e regulatórios em Washington DC, inclusive quando Julie Brill, da Comissão Federal de Comércio dos Estados Unidos, escreveu: “O GDPR terá efeitos abrangentes sobre todos nós… [e] parte do seu objetivo foi definir um padrão global.”
Esta é uma mudança estratégica, não apenas tática. Historicamente, os CIOs consideravam os dados armazenados na infraestrutura corporativa como propriedade corporativa. O modelo tradicional considera os dados como uma propriedade de quem os coleta.
O GDPR sinaliza uma mudança radical neste modelo. No futuro, as empresas apenas pegarão “emprestado” os dados dos seus proprietários (leia-se, dos cidadãos), que terão os direitos específicos relacionados ao ciclo de vida dos mesmos. Os CIOs devem repensar todos os aspectos da empresa digital neste contexto.
A conformidade com o GDPR é mais do que apenas a governança de dados
A visão simplista do GDPR é a de que você estará em conformidade se gastar dinheiro com ferramentas de governança de dados e encontrar um agente de dados suficientemente engajado para impor as políticas internas de governança de dados de uma organização.
Mas isso é apenas parcialmente correto. Para cumprir com o GDPR e outros regulamentos relacionados, você precisa da tecnologia certa e das pessoas certas para ficarem de olho nos dados em toda a empresa.
Mas existem muitas outras fontes de dados na empresa digital atual além dos aplicativos e bancos de dados em produção. A pressão para colocar rapidamente novos recursos digitais inovadores no mercado, por exemplo, está fazendo com que muitas equipes de DevOps acelerem e não analisem bem os dados de teste que elas usam para realizar o trabalho. Às vezes, esses dados são enviados para fora da empresa para contratar desenvolvedores e QA shops sem qualquer mascaramento.
Por outro lado, muitas empresas recebem dados de terceiros sem investigar suficientemente as práticas de limpeza dessas informações. Essas ações podem expor uma companhia a responsabilidades graves relacionadas a dados, independente de se achar segura ou em conformidade.
Os CIOs devem considerar a conformidade como uma regra empresarial estratégica. São necessárias políticas fortes, transparentes e eficazes de descoberta, de coleta, de teste, de gerenciamento e remoção de dados, não apenas para garantir o cumprimento, mas também como parte integral da construção de relações digitais confiáveis e duradouras com os clientes.
O GDPR é uma oportunidade para a marca, não apenas uma carga imposta externamente
Quando surge um regulamento complexo e de alto impacto, como o GDPR, é comum vê-lo um fardo. Afinal, para se adaptar ao GDPR, as organizações geralmente usam recursos de outras iniciativas e a atenção do CIO é desviada de outros assuntos urgentes.
Então, por que não considerar transformar os custos que você não pode evitar em investimentos que compensam no longo prazo? Uma boa administração de dados não deve ser apenas algo que fazemos porque somos obrigados. Deve ser algo que fazemos porque é ético e de valor para nossos clientes. Além disso, o GDPR oferece um campo de atuação igual entre as empresas internacionais, incentivando o desenvolvimento de tecnologias inovadoras que podem beneficiar a todos.
Muitas empresas usam a responsabilidade corporativa a seu favor. A rede varejista Whole Foods e a fabricante de roupas e acessórios esportivos Patagonia são exemplos clássicos de empresas que elevam suas marcas e o envolvimento de clientes ao contextualizar as compras como mais do que meras transações financeiras. Quem pode dizer que a administração de dados não pode se tornar um equivalente digital da proteção ambiental ou impacto social do tipo “na compra de um produto, doamos outro para caridade”?
Além disso, a administração insuficiente pode trazer consequências estratégicas além das multas por descumprimento. Se os clientes não acham que podem confiar em você com seus dados, eles provavelmente não confiarão em você com seu dinheiro.
Mas isso sugere que os CIOs que consideram a administração de dados de forma estratégica serão superiores aos que não colocam isso em prática. Então, por que não se juntar a eles?
* Aruna Ravichandran é vice-presidente de Product Marketing da CA Technologies