A propriedade dos dados de IoT parece uma questão resolvida, até o dia em que você tenta sair de uma plataforma, é reprovado em uma auditoria ou recebe de um cliente europeu a pergunta sobre onde os dados dele ficam fisicamente armazenados. É aí que você descobre que “seus dados” carregavam um bocado de sentido implícito no contrato, e que a resposta sobre quem controla esses dados não era a que você imaginava.
A maioria das equipes nunca faz essas perguntas durante a seleção, porque a plataforma é avaliada por recursos e preço, e a seção sobre governança de dados parece só texto padrão de contrato. Mas propriedade, residência e conformidade não são texto padrão. Elas definem se você consegue sair, se consegue vender para mercados regulados e se uma auditoria será uma formalidade ou um incêndio para apagar.
Na verdade, há três perguntas distintas escondidas sob o rótulo “propriedade de dados”, e cada uma é respondida por uma parte diferente da relação com o fornecedor. Veja como separá-las e o que perguntar.
Pergunta um: de quem são os dados
Propriedade é uma questão contratual, não técnica, e as palavras importam. Você quer que o contrato afirme com todas as letras que os dados são seus e que o fornecedor é um processador que os armazena e manipula em seu nome, não um dono ou codono deles.
Os testes práticos da propriedade real são exportação e exclusão. Você consegue tirar todos os seus dados, em um formato utilizável, quando quiser, sem uma taxa que torne a saída dolorosa? E consegue solicitar a exclusão deles e receber confirmação? Se qualquer uma dessas coisas for barrada, restrita ou vaga, você não é dono pleno dos dados por mais que a manchete diga o contrário. A posição da TagoIO aqui é direta: seus dados são seus, acessíveis a qualquer momento pela API, o que significa que exportar é uma chamada de rotina, não uma negociação.
Faça a versão sem rodeios durante a seleção: “Se sairmos daqui a dois anos, como tiramos tudo, e quanto isso custa.” A qualidade da resposta revela quem de fato é dono dos dados.
Pergunta dois: onde os dados ficam
Residência é uma questão separada da propriedade, e confundir as duas causa problemas reais. Você pode ser dono absoluto dos seus dados e ainda assim tê-los armazenados em uma região que viola um contrato com o cliente ou uma regulação. Residência trata da localização física e jurídica dos dados, e para um número crescente de negócios ela é uma exigência inegociável, não uma preferência.
Os motivos são concretos. Um cliente europeu pode exigir que os dados dele permaneçam na União Europeia. Um cliente do setor público ou da saúde pode determinar uma jurisdição específica. Uma lei de soberania de dados pode proibir que os dados saiam do país. Se a sua plataforma armazena tudo em uma única região sem opção de escolha, você não consegue atender esses clientes, ponto final.
É aqui que o modelo de implantação faz diferença. A nuvem de instâncias compartilhadas da TagoIO roda nas principais regiões e, para requisitos mais rígidos, o TagoDeploy oferece implantações dedicadas em 12 ou mais regiões na AWS, de modo que os dados podem ficar onde o contrato ou a lei exigir. A pergunta a fazer a qualquer fornecedor: “Em quais regiões nossos dados podem ser armazenados, e podemos escolher.” Se a resposta for “uma,” esse é o teto do seu mercado potencial.
Pergunta três: o que o GDPR realmente exige
O GDPR é o ponto em que propriedade e residência encontram a regulação, e ele é mais específico do que “manter os dados na Europa.” Avaliar uma plataforma quanto ao preparo para o GDPR se resume a algumas coisas verificáveis, não a uma impressão.
Procure um Data Processing Agreement que o fornecedor esteja disposto a assinar, definindo-o como seu processador e estabelecendo suas obrigações. Procure suporte aos direitos do titular dos dados: a capacidade de exportar, corrigir e excluir dados pessoais mediante solicitação, o que se liga diretamente aos testes de propriedade acima. Procure controles de segurança adequados aos dados, criptografia em trânsito e em repouso e controle de acesso de verdade. E procure uma certificação de segurança independente como prova de que os controles são reais, não apenas alegados. A TagoIO é certificada ISO 27001 e preparada para o GDPR, o que significa que a equipe de conformidade de um cliente analisa um programa auditado em vez de acreditar na sua palavra.
O erro que as equipes cometem é tratar o GDPR como uma caixinha jurídica a marcar no fim. Ele é um critério de seleção da plataforma, porque se a plataforma não consegue dar suporte aos direitos do titular dos dados e à residência, nenhuma cláusula contratual consegue acoplá-los depois.
Junte tudo antes de assinar
Essas três perguntas são baratas de fazer durante a seleção e caras de descobrir depois. A propriedade é resolvida no contrato, e os testes de exportação e exclusão comprovam isso. A residência é resolvida pelas opções regionais da plataforma, e ela decide quais clientes você pode atender. O preparo para o GDPR é resolvido por um DPA assinado, pelo suporte aos direitos do titular dos dados e por uma certificação independente, e ele decide se os mercados regulados estão abertos para você.
Faça as três perguntas antes de fechar, não durante a sua primeira auditoria. Se você está montando uma lista de fornecedores, o checklist complementar em as principais perguntas a fazer antes de escolher uma plataforma de IoT encaixa esses pontos na avaliação mais ampla, e como escolher entre o AWS IoT Core e uma plataforma gerenciada mostra onde recai o peso da conformidade em cada modelo.
Seus dados devem ser seus, armazenados onde você precisa e tratados de um jeito que você consegue comprovar. Faça o fornecedor demonstrar os três. Quer ver como a TagoIO lida com propriedade, residência e GDPR? Agende uma demonstração ou comece de graça.