A rápida evolução tecnológica a que hoje assistimos, juntamente com a globalização levaram à necessidade de ser desenvolvido um novo Regulamento que introduzisse alterações sobre a proteção das pessoas relativamente ao tratamento de Dados Pessoais, impondo novas obrigações aos cidadãos e às empresas.
Desta forma, após quatro anos de debate e preparação, o Regulamento Europeu Geral de Proteção de Dados (GDPR) foi finalmente aprovado pelo parlamento europeu e entra em vigor no dia 25 de maio de 2018, momento a partir do qual, todas as organizações que não estejam em conformidade serão penalizadas.
Assim, o GDPR vem substituir a Diretiva de Proteção de Dados 95/46/EC, no qual foi desenhado para colmatar a necessidade de uniformização de leis a nível europeu, bem como responder a uma maior exigência e capacitação por parte dos cidadãos e, por fim, mas igualmente importante, responsabilizar as entidades que recolhem, tratam e armazenam dados pessoais.
Há novos desafios na proteção de dados com a entrada em vigor do novo regulamento geral.
Quais são os processos de negócio que usam dados abrangidos pelo regulamento? Quais são os sistemas operacionais e analíticos onde estes dados residem? Qual é o ciclo de vida da informação? Quais são os processos de transformação aplicados a estes dados? Quem acede à informação em cada um dos sistemas? Estas são algumas das questões que as empresas deverão preocupar-se em responder de modo a estruturarem o seu caminho para esta regularização. Tipicamente, os dados analíticos de uma organização são usados para, entre outros, tomar decisões operacionais e estratégicas, reportar aos reguladores, descobrir tendências de mercado, ou ainda, para prever acontecimentos futuros com base em comportamentos passados. Podemos assim entender que grande parte destes dados são da própria organização, como por exemplo dados relativos a todas as ações realizadas pelos seus clientes (encomendas, pagamentos, entre outros), mas também enriquecidas por informação proveniente de fornecedores externos como sendo os macro indicadores tendências de mercado, ou ainda, para prever acontecimentos futuros com base em comportamentos passados. Podemos assim entender que grande parte destes dados são da própria organização, como por exemplo dados relativos a todas as ações realizadas pelos seus clientes (encomendas, pagamentos, entre outros), mas também enriquecidas por informação proveniente de fornecedores externos como sendo os macro indicadores relativos ao mercado onde a organização opera, permitindo-lhe comparar a sua performance com a dos seus pares.
Estes dados analíticos estão normalmente disponíveis em Data Warehouses ou em Data Lakes, e são consumidos através de ferramentas analíticas, mas há ainda muitas organizações onde esta não é uma realidade, estando estes residentes em ficheiros Excel, onde o controlo de acesso à informação não é tão efetivo. Desta forma, conseguir obter este controlo é o caminho para uma organização estar em conformidade com o novo regulamento, mas será sempre uma opção que tenta remediar uma situação que, para todos os efeitos, não deveria ocorrer à partida.
Contrariamente a um sistema de Customer Relationship Management (CRM), no qual é necessário conhecer univocamente os clientes / potenciais clientes, nomeadamente nomes, contactos e moradas, e desenvolver campanhas, os sistemas analíticos não necessitam desta informação.
Assim, as organizações poderão seguir vários caminhos rumo à conformidade com o regulamento dentro dos sistemas analíticos. No entanto, tanto as análises típicas como as análises com recurso a técnicas avançadas (redes neuronais, análises de clusters, análises semânticas) não necessitam dos dados que identifiquem univocamente uma pessoa. Não são necessários nomes ou números de contribuinte para este tipo de análises, o que realmente interessa é conhecer características como o género, a faixa etária, ou a freguesia onde o cliente mora.
Porém, estas questões nunca são simples e poderemos estar perante situações em que os sistemas analíticos fornecem dados a sistemas de CRM / sistemas operacionais. A título de exemplo, após uma segmentação de clientes onde descobrimos que 5% estão em risco de desistir dos serviços contratados, a organização poderá querer desenvolver campanhas específicas para estes clientes e, para isto, é obrigatório que os conheça.
Assim, é essencial que as organizações se adaptem ao GDPR e, de facto, existem várias receitas a aplicar de modo a assegurar a compatibilidade com o regulamento, não havendo uma solução única aplicável a todas as organizações. Cada caso é um caso, e importa cada empresa encontrar a melhor forma para si para compatibilizar os sistemas analíticos das organizações com este regulamento.
Cabe agora a cada uma avaliar qual a melhor que se adapta à sua situação.
Artigo de opinião publicado no meio Exame Informática - 25 Setembro, 2017
