A influência das leis de proteção de dados dentro dos projetos de desenvolvimento de software em outsourcing

Publicado pela IBM, o relatório do “2020 Cost of a Data Breach Report” revelou que os Estados Unidos da América têm o maior custo (a nível global) com incidentes de violação de dados: US$ 8,64 milhões. E, em um cenário globalizado, com inovações e sistemas tecnológicos surgindo dia após dia, empresas de médio e grande porte precisam ter como uma das principais preocupações o tema segurança da informação.

Até porque o número de ataques cibernéticos vem subindo diariamente, especialmente nos últimos dois anos. No ano passado, por exemplo, a potência norte-americana chegou a investigar um grande ataque contra pelo menos 200 empresas locais, que conseguiu se infiltrar por uma companhia de tecnologia que presta serviços de administração de redes.

Diante desse cenário, o risco de um vazamento de dados gerar uma situação catastrófica e colocar em pauta a confiança de quem mais importa, os clientes, fez com que o mundo corporativo passasse a tratar mais do assunto, não só pela necessidade de cumprir normas e leis como também por realizar um trabalho detalhado no macro e no micro. 

O tema se torna ainda mais delicado com as linhas de projetos entre empresas de tecnologia que estão em territórios diferentes, com foco em aprimoramento de aspectos de desenvolvimento otimizados com a ajuda de provedores ou parceiros. Ou seja, o conhecido Outsourcing, um investimento bem mais variado que somente a ideia de terceirização.

O modelo citado implica também uma atenção maior por parte das empresas contratadas. Com ele, se espera ainda uma preocupação com entrega de serviços, suporte, consultorias, planejamento, execução de projetos e entre outros, incluindo o bom manejo com dados sensíveis. 

E dentro do Outsourcing, com maneiras de se fazer Onshore, Nearshore e Offshore, a utilização de cada vai de acordo com a prioridade do contratante para o momento. Por exemplo, se a intenção é ter uma parceria mais próxima, sem muita diferença cultural e priorizando a proximidade, o Onshore é mais indicado, por ser aplicado para negócios entre empresas dentro do próprio país, permitindo uma identificação maior e uma gestão de risco, se necessário, rápida. 

Mas, se a prioridade são as taxas menores e um fluxo de trabalho ininterrupto, o Offshore melhor se aplica, contratando empresas de outra parte do mundo. Além disso, o meio termo também pode funcionar, pois o Nearshore, ao enquadrar países do mesmo fuso horário ou de pouca diferença, consegue fortalecer as duas coisas ao mesmo tempo: a proximidade cultural e os valores de trabalho para desenvolvimento de software não tão altos, comparado ao Onshore. 

O ponto chave é que, quanto mais distante, maior é a necessidade de interpretar melhor as legislações de proteção de dados que regem nos locais de destino. Sendo assim, tratar cibersegurança pode ser um investimento complexo, devido à interpretação das leis existentes hoje em cada território. Agora imagina somar isso ao cenário e à visão de uma empresa que planeja desenvolver em outros locais. Imagina querer operar ou manter contratos fora do país e esbarrar com outras legislações determinantes para esse movimento comercial, com nações e pessoas que pensam diferente. Aqui, é preciso se preocupar com a soma da complexidade e variabilidade legislativa, cultural e jurisdicional. 

Mas tenha ponderação. Desistir de expandir e traçar linhas de trabalho internacionais pela complexidade desse tema não é o caminho, seja Nearshore ou Offshore. Nesse cenário, usualmente a estratégia compensa os riscos assumidos e sempre temos a possibilidade de adotar boas práticas para evitar que essas incertezas se tornem inconvenientes.

É valido lembrar que todas as partes envolvidas contratualmente possuem suas devidas responsabilidades no que tange à proteção de dados dos clientes. Este, aliás, é um dos principais pontos a serem considerados dentro da formação de um contrato, respeitando e aplicando as legislações que competem ao acordo. Tudo deve estar bem detalhado e comprometido, tendo em vista que as multas, danos de imagem e impactos nos clientes decorrentes de alguma brecha de segurança da informação são muito grandes. Se você é uma empresa que está nesse perfil e pretende traçar essa linhagem para seu negócio e tem sua credibilidade também baseada na sua atenção à proteção de dados, saiba por onde começar. 

Conhecimento cultural e territorial 

É determinante conhecer bem, não só o território parceiro em questão, como a cultura desse local. Dos Estados Unidos para a Europa, dos Estados Unidos para a América do Sul, dos Estados Unidos para a Ásia, enfim, esse processo exige conhecimento técnico.

Isso porque, ao sentir confiança no trabalho de uma empresa que vai contratar, sentindo que haverá um zelo maior pela proteção dos dados, dependendo da localização dela, é o que vai definir se o modelo o fluxo do desenvolvimento é Onshore, Nearshore ou Offshore. 

Hoje, por exemplo, no caso de uma das maiores potências mundiais, os Estados Unidos da América, que apesar de não ter uma regulação unificada, possui leis federais aplicáveis nos casos de vazamento de dados, assim como legislações estaduais diferentes. Em alguns locais, por exemplo, a leis estaduais estreitam ainda mais o tema, como na Califórnia, com a California Consumer Privacy Act (CCPA), e de Nova Iorque, com a New York Stop Hacks and Improve Electronic Data Security Act (NY SHIELD). Pela proximidade territorial, trata-se de um caso de Onshore. 

Já nos termos de uma contribuição à longa distância, podemos listar alguns exemplos. Se a ideia é atingir clientes e parcerias na Europa, a GPDR (General Data Protection Regulation) é a referência. O regulamento é uma norma que visa dar um poder maior com relação aos seus próprios dados, para os cidadãos dos 28 países que compõem a organização. Isso inclui a coleta, o armazenamento e o processamento de dados pessoais em qualquer ambiente online. E no caso da União Europeia, como detalhado no início, já se fala em Offshore, o que também vale para países africanos, asiáticos e da Oceania. 

Mas, se o cenário é a América Latina, consideramos os contratos entre as empresas como Nearshore. E nesse exemplo, podemos trazer o case brasileiro. Fruto de uma discussão por anos e que passou a vigorar, com risco de sanções, em agosto do ano passado, o Brasil promulgou a LGPD (Lei Geral de Proteção de Dados), hoje já reconhecida como uma das mais completas e estreitas. O regulamento orienta como as empresas do território precisam se portar quando o assunto é tratar dados privados dos cidadãos e clientes. 

O importante é entender que, sendo Onshore, Nearshore ou Offshore, com os exemplos de legislações de proteção de dados diferentes expostos, é necessário interpretar o regulamento e como isso propõe uma postura comercial diferente de ambas as partes, que precisam entender o funcionamento e como isso deve ser aplicado nos contratos. Se tratando de uma empresa norte-americana, e por ela deter os próprios dados, a preocupação acaba sendo essencial não pela legislação, que será aplicada a dos EUA, mas sim por identificar um parceiro que possui a mesma postura se a coleta dos dados for feita aqui. 

Invista em ferramentas, adequações e certificações de segurança 

É importante reforçar aqui que o investimento mais compensatório está em se adequar as normas dos modelos legislativos, pensando na formação e nas boas práticas. Mas caso a empresa consiga investir na certificação, ela ganha muito em credibilidade.

Por exemplo, o Secure Socket Layer (SSL), desenvolvido pela Netscape e que criptografa os dados, protegendo-os de ponta a ponta, evitando o vazamento de informações sigilosas para terceiros. Ou a ISO 27001, uma norma internacional de gestão de segurança, que visa atender uma série de requisitos e controles, com processos que têm como objetivo gerir melhor a segurança da informação da sua empresa. 

Já no quesito ferramentas, como exemplos que podem auxiliar ou atrasar um ataque para o mesmo ser contido, o navegador Opera foi o primeiro grande do segmento de navegação a oferecer um serviço de VPN integrado gratuito e ilimitado, proporcionando uma experiência de navegação mais segura. Com a expansão, hoje a marca também oferece VPN Pro, que protege não só a navegação, mas o dispositivo como um todo. 

Em outro exemplo, a IBM também tem ferramentas que tornam esse processo eficiente e confiável. Com o IBM Cyber Vault e IBM Safeguarded Copy, a empresa consegue ter uma cópia isolada dos dados, que não se altera até a data do seu vencimento. A estratégia torna-se uma boa opção, pois assim os criminosos não conseguem corromper os dados existentes por lá. 

Crie comitês de segurança 

Criar grupos ou comitês de segurança pode facilitar na criação de estratégias internas, de modo colaborativo. Além de ser uma ótima oportunidade de educar os colaboradores sobre a temática, é também uma forma de criar porta-vozes da empresa, que vão auxiliar na construção da imagem de uma companhia segura e de confiança, que preza pela proteção dos dados que manuseia. A própria ISO 27001 orienta como boa prática a criação de um comitê. 

Certo é que, quando uma empresa passa a ter um olhar mais enfático para o tema, hoje já é comprovado que as chances de fechar negócios são maiores. Se você tem uma lei forte no seu país e está adequado ao que ela diz, você tem um nome mais confiável no mercado.

Atrelado a isso, as boas práticas listadas vão te permitir expandir os negócios e cada vez mais criar cases e parcerias que servirão como exemplo para futuros acordos e comprovantes de expertise para serem apresentados aos clientes em apurações decorrentes de negociações 

Contrate um cyber insurance 

Outra tendência mundial é a utilização de seguros para agir contra ataques cibernéticos. Os Estados Unidos da América, assim como a Europa, há tempos já são mais evoluídos nesse ponto. E, de acordo com a pesquisa da GlobalData, pegando como exemplo o ano de 2020, a venda desse tipo de seguro chegou a US$ 7 bilhões no mundo. A expectativa é de que o investimento ultrapasse a casa dos US$ 20 bilhões até 2025. 

Ainda sobre o tema, o relatório de preços da Global Insurance Markets, da corretora Marsh, mostrou que as seguradoras chegaram a um consenso de impor limites máximos de US$ 5 milhões e US$ 10 milhões por risco de ataque, além de introduzirem nas apólices uma espécie de cosseguro, específico para os riscos de ransomware. O cenário é global, e os preços das apólices seguiram um aumento entre 20% e 30%. 

Transmissão de segurança jurídica e compliance 

Ter nome e garantia de confiança também significa ter poder. Estar no mesmo nível do que o mercado internacional funciona e espera lhe abre possibilidades para negociar, por exemplo, em relação aos preços, caso um risco a mais fique sob sua alçada, como a proteção de dados. Isso só será possível diante de uma adequação legislativa que se espera de uma empresa de sucesso. Além disso, atingir esse nivelamento imprime mais segurança jurídica e compliance. 

Um ponto importante nisso tudo é que ainda vivemos em um cenário relativamente novo e por isso ainda há diferenças grandes de legislações entre os territórios. As leis dos Estados americanos, a GDPR ou a LGPD brasileira, apesar de se sobreporem, sempre terão divergências. É preciso que essas divergências sejam emersas (exteriorizadas) e tratadas singularmente de acordo com boas práticas já adotadas previamente e suficientemente satisfatórias para as partes. Isso torna o processo mais moroso, mais pensado -e possivelmente mais confuso-, com definição de foro que irá julgar, por exemplo, caso haja alguma incidência. Mas é uma burocracia necessária, pelo menos nesse primeiro momento. 

A tendência então é que em breve haja boas práticas suficientes para mediar os principais cenários de ocorrência de falhas sob conhecimento de todos, ainda respeitando as legislações de cada território. O primeiro caso envolvendo uma exposição de dados foi julgado recentemente, por isso, com o tempo ainda caberá novas interpretações e jurisdições. E por tudo isso ser recente, mas ao mesmo tempo necessário e num ritmo rápido, quem está parado não imprime segurança jurídica. Se adequar é se atualizar. Se atualizar é garantir espaço, mas fornecendo proteção para ambos os lados. Quem conseguir simplificar todo esse processo o quanto antes, com certeza sairá na frente.