Tendências globais em contexto: regulamentações internacionais de retenção de dados de longo prazo discutidas
12 minutos lidos
Kalyan Manyam0

Tendências globais em contexto: regulamentações internacionais de retenção de dados de longo prazo discutidas

A conformidade com a retenção de dados é desafiadora, independentemente do setor. Simplifique e agilize seu gerenciamento de dados enquanto melhora a conformidade com a regulamentação

Retenção de dados—às vezes também chamado de retenção de registros—é o armazenamento e a manutenção de dados e registros por um determinado período de tempo para atender aos requisitos de negócios, auditoria e conformidade. Desde manter registros financeiros precisos e cumprir com regulamentações até recuperação de desastres e alimentação de mecanismos analíticos, as empresas dependem de políticas sólidas de retenção de dados para funcionar de forma otimizada.

Aderir às políticas de retenção de dados demonstra que sua empresa lida com dados de acordo com os padrões e leis do setor. Sem retenção de dados, sua empresa corre o risco de armazenar muita (ou pouca) informação por muito tempo (ou não o suficiente).

Neste guia, discutimos as três principais categorias de requisitos de retenção de dados: regulamentações governamentais, padrões internacionais e regulamentações específicas do setor.

retenção de dados
Fonte: Shutterstock

Por que a retenção de dados é essencial para proteger seus dados?

A retenção de dados é essencial ao proteger sua empresa e os interesses de seus clientes. Dados corporativos geralmente incluem informações que são altamente valiosas em caso de disputas; uma estrutura abrangente de retenção de dados pode economizar para sua empresa taxas legais e tempo notáveis ​​em caso de auditoria regulatória, preocupações fiscais, problemas de equipe ou ação legal do consumidor.

Além disso, estratégias eficazes de retenção de dados equipam as empresas para fornecer um melhor serviço ao cliente. Usar dados de arquivo para gerar relatórios permite a identificação de tendências e o desenvolvimento estratégico de processos de negócios. A retenção de dados, portanto, não é apenas sobre preservar registros, mas também sobre estabelecer um recurso para planejamento futuro.

Com aumento privacidade de dados preocupações globalmente, as regulamentações de dados se tornaram mais rigorosas e complexas. Embora as leis de dados variem internacionalmente e entre setores, as diretrizes básicas de retenção de dados exigem que as empresas descrevam quais dados coletam, por que coletam os dados, identifiquem onde eles são mantidos e declarem o prazo de retenção.

Regulamentos governamentais sobre retenção de dados

As leis de retenção de dados variam muito entre as nações — e até mesmo dentro delas — em intensidade variável. Por exemplo, devido ao sistema federalizado dos EUA, as leis podem variar de estado para estado. Por outro lado, a União Europeia, como um órgão supranacional, define alguns dos protocolos de dados mais rigorosos do mundo. O chamado “Efeito Bruxelas” — no qual as regulamentações da UE causam um efeito cascata em todo o mundo — pode fazer com que empresas sediadas em outros lugares ainda joguem pelas regras da UE. Isso destaca uma diretriz fundamental sobre retenção de dados: garanta que você atenda aos padrões de todos os países em que opera.

Vejamos alguns dos principais intervenientes retenção de dados regulamentos.

Regulamentação governamental sobre retenção de dados
Fonte: Shutterstock

Estados Unidos

Os operadores comerciais devem estar cientes das leis federais e estaduais aplicáveis, como:

  • Lei de Segredos Bancários (BSA)
  • Lei Federal de Gerenciamento de Segurança da Informação (FISMA)
  • Lei da Comissão Federal de Comércio (Lei FTC)
  • Lei de Padrões Justos de Trabalho (FLSA)
  • Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA)
  • Internal Revenue Service (IRS)

A Lei de Registros Transacionais de Comunicações Eletrônicas também exige que os provedores de serviços retenham todos os registros por 90 dias e os apresentem se solicitado por uma entidade governamental.

Suíça

Os requisitos de retenção de dados suíços são definidos por vários códigos e portarias. Eles incluem uma Lei de Proteção de Dados, Código Penal, Lei de Imposto sobre Valor Agregado e a Portaria sobre Escrituração Comercial e Retenção.

As leis de retenção de dados exigem que as empresas (incluindo empresas dissolvidas) retenham dados por 10 anos. Há um requisito de retenção de 20 anos para registros relacionados a ativos imóveis com implicações de IVA.

Números de telefone celular, localizações e detalhes de identificação do dispositivo são alguns dados que as operadoras de telefonia móvel precisam reter por seis meses. Da mesma forma, os provedores de serviços devem reter dados de e-mail, incluindo tipos de conexão, logins, identificação do usuário, título do e-mail e endereços IP.

União Européia

O GDPR (Regulamento Geral de Proteção de Dados) da UE foca na destruição de dados pessoais após o término de um período de consentimento, em vez de ditar um período de retenção padrão. Os regulamentos de dados dizem respeito a todas as transações feitas na UE.

Instituições ou empresas não podem manter dados pessoais que identifiquem um indivíduo por mais tempo do que o necessário para o propósito inicial da coleta. Há exceções no caso de dados retidos para propósitos científicos, históricos ou de interesse público; dados anonimizados também podem ser retidos indefinidamente.

Detalhes das informações coletadas, usadas ou armazenadas devem ser explicitamente fornecidos ao titular dos dados. De acordo com o GDPR, todas as organizações também devem desenvolver uma política de retenção de dados detalhando seu processo de gerenciamento de dados pessoais. As multas por violação chegam a € 20 milhões ou 4% da receita global, mais possível compensação ao cliente por danos.

Australia

As políticas de retenção de dados na Austrália são amplamente voltadas para telecomunicações com o propósito de segurança nacional e investigações criminais. Os regulamentos australianos exigem que os provedores de serviços móveis retenham metadados por dois anos, incluindo informações do titular da conta, tipo de comunicação, duração, localização e serviços de telecomunicações.

O desenvolvimento de tecnologia e a mudança de modelos de negócios resultaram em empresas de telecomunicações que não retinham mais dados por tempo suficiente. A falta de dados e a retenção inconsistente prejudicaram seriamente as investigações criminais. Novas leis foram, portanto, estabelecidas em 2017 com subsídios disponíveis para auxiliar provedores de serviços de telecomunicações qualificados a atender aos regulamentos de retenção de dados.

políticas de retenção de dados
Fonte: Shutterstock

Normas Internacionais para Retenção de Dados

O ISO/IEC é um comitê técnico conjunto que padroniza normas de tecnologia da informação e comunicação internacionalmente. Os critérios de regulamentação nas seguintes categorias de tecnologia da informação e comunicação são essenciais para determinar sua política e estratégias de retenção de dados.

ISO / IEC 27040

Os aspectos de segurança da informação de sistemas e infraestruturas de armazenamento de dados foram negligenciados devido à familiaridade limitada com a tecnologia de armazenamento e uma compreensão limitada dos riscos inerentes e conceitos básicos de segurança. Este padrão fornece orientação técnica detalhada sobre técnicas de armazenamento e segurança para mitigar violações de dados, alterações de configuração, roubo e outros abusos de dados e, assim, melhorar a proteção de retenção de dados.

ISO 9001

O padrão de qualidade ISO 9001 foca na manutenção e retenção de documentos e registros. De acordo com o padrão, um documento descreve o que precisa ser feito. Como isso pode mudar, os documentos são mantidos. Os registros declaram o que foi feito. Como isso não pode mudar, eles são retidos.

O padrão define requisitos para controlar essas informações, incluindo o tipo de dados, aprovações de revisão de documentos, distribuição de informações e tratamento de documentos obsoletos.

ISO 17068:2017

Este padrão diz respeito ao repositório de terceiros confiável (TTPR) para registros digitais. Os requisitos especificam condições para serviços de custódia de dados autorizados para salvaguardar de forma confiável registros digitais como uma fonte de evidência durante os períodos de retenção de obrigação legal. Os regulamentos se aplicam tanto ao setor público quanto ao privado.

ISO / IEC 27001

A ISO/IEC 27001 foca no gerenciamento de segurança da informação para abordar especificamente os desafios da segurança cibernética. Ela fornece uma estrutura para implementar um sistema de gerenciamento de segurança da informação para garantir a confidencialidade e integridade de todos os dados corporativos durante o período de retenção de dados. Isso inclui informações financeiras e de funcionários, propriedade intelectual e dados gerenciados por terceiros.

A norma inclui diretrizes para organizações:

  • Melhore a resiliência contra ameaças cibernéticas
  • Fornecer uma estrutura de armazenamento de dados gerenciada centralmente
  • Responder a ameaças de segurança
  • Proteja a confidencialidade, disponibilidade e integridade dos dados

Embora não seja obrigatória, a certificação de padrões ISO/IEC beneficia muito as organizações na otimização da retenção e do gerenciamento de dados, além de fornecer garantias aos clientes de que eles atendem a determinados critérios de tratamento de dados.

Regulamentações da indústria relativas à retenção de dados

As indústrias têm diferentes necessidades de dados e, portanto, variam em como coletam e gerenciam informações sensíveis. Embora uma ampla gama de diretrizes de tratamento de dados se aplique à maioria das indústrias, também há regulamentações de dados muito especificamente aplicáveis ​​a instituições financeiras, de saúde e farmacêuticas.

Regulamentos da Indústria
Fonte: Shutterstock

Padrão de segurança de dados da indústria de cartões de pagamento (PCI-DSS)

Os Padrões de Segurança PCI são requisitos técnicos e operacionais para proteger dados de titulares de cartão de débito e crédito contra roubo de dados e fraude. Os padrões se aplicam a qualquer pessoa ou empresa que armazene, processe ou transmita dados de titulares de cartão. O PCI-DSS inclui regulamentações para aplicativos e dispositivos usados ​​no processamento de transações.

Logs de auditoria, gerenciamento de logs e retenção de logs são todos aspectos-chave dos requisitos padrão. Os logs de auditoria precisam ser retidos por pelo menos 12 meses. Outras práticas recomendadas para manter a conformidade e garantir a segurança dos dados armazenados incluem instalações de firewall, criptografia de ponta a ponta e software antivírus, bem como monitoramento de acesso rigoroso.

Califórnia Privacidade do consumidor Lei (CCPA)

A CCPA diz respeito a empresas que fazem negócios na Califórnia. Mais especificamente, ela se aplica àquelas com receita bruta anual de US$ 25 milhões ou mais, que processam as informações pessoais de mais de 100,000 residentes da Califórnia, ou aquelas para as quais pelo menos 50% da receita vem da venda de informações pessoais de residentes.

A CCPA dá aos consumidores controle sobre as informações que as empresas coletam, incluindo a opção de não compartilhar informações pessoais e excluir dados coletados. Ela também dá aos consumidores o direito legal de saber quais informações uma empresa coleta e limita o uso dessas informações coletadas.

Lei Sarbanes–Oxley (SOX)

SOX diz respeito ao registro e relato de atividades financeiras corporativas para evitar escândalos contábeis e perdas financeiras de investidores. A lei se aplica a qualquer empresa pública nos EUA.

A SOX exige retenção de documentos de auditoria e revisão por sete anos após a conclusão da revisão ou auditoria. Em alguns casos, a lei exige retenção permanente de registros.

Um sistema interno de segurança de dados e controle de registros financeiros são essenciais para manter relatórios financeiros precisos. A lei exige que um auditor independente verifique a precisão das informações, incluindo a confirmação da sólida estrutura financeira interna de uma empresa.

Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA)

Este ato não se refere exclusivamente a registros médicos, também estabelecendo regulamentações de retenção de dados para vários outros documentos relacionados à HIPAA relacionados a entidades cobertas e associados comerciais. É importante que, mesmo que você não lide especificamente com registros médicos, verifique se quaisquer dados que você capturar podem estar sob a jurisdição da HIPAA.

Os regulamentos HIPAA exigem que entidades cobertas e associados comerciais mantenham a documentação especificada por um mínimo de seis anos. O Office for Civil Rights (OCR) do Department of Health and Human Services (HHS) pode solicitar documentos a qualquer momento durante uma auditoria de entidade coberta ou associado comercial.

Manutenção de Registros na Indústria de Alimentos e Bebidas (FDA)

Dependendo de onde na cadeia de suprimentos as empresas de alimentos e bebidas operam, elas podem precisar legalmente registrar, manter e reter documentação comprovando práticas apropriadas da indústria. A documentação pode estar relacionada a:

  • Indústria​
  • Tratamento
  • Manuseio e embalagem
  • Distribuição e detenção
  • Recibo e fornecedores
  • COMPRADORES
  • Atividades internas

Esses registros facilitam a rastreabilidade caso surjam irregularidades e preocupações com a segurança alimentar.

Retenção de documentos na indústria farmacêutica

As empresas farmacêuticas precisam legalmente manter e reter documentação referente à fabricação, processamento, embalagem, atividades internas, distribuição e compradores de cada lote. Isso permite o rastreamento do lote no caso de quaisquer irregularidades.

Esses registros de produção, controle e distribuição de lotes devem ser retidos por pelo menos um ano após a data de expiração do lote. O período de retenção de dados para medicamentos de venda livre (OTC) sem data de expiração é de três anos após a distribuição do lote.

O período de retenção sugerido para ensaios clínicos e lotes de demonstração é o ciclo de vida mais um ano. O ciclo de vida se refere a todo o processo, desde os requisitos do usuário e design até a realização, qualificação e manutenção. Os registros de treinamento devem ser retidos por sete anos.

Retenção de documentos na indústria farmacêutica
Fonte: Shutterstock

Simplifique a conformidade com a retenção de dados com SOLIX

Manter a conformidade com a retenção de dados pode ser desafiador, não importa em qual setor você esteja. Mas ter a solução certa de gerenciamento de dados pode melhorar significativamente a conformidade e a acessibilidade dos dados.

SOLIXCloud é uma plataforma multi-nuvem que coleta, gerencia e governa a retenção de dados corporativos. A plataforma é segura, compatível e econômica; com controles automatizados baseados em funções, você pode restringir o acesso aos dados a partes autorizadas — e disponibilizar os dados para funcionários e profissionais jurídicos relevantes de qualquer lugar e a qualquer hora.

Entre em contato hoje mesmo para descobrir como você pode simplificar e agilizar seu gerenciamento de dados, economizando custos e melhorando a conformidade com a regulamentação de retenção de dados.

VP de Marketing de Nuvem e Produtos

Artigos relacionados