Apagar dados, Parte 1 – quando e porquê vale a pena manter os dados
Classe em vez de volume – eis o princípio que se tem vindo a impor cada vez mais no tratamento de dados. Quem trabalha com dados também precisa de orientações claras sobre como e quando manter os dados ou apagar dados antigos. Porém, o problema, na prática, reside muitas vezes na implementação destas orientações.
Durante anos, as empresas concentraram-se na recolha de dados – a palavra-chave era Big Data. Depois tratava-se principalmente de garantir que os dados não ficassem apenas a “acumular pó” sem serem utilizados, mas que no âmbito da análise de dados fossem processados e contivessem insights de valor. Entretanto, há uma consciencialização crescente de que a sofisticada inteligência artificial (IA) e a análise de dados são de pouca utilidade se forem alimentados com dados impuros. Muitas empresas que reconhecem o valor da qualidade dos dados sabem, o mais tardar nesta altura, que a qualidade dos dados também significa esforço de manutenção. Mas este aspeto, bem como a responsabilidade pelos dados, ainda é muitas vezes subestimado.
A discrepância entre as diretrizes e a sua implementação é um risco
Dados maus, nomeadamente dados desatualizados, imprecisos e incompletos, reduzem a qualidade da análise dos mesmos e causam trabalho adicional. Além disso, os dados também podem induzir em erro e levar a problemas legais: Por exemplo, o Regulamento Geral de Proteção de Dados (RGPD) estipula uma obrigação de apagar dados. De acordo com este regulamento, as empresas devem apagar os dados pessoais a pedido das pessoas em causa, por exemplo, em caso de revogação. Aqueles que ignoram isto e não o implementam arriscam-se a incorrer em multas consideráveis.
À medida que a situação se torna mais complexa juridicamente, surgem ano após ano cada vez mais dados e mais diversificados no ambiente dos particulares e das empresas. Além disso, o número de canais possíveis e, portanto, os locais onde as empresas interagem com os clientes, ou seja, outras empresas ou consumidores, está a aumentar, criando assim silos de dados fragmentados. Abrir os silos e centralizar os dados envolve um enorme esforço.Considerando apenas o Facebook, são criadas 100 mil milhões de mensagens privadas e de negócios por dia – e isto apenas numa plataforma. “Estes dados são uma matéria-prima essencial na economia digital, mas armazená-los, mantê-los e movimentá-los envolve imensos riscos, bem com responsabilidades”, diz um estudo da Blancco, uma empresa especializada no tratamento de dados. De acordo com o estudo, embora a maioria das empresas mundiais disponha de políticas de tratamento e eliminação de dados (96 por cento), a maioria delas falha na sua implementação por não as divulgar devidamente dentro da empresa.
Os dados não podem cair nas mãos erradas
De acordo com o estudo, muitas das mais de 1.800 empresas inquiridas em todo o mundo sentiam uma sensação de falsa segurança. Embora os dados sejam apagados por princípio, isso muitas vezes é feito com demasiada leveza, procedendo-se simplesmente à destruição dos antigos suportes de dados ou ao apagamento ou formatação dos dados, que assim são aparentemente depurados. Em muitos casos, isto conduz a problemas.
Muitas vezes, nem os supervisores nem os colaboradores estão suficientemente informados sobre as diretrizes para a depuração de dados. Quando um colaborador deixa a empresa ou quando se trata de eliminar velhos computadores portáteis, PCs ou discos rígidos, as coisas ficam bem complexas. Sem formação e conhecimentos especiais, um método inseguro de limpeza de dados é suficiente para permitir, por exemplo, que simplesmente discos rígidos formatados sejam recuperados – e, portanto, que os dados sensíveis caiam nas mãos erradas.
Outro fator suplementar de insegurança é criado pelo trabalho híbrido, atualmente cada vez mais difundido: trabalho flexível e móvel, colegas de trabalho em rede e freelancers criam mais partilha de dados, aumentando consequentemente o risco. Poucos são os que dedicam algum tempo para formar os freelancers em políticas de segurança de dados. E quando os seus próprios colaboradores utilizam computadores portáteis, tablets e smartphones para trocar dados da empresa na rede doméstica e navegar em suportes de dados, geram-se ainda mais riscos de segurança. Além disso, não foi só a digitalização que sofreu um enorme impulso nos últimos anos, mas também o número de ataques de hackers e de roubos de dados. E especialmente quando os dados dos clientes caem em mãos erradas, os danos para a imagem das empresas afetadas são grandes. Os hackers também estão cientes disto, roubando dados de clientes para extorquir grandes somas de dinheiro às empresas.
Os aparelhos antigos também são frequentemente esquecidos: os dispositivos descartados com dados sensíveis acabam muitas vezes inadvertidamente em locais fora da empresa. De acordo com o estudo, isto acontece muitas vezes despercebidamente, uma vez que, por exemplo, mais de metade dos PCs e computadores portáteis antigos são limpos por prestadores de serviços externos. A situação é semelhante com o hardware do servidor. Se os dispositivos forem armazenados durante muito tempo antes de serem apagados ou se não estiver suficientemente documentado quais os dados que foram apagados de forma segura, as empresas podem rapidamente ver-se confrontadas com a dificuldade de fornecer as devidas explicações.
Definir claramente as competências no âmbito da eliminação de dados
O estabelecimento de políticas de conformidade e de diretrizes para a proteção de dados, bem como o tratamento e a eliminação de dados antigos não é suficiente. As empresas que trabalham com dados e realizam análises de dados – que hoje em dia são basicamente todas as empresas digitalizadas – não só precisam de incorporar a competência de dados na empresa, como também precisam de alguém que assuma o papel de responsável pelo tratamento de dados. Incumbir um CDO, ou seja, um responsável pelos dados (Chief Data Officer ou Chief Digital Officer), é neste âmbito uma escolha lógica. Há também quem tenha um responsável pela proteção de dados, ou seja, um DPO (Data Protection Officer). Ele ou ela deve assumir a responsabilidade pela implementação das diretrizes, impulsionando o seu cumprimento e a sua implementação, bem como de comunicar e exigir os processos necessários para o fazer.
É igualmente importante repensar e procurar novas abordagens: as empresas não devem ver a eliminação de dados como uma simples tarefa obrigatória em termos de conformidade, mas compreender que a negligência nesta tarefa representa um risco de segurança tão grande como a ameaça de ataques de hackers. Entretanto, as pessoas já começam a ter uma maior consciência em relação a estes riscos.