Você pode colocar sensores em quase tudo, em quase qualquer lugar. A parte técnica de um projeto de IoT raramente é o que trava o negócio. Você monta o gateway, conecta os dashboards, prova o caso de uso em um piloto, e todo mundo fica feliz.
Mas vender para compradores corporativos e do setor público na Europa significa provar como os dados são tratados, e é aí que os negócios travam. O setor de compras envia um questionário de segurança. O jurídico pergunta quem é o controlador dos dados. Alguém quer saber onde os dados ficam fisicamente armazenados, e se a sua plataforma é certificada. Se você não tem respostas claras, o projeto fica em compasso de espera enquanto todos aguardam um documento que você não tem.
Então aqui está o mapa de conformidade que um integrador ou provedor de serviços gerenciados realmente precisa para vender serviços de IoT na Europa, e como escolher a plataforma certa encurta o caminho. Ao longo do texto, vou manter duas coisas separadas: o que você como vendedor precisa ter ou fazer, e o que o fornecedor da sua plataforma pode oferecer por você. Essas coisas não são a mesma, e confundi-las é como as pessoas são pegas de surpresa em uma análise de compras.
Um aviso rápido antes de começar: este conteúdo é orientação geral, não aconselhamento jurídico. Use-o para se situar e depois confirme os detalhes com seu próprio jurídico.
GDPR: a pergunta que todo comprador europeu faz primeiro
O GDPR rege os dados pessoais na União Europeia e no Reino Unido. Se a sua solução de IoT toca em qualquer coisa que possa identificar uma pessoa, o GDPR se aplica. E isso abrange mais do que você imagina. Uma implantação em prédio inteligente que registra qual crachá entrou em qual sala, um sistema de frota que rastreia motoristas, um sensor de ocupação vinculado a mesas nominais: tudo isso pode envolver dados pessoais.
A primeira coisa que os compradores querem entender são os papéis. O GDPR divide a responsabilidade entre o controlador dos dados e o operador dos dados. O controlador decide por que e como os dados pessoais são processados. O operador age conforme as instruções do controlador. Em um negócio típico de serviços de IoT, o seu cliente geralmente é o controlador, você pode ser um operador, e o fornecedor da sua plataforma pode ser um suboperador abaixo de você. Acertar essa cadeia importa, porque cada elo tem suas obrigações.
O que você como vendedor precisa fazer
Um Contrato de Processamento de Dados (DPA) costuma ser exigido entre as partes. Se você trata dados pessoais em nome do seu cliente, espere assinar um DPA com ele, e ter um em vigor com qualquer fornecedor do qual dependa. Você é responsável por entender o fluxo de dados na sua própria solução e por conseguir descrevê-lo de forma simples.
Alguns clientes também se importam com a residência dos dados. Eles querem que os dados pessoais fiquem na União Europeia, ponto final. Isso é comum em setores regulados e em todo o setor público. Se você não consegue dizer a um comprador onde os dados dele estão armazenados, você vai perder tempo, e às vezes o negócio.
O que o fornecedor da sua plataforma pode oferecer
Uma plataforma alinhada ao GDPR te dá uma vantagem inicial. Se o fornecedor da sua plataforma assinar um DPA com você e puder confirmar a residência dos dados na União Europeia, você herda uma parte das evidências que, de outra forma, teria que reunir sozinho. A TagoIO é alinhada ao GDPR e oferece servidores europeus dedicados na Irlanda, selecionáveis no cadastro, o que dá suporte à residência dos dados na União Europeia. Isso significa que, quando um comprador perguntar onde os dados ficam, você tem uma resposta concreta em vez de um talvez.
O que o fornecedor não pode fazer é assumir as suas próprias obrigações. Você ainda precisa do seu próprio DPA com o seu cliente, e ainda precisa tratar corretamente os dados que controla. A plataforma encurta o caminho. Ela não percorre o caminho por você.
ISO 27001: a sua versus a do seu fornecedor
A ISO 27001 é a certificação de gestão de segurança da informação que os compradores europeus costumam pedir. Quando um questionário de compras pergunta se você é certificado, geralmente é dessa certificação que eles falam.
Aqui está a distinção que confunde as pessoas. Há duas perguntas separadas:
- A sua própria organização é certificada na ISO 27001?
- A plataforma sobre a qual você constrói é certificada?
São coisas diferentes, e os compradores podem perguntar sobre ambas. Uma grande empresa ou um órgão público pode exigir que o fornecedor direto (você) tenha a ISO 27001. Certificar a si mesmo é um projeto de verdade: leva tempo, exige uma auditoria e um sistema de gestão contínuo. Isso é com você, e nenhum fornecedor pode te entregar pronto.
Mas construir sobre uma plataforma certificada ajuda. Se o fornecedor da sua plataforma é certificado na ISO 27001, você pode apontar para isso na parte da stack que você não opera, e isso reduz as evidências de segurança que você precisa produzir sobre a infraestrutura subjacente. A TagoIO é certificada na ISO 27001, então a camada de plataforma da sua solução se apoia sobre uma base certificada. Isso não torna você certificado. Significa que parte da sua resposta já está escrita, e você pode concentrar o seu próprio esforço de certificação nas partes que de fato opera.
Marcação CE e RED: o lado do hardware
Se a sua solução inclui hardware vendido na União Europeia, existe uma trilha separada que não tem nada a ver com a sua plataforma de software. Hardware vendido na União Europeia em geral precisa da marcação CE. Dispositivos de rádio, o que abrange a maior parte dos equipamentos de IoT sem fio, se enquadram na Diretiva de Equipamentos de Rádio (RED).
Mantenha isso no nível certo: a marcação CE e a conformidade com a RED costumam ser responsabilidade do fabricante do dispositivo, não do integrador que o implanta. Se você está comprando hardware certificado de prateleira, o seu trabalho é confirmar que os dispositivos que você entrega estão devidamente marcados e em conformidade. Se você mesmo projeta ou redefine a marca do hardware, assume mais dessa responsabilidade diretamente. De qualquer forma, um fornecedor de plataforma não pode aplicar a marcação CE nos seus dispositivos. Essa é uma obrigação de hardware que recai sobre quem coloca o produto no mercado.
Questionários setoriais e do setor público
Além das regras horizontais, setores específicos e compradores do setor público acrescentam suas próprias exigências. Questionários de segurança de compras são rotina. Espere perguntas sobre regras de tratamento de dados, controles de acesso, procedimentos em caso de violação, suboperadores e onde os dados ficam armazenados. Saúde, energia, transporte e governo carregam, cada um, expectativas extras além do GDPR.
O padrão é o mesmo de tudo o que foi dito acima. Algumas respostas são sobre a sua organização e os seus processos, que são seus. Outras respostas são sobre a plataforma que está abaixo de você, que o seu fornecedor pode fornecer. Um fornecedor com informações públicas de confiança e privacidade torna o preenchimento desses questionários mais rápido, porque as respostas sobre a camada de plataforma já estão documentadas. A página de trust da TagoIO existe exatamente por essa razão.
Uma checklist de prontidão
Antes de apresentar sua proposta a um comprador europeu, passe por estes pontos:
- Mapeie o seu fluxo de dados. Saiba quais dados pessoais a sua solução toca e para onde eles vão. Se você não consegue desenhar, não consegue defender.
- Confirme o seu papel no GDPR. Você é um operador para este cliente? Um controlador? Quem é o suboperador? Anote.
- Coloque seus DPAs em ordem. Um com o seu cliente, quando necessário, e um com cada fornecedor do qual você depende.
- Decida sobre a residência dos dados. Se o comprador precisa de residência na União Europeia, confirme que a sua plataforma dá suporte a isso antes de prometer qualquer coisa.
- Conheça o seu status na ISO 27001. Tanto o seu quanto o do fornecedor da sua plataforma. Seja honesto sobre qual é qual.
- Verifique a conformidade do hardware. Confirme a marcação CE e a conformidade com a RED para qualquer dispositivo que você entregue.
- Preencha o questionário com antecedência. Reúna agora os documentos de confiança e certificação do seu fornecedor, não quando o setor de compras estiver esperando.
Onde a plataforma realmente ajuda
Para deixar claro qual é a divisão: o fornecedor da plataforma não pode te tornar conforme ao GDPR, não pode certificar a sua organização, e não pode aplicar a marcação CE no seu hardware. Essas coisas são suas.
O que a plataforma certa faz é encurtar o caminho. Construir sobre uma base que é certificada na ISO 27001, alinhada ao GDPR e capaz de manter os dados na União Europeia significa que boa parte das suas evidências de conformidade já foi produzida por outra pessoa. Você herda as certificações da camada de plataforma, ganha um fornecedor que assina um DPA, e consegue responder à pergunta sobre residência dos dados já no primeiro dia. Isso transforma semanas de correria em uma conversa para a qual você está preparado.
Isso não é um atalho para fugir das suas obrigações. É a diferença entre montar cada peça de evidência do zero e montar apenas as peças que são genuinamente suas.
Em resumo
Vender IoT para a Europa tem menos a ver com os sensores e mais com provar que você trata os dados de forma responsável. O mapa é: papéis e DPAs sob o GDPR, residência dos dados, ISO 27001 tanto sua quanto do seu fornecedor, CE e RED para hardware, e questionários setoriais por cima. Tenha clareza sobre o que você precisa ter versus o que a sua plataforma oferece. Escolha uma plataforma certificada, alinhada ao GDPR e com residência dos dados na União Europeia, e você passa menos tempo travado em compras e mais tempo entregando.
E mais uma vez, porque isso importa: este conteúdo é orientação geral, não aconselhamento jurídico. Confirme os detalhes com seu próprio jurídico antes de assinar qualquer coisa.
