Novas regras de armazenamento de dados pessoais preocupam empresas

Se um recurso on-line não respeitar a nova norma, o acesso a ele a partir da Rússia pode ser restringido ou bloqueado Foto: PhotoXPress

Se um recurso on-line não respeitar a nova norma, o acesso a ele a partir da Rússia pode ser restringido ou bloqueado Foto: PhotoXPress

Novas regras de armazenamento de dados pessoais afetam tanto os participantes do mercado estrangeiros, como os nacionais. Mas não é preciso se desesperar: ainda não há uma “muralha da China” em torno da Rússia. Entenda quais as mudanças com a introdução da nova lei e o que está por trás da iniciativa.

Alguns especialistas estrangeiros entraram em pânico na semana passada, quando souberam das novas regras aprovadas pelo Parlamento russo em relação à coleta e armazenamento de dados pessoais – que serão permitidos apenas em território russo a partir de setembro de 2016.

Enquanto o armazenamento de dados pessoais em servidores localizados no exterior é permitido nos termos da legislação existente – com algumas restrições –, as novas regras exigem que somente servidores localizados fisicamente no território russo sejam usados. Se um recurso on-line não respeitar essa norma, o acesso a ele a partir da Rússia pode ser restringido ou bloqueado pelo regulador do Estado (Roskomnadzor).

As empresas internacionais que atualmente centralizam dados de todos os países em seus servidores próprios ou de terceiros terão de lidar com e armazenar dados pessoais russos separadamente. Trata-se de inúmeros sites internacionais, editores de aplicativos móveis, companhias aéreas, marcas, fabricantes e até mesmo pequenas empresas locais com usuários ou clientes russos.

A operação para segregar os dados de usuários russos e armazená-los separadamente na Rússia pode ser complexa, dependendo da arquitetura da plataforma de TI. A tarefa pode acarretar custos significativos ou, na pior das hipóteses, ser simplesmente de difícil gestão, garantem os críticos da lei.

O que é dado pessoal?

As novas exigências legais da Rússia se referem apenas a dados pessoais, que não devem ser confundidos com quaisquer informações relacionadas aos usuários. De acordo com a lei, a característica principal dos “dados pessoais” é a capacidade de identificar, entre muitas pessoas, um indivíduo específico. Quando só algumas partes das informações pessoais de alguém são armazenadas, por exemplo, o nome da pessoa e sobrenome paterno, mas não o seu nome completo, isso não será considerado dados pessoais, pois é insuficiente para identificar o indivíduo.

“Como resultado, vai ficar impossível para os cidadãos russos comprar um bilhete de avião pelo site de uma companhia aérea estrangeira ou para reservar um quarto de hotel por meio dos sistemas de reservas internacionais, já que os dados pessoais serão recolhidos e armazenados [fora da Rússia]”, garante a Associação Russa de Comunicação Eletrônica (RAEC).

No entanto, alguns participantes do mercado acreditam que a lei ainda pode ser modificada antes de entrar em vigor em 2016. “Esse pode ser o caso das reservas de bilhetes aéreos”, diz o presidente-executivo da Biletix, Aleksandr Sizintsev.

As empresas nacionais também serão afetadas pela nova regra se armazenarem dados do usuário, total ou parcialmente, em servidores estrangeiros. Exemplo disso é a MegaFon, operadora de celular líder de mercado na Rússia, que armazena os dados dos seus clientes em nuvem. As novas exigências legais “criam um quadro rigoroso para as empresas e implicarão em custos adicionais significativos em nível de banco de dados”, diz um representante da empresa.

Difícil, mas não impossível

Na grande maioria dos casos, contudo, o cumprimento das novas exigências não vai estar fora de alcance das empresas. Para as companhias que lidam somente com usuários ou clientes russos, a repatriação de dados – se necessária – será, obviamente, uma tarefa administrável.

O site russo KupiVIP.ru passou por tal processo no ano passado. “Transferimos tudo a partir da Alemanha, onde inicialmente tínhamos nossos servidores”, disse o presidente da KupiVIP, Oskar Hartmann.

Em relação às bases de dados internacionais, vários exemplos mostram que a segregação dos dados de usuários por país de origem também é uma tarefa gerenciável – embora mais complexa e potencialmente cara.

Na La Redoute Rus, os dados pessoais dos usuários russos foram armazenados em servidores nacionais desde o início. “Nossa sede em Paris não entendia a nossa decisão naquele momento, mas nós sabíamos que as autoridades russas poderiam, mais cedo ou mais tarde, proibir as transferências de dados pessoais entre países. Além disso, fizemos pesquisas com os nossos clientes, que manifestaram preferência por armazenar seus dados pessoais na Rússia”, diz o presidente-executivo da La Redoute Rus, José Metz. 

De acordo com o desenvolvedor ocidental de aplicativos móveis internacionais, a segregação de dados por país de origem não é um caso raro. “Por exemplo, por razões de direitos autorais, os proprietários de conteúdo de vídeo querem seu conteúdo visto exclusivamente por usuários de celulares de certos países. Desde dados declarados à localização e dados de navegação, a origem geográfica dos usuários podem ser definidas com bastante precisão”, diz o presidente-executivo da La Redoute Rus.

“Cumprir essa lei vai ser realmente difícil para os bancos de dados complexos que misturam dados internacionais – a menos que seu projeto tenha levado em conta tais evoluções. No entanto, a tendência de ‘dados sem-fronteiras’ morreu com o escândalo do NSA. Essa norma russa é o prenúncio do que poderia ser a próxima tendência – uma nova segmentação da rede mundial de computadores em nível nacional, e os especialistas em tecnologia precisam aprender a gerenciar dados de forma diferente”, conclui Metz.

Todos os direitos reservados por Rossiyskaya Gazeta.