Não é novidade que nas últimas décadas o volume de transferência de dados aumentou rapidamente com o avanço tecnológico no setor de informação e comunicação, a expansão dos serviços digitais e a digitalização do setor público.
Assim, cada vez mais são transacionados e gerados dados pessoais, públicos e de empresas. Parte desses dados ficam armazenados, de forma crescente, em estruturas de nuvem, aumentando o risco de ciberataques.
Recentemente, a China foi vítima de um ataque nesse sentido, quando um vazamento de dados, em julho de 2022, atingiu mais de 1 bilhão de pessoas. Os dados teriam sido extraídos por um hacker que atacou uma base de dados policiais de Shanghai e do sistema do armazenamento do Alibaba Cloud.
Após vazamentos, autoridades miram segurança de transferência de dados
Como consequência, órgãos reguladores elevaram seu grau de atenção sobre a segurança no armazenamento e na transferência de dados, afinal o ataque atingiu a infraestrutura em nuvem de uma das grandes bigtechs da China.
As autoridades estão seriamente preocupadas com novos vazamentos que possam comprometer a segurança nacional e expor dados pessoais dos chineses, sobretudo em um cenário de expansão das companhias de tecnologia da China para o exterior, elevando o risco de incidentes com dados nacionais em territórios estrangeiro.
Nesse sentido, a Administração de Cibersegurança da China (CAC), a principal autoridade de segurança cibernética, colocou em vigor no início do mês de setembro as “Medidas para Avaliação de Segurança de Exportações de Dados”.
As novas medidas de transferência de dados na China
As medidas detalham os requisitos para transferência de dados entre fronteiras, seguindo a Lei de Proteção à Informação Pessoal (PIPL) que junto a Lei de Segurança de Dados (DSL) e a Lei de Cibersegurança formam o marco legal básico sobre a governança de dados na China.
A PIPL, promulgada no fim de 2021, estabeleceu que as empresas chinesas que operam com transferência de dados precisam se submeter a uma revisão de segurança por parte do CAC. As novas medidas que entraram em vigor em setembro de 2022 serviram, justamente, para esclarecer quais empresas deverão seguir essa diretriz.
Em primeiro lugar, estão as empresas que operam com dados cujo vazamento poderia colocar em risco a segurança nacional, a operação econômica, a estabilidade social ou a saúde pública.
Também estão sujeitas a essas medidas as empresas que operam com transferência de dados em indústrias importantes ou com dados sensíveis. O CAC entende que esse seria o caso de empresas nas áreas financeira, de defesa e serviços públicos, por exemplo. Já dados sensíveis inclui dados biométricos (como impressões digitais, informações de íris, reconhecimento facial e DNA), históricos médicos e históricos financeiros.
Além da revisão de segurança, o CAC passou a exigir também certificação de proteção dos dados por uma instituição profissional e a assinatura de um contrato com o destinatário estrangeiro, estipulando os direitos e obrigações de cada parte na proteção dos dados.
Esses esforços, entretanto, não foram bem recebidos por parte das grandes empresas chinesas de tecnologia, elevando a tensão entre as bigtechs e os reguladores chineses.
O South China Morning Post, por exemplo, jornal do Grupo Alibaba e sediado em Hong Kong, criticou as novas diretrizes, sugerindo que a nova lei de transferência de dados pode complicar mais e elevar os custos de conformidade para as empresas que operam internacionalmente.
Veja mais:
Confiança digital: você se sente seguro quando empresas solicitam seus dados?
Segurança de dados: o que é e como ela impacta a experiência do usuário
Riscos de tecnologia em nuvem? Banco Central da Malásia lança diretrizes para contorná-los
Identidade digital: veja as tendências para uma das principais apostas da segurança cibernética
Fraudes financeiras: estratégias para enfrentar os riscos e os desafios da prevenção
