O impacto da LGPD nas integrações B2B

A Lei Geral de Proteção de Dados (LGPD) é um assunto do momento e já está em contagem regressiva para agosto de 2020. Ninguém duvida que estes 10 meses vão passar voando.

De forma geral, a lei traz definições para proteção de dados e privacidade dos cidadãos brasileiros, principalmente dados de pessoas físicas e jurídicas que são solicitados e mantidos por empresas e instituições.
Na Europa, a GDPR que foi utilizada como base para a LGPD já está valendo desde 2018, e há casos reportados de sanções através de multas das instituições fiscalizadoras por falhas e até omissão na proteção de dados pessoais.

Alguns pontos principais regem os benefícios da lei aos cidadãos e à sociedade brasileira:

• Proteger e dar privacidade aos cidadãos no uso de dados pessoais, impedindo o uso inapropriado ou exposição não autorizada de dados pessoais;
• Indicar que as empresas ou instituições devem manter somente os dados pessoais mínimos e consentidos para realizarem sua atividade de negócio;
• Estabelecer regras e obrigações para reportar à sociedade casos em que dados foram expostos ou roubados;
• Uma entidade fiscalizadora para aplicação de sanções e multas para o não cumprimento ou omissão na proteção dos dados;

Visto que dados pessoais trafegam de forma abundante em integrações B2B, não há outra forma de estar em conformidade com a LGPD sem revisar e proteger as integrações B2B.

Também devemos nos atentar que muitos dados são expostos ou roubados no momento que estão sendo transmitidos sem os cuidados necessários. O mundo digital atual é totalmente baseado em integrações B2B com uso de APIs e EDI, o que requer ainda mais cuidados.

Toda a cadeia de negócios está baseada em integrações B2B, sendo com instituições governamentais e reguladoras, financeiras, industrial, serviços, logística, entre outras.

Todas estas integrações B2B trafegam inúmeros dados pessoais a partir de comunicações pela internet, muitas vezes em complexas redes de comunidades de empresas. Esse tópico pode ser ainda mais assustador para empresas que não possuem gestão clara das integrações B2B, pois a lei indica que o titular da informação tem direito a solicitar a eliminação de um dado, e também saber com quais instituições sua informação foi compartilhada.

Sabendo que temos conexões B2B diretamente relacionadas a lei LGPD, cabe a nós algumas reflexões:

• Eu realmente conheço e tenho controle sobre todas as conexões B2B da minha empresa?
• Os dados pessoais nas minhas integrações B2B são consentidas pelo titular dos dados pessoais para compartilhamento?
• Todas as minhas conexões B2B são minimamente seguras?
• Meus parceiros de negócio B2B possuem preocupações similares de segurança e proteção?
• Possuo intermediários como VAN (Value Added Network) ou serviços de integração de terceiros que são seguros?
• Tomei todas as ações necessárias para não ser considerado omisso se algum dado pessoal de cliente vazar?

As integrações B2B podem ser estabelecidas de formas simples e não estruturadas, como um simples e-mail de um consultor de viagens conversando com um atendente de uma rede de hotéis informando dados de uma reserva. Ou ainda mais avançadas ou digitalizadas como uma integração B2B, com dados eletrônicos de pedido e entrega de uma produção inteira de produtos eletrônicos entre uma indústria e uma empresa logística.
Em ambos os casos existem dados de clientes envolvidos nas integrações B2B, e todos os cuidados necessários para proteção devem ser tomados.

Alguns exemplos nos ajudam a mostrar onde os problemas podem estar escondidos:

• Se não existe uma solução de governança e rastreabilidade B2B, provavelmente não há controle sobre todos os fluxos de integração B2B estabelecidos. Negócios B2B também iniciam e terminam com frequência, e nestes casos pode haver fluxos de integração estabelecidos ou abertos sem atividade ou conhecimento de seu estado atual.
• Muitas transações B2B não são ponto-a-ponto, isto é, possuem um intermediário como uma VAN (Value Added Network) para estabelecer a comunicação. A VAN que presta os serviços de conectividade deve estar apta e segura a manter os dados seguros e protegidos. Se houver dependência de várias empresas de VAN para os diversos fluxos de B2B, a situação é mais complexa para gerenciar e controlar.
• Muitas empresas estabeleceram processos B2B há muitos anos, e podem desconhecer que há tecnologias desatualizadas e inseguras transmitindo informações abertas pela internet. Não é incomum processos B2B utilizando soluções como FTP para arquivos e HTTP para WebServices e RestServices trafegando dados desprotegidos pela internet.

A conclusão é que devemos revisar as integrações B2B estabelecidas, mapeando as conexões e transações com cada parceiro de negócio, identificando a criticidade dos dados envolvidos, e aplicando as definições de segurança mínimas e necessárias em cada caso.

Soluções de mercado como Axway AMPLIFY B2B permitem gerenciar grandes comunidades de parceiros de negócios, mantendo um catálogo de relações de documentos de negócios, e regras e meios de segurança aplicados para garantir a segurança e privacidade de dados trafegados.

Com a LGPD, torna-se extremamente necessária a governança dos fluxos de dados que envolvem dados pessoais, e as empresas devem contar com soluções e tecnologias para apoiar este processo. Há casos da GDPR na Europa em que empresas foram punidas pela entidade fiscalizadora por omissão, por não terem atuado para identificar e melhorar a segurança de dados pessoais de clientes.

*Por Por Julio César Campos Fernandes, Senior Solution Sales Executive – API and B2B Specialist na Axway