Soberania de dados versus residência de dados: qual a diferença?

A distinção principal é que a soberania de dados é um conceito jurídico, ao passo que a residência de dados é uma categoria geográfica. Contudo, os dois conceitos estão profundamente relacionados.

A residência de dados geralmente determina a soberania dos dados. Por exemplo, se uma empresa armazena dados em um data center na Irlanda, os dados residem nesse país. Como os dados residem na Irlanda, o país tem soberania sobre eles. A empresa deve cumprir todas as leis de proteção de dados, leis de privacidade de dados e outros requisitos regulatórios exigidos pelo governo irlandês.

Dito isso, a residência não é o único fator para determinar quem tem jurisdição sobre os dados. Outros fatores, como onde os dados foram originalmente coletados ou com quem eles se relacionam, também podem desempenhar um papel.

A soberania e a residência de dados são conceitos importantes de governança de dados para as organizações atuais. As empresas coletam e processam mais dados do que nunca e geralmente usam aplicações de computação em nuvem e softwares como serviço (SaaS) para fazer isso.

O resultado é um aumento gigantesco nos fluxos de dados internacionais. As empresas podem coletar dados de pessoas em um país, armazená-los em um data center em um segundo país e processá-los com uma aplicação em nuvem executada em um terceiro país. Os dados podem ter que atender a diferentes requisitos legais em cada um desses locais.

As organizações precisam ter um controle firme de onde seus dados residem em cada ponto de seu ciclo de vida e das regras que devem seguir em cada localidade. As empresas podem sofrer penalizações significativas por violar as leis de dados locais.

A residência dos dados é sua localização física. Diz-se que os dados residem em um determinado país, estado ou local se os data centers, servidores ou outras máquinas que abrigam ou manipulam os dados estão fisicamente localizados naquele local.

Como os dados das empresas podem migrar bastante, os dados de uma única organização podem ter várias residências.

Digamos que uma empresa esteja sediada nos EUA, colete dados pessoais de consumidores dos EUA e armazene dados em servidores nesse mesmo país. Nesse caso, é óbvio que os dados residem nos EUA.

Agora, digamos que a mesma organização usa uma aplicação SaaS para processar esses dados, e os servidores da aplicação estão localizados no Canadá. Quaisquer dados transferidos para os servidores canadenses para processamento agora podem residir no Canadá e podem se enquadrar nas leis de dados canadenses.

Os requisitos de residência de dados geralmente se originam de exigências de políticas internas ou compromissos contratuais de uma organização, independentemente de qualquer requisito regulatório de localização de dados.

No entanto, as organizações nem sempre têm a opção de escolher onde seus dados residem. Algumas regiões têm leis com requisitos de localização de dados, que exigem que as organizações mantenham ou processem seus dados em um determinado local

Embora esses termos sejam às vezes usados de forma intercambiável, eles se referem a dois conceitos distintos. A residência de dados descreve onde os dados são mantidos. A localização de dados refere-se aos requisitos legais para manter os dados onde foram criados, ou seja, manter os dados locais.

Alguns países têm requisitos de localização de dados, segundo os quais as organizações devem manter os dados criados nesse país dentro de suas fronteiras. Esses requisitos podem variar desde a simples manutenção de uma cópia dos dados no país até a proibição de transferências de dados para o exterior.

Soberania de dados é o conceito de que os dados estão sujeitos às leis do país ou região onde são gerados ou processados. Se um país tem “soberania sobre” um dado, isso significa que o país tem autoridade legal sobre ele, inclusive para fins de segurança nacional.  

A soberania de dados geralmente é determinada pela residência. Se os dados residem em um local, geralmente estão sujeitos às leis desse local.

Algumas leis de soberania de dados acompanham os dados, aplicando-se a eles independentemente do local para onde eles migrem. Por exemplo, o Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia (UE) pode ser aplicado a dados mantidos ou processados fora da UE se esses dados pertencerem a residentes da UE.

Portanto, não é apenas onde os dados residem que pode ser relevante, mas também onde eles foram coletados ou com quem estão relacionados.

Da mesma forma que os dados podem ter várias residências, eles também podem estar sob várias soberanias. Por exemplo, os dados que residem em um país da UE devem obedecer às leis locais desse país e ao RGPD em toda a UE.

Os requisitos de soberania de dados podem variar:

• Alguns países restringem os tipos de dados sigilosos que uma empresa pode coletar e como ela pode coletar esses dados.
  
  
• Certos países impõem limites à forma como as organizações podem usar tipos específicos de dados.
  
  
• Alguns países exigem determinados controles de cibersegurança e exigem que as organizações sigam processos específicos no caso de uma violação de dados.
  
  
• Algumas regulamentações de privacidade concedem aos titulares de dados muitos direitos sobre os próprios dados, incluindo a capacidade de excluí-los.

O não cumprimento das leis de dados locais pode resultar em multas ou outras sanções legais. Também pode causar danos à reputação. Se uma organização desrespeita os regulamentos de privacidade de dados, os clientes podem levar seus negócios para outro lugar. 

Os requisitos de residência e soberania de dados podem moldar as decisões de uma organização sobre os tipos de dados que coleta, a maneira como usa os dados e a infraestrutura de TI que constrói.

Hoje, as organizações coletam mais tipos de dados (dados de clientes, operacionais, transacionais) de mais fontes de dados (aplicativos da web, sistemas de negócios, dispositivos da Internet das Coisas) ao redor do mundo. Muitas organizações utilizam serviços de nuvem para armazenamento de dados, processamento, análise de dados e outras cargas de trabalho importantes.

À medida que os dados migram pela infraestrutura de TI conectada à nuvem de uma organização, eles podem atravessar muitas fronteiras. Onde quer que os dados vão, eles podem estar sujeitos a novas leis. Ao trabalharem com provedores de serviço de nuvem, as organizações precisam estar cientes de onde seus dados vão para armazenamento, backup e processamento.

As organizações podem optar por trabalhar com provedores de nuvem pública que tenham infraestrutura no mesmo local que elas. Algumas delas recorrem a nuvens privadas com hardware no local desejado.

Muitas organizações adotam uma abordagem de multinuvem híbrida, usando vários ambientes e provedores de nuvem pública e privada. Essa abordagem híbrida ajuda a organização a criar a infraestrutura necessária para cumprir diferentes leis de dados em diferentes locais.

As complexidades da residência e soberania dos dados na nuvem levaram ao desenvolvimento da nuvem soberana, um tipo de computação em nuvem projetado para ajudar as organizações a cumprir os requisitos legais e regulatórios de diferentes regiões.

Algumas organizações optam por sistemas de dados locais em vez de processamento e armazenamento em nuvem. Manter os dados no local ajuda a reduzir certos problemas de conformidade, mas esses arranjos também podem ser caros e menos escaláveis do que a nuvem.

Alguns países determinam que as organizações adotem certas medidas para proteger os dados, como o emprego de controles de acesso específicos e tecnologias de detecção de ameaças.

Embora impedir o acesso não autorizado a informações sigilosas já seja uma prioridade para a maioria das organizações, a residência e a soberania dos dados podem ditar as medidas específicas de segurança de dados que elas devem adotar. 

Algumas leis de dados estipulam o que as organizações podem fazer com os dados que possuem.

Por exemplo, algumas leis proíbem o uso de dados sigilosos, a menos que condições restritivas específicas sejam atendidas. Algumas legislações concedem aos cidadãos direitos consideráveis sobre seus dados pessoais, inclusive o direito de excluí-los mediante solicitação.

As organizações que estão sujeitas a essas leis devem implementar mecanismos para garantir que os dados sejam usados da maneira adequada e que os consumidores possam exercer seus direitos com facilidade.  

Os requisitos de residência e soberania de dados podem ter implicações para as cargas de trabalho de inteligência artificial (IA) e aprendizado de máquina (ML).

Alguns países restringem certos usos de IA em certos tipos de dados. Por exemplo, a Lei de IA da UE proíbe práticas como sistemas de pontuação social e sistemas de IA que exploram certas vulnerabilidades, como aquelas devido à idade ou deficiência.

Além disso, poucas organizações hoje criam seus próprios modelos de IA a partir do zero. Muitas usam sistemas de IA de fornecedores terceirizados, hospedados na nuvem. Esses sistemas podem apresentar as mesmas complexidades de outros serviços de nuvem.

As preocupações com o uso seguro da IA levaram a um interesse crescente na IA soberana, ou seja, os esforços que os países empreendem para desenvolver seus próprios sistemas de IA e governá-la dentro de suas fronteiras.

As ferramentas de governança de IA ajudam as organizações a ter mais visibilidade e controle sobre como e onde a IA é implementada em seus stacks de TI. Com isso, suas aplicações de IA e ML podem gerar valor e ainda cumprir as regulamentações vigentes.

Aviso: O cliente é responsável por garantir o cumprimento de todas as leis e regulamentações aplicáveis. A IBM não oferece orientação jurídica nem declara ou garante que seus serviços ou produtos garantirão a conformidade do cliente com qualquer lei ou regulamentação.