As metáforas que tradicionalmente utilizamos para entender os dados são, hoje, insuficientes. Quando pensamos nos dados como uma commodity da nova economia, perdemos de vista o fato de que, diferente de outras commodities (e de qualquer bem material), quanto maior a quantidade de dados disponíveis, maior o valor desses dados. Quando pensamos nos dados como petróleo, que tem que ser refinado para gerar sabedoria e conhecimento, ignoramos que, diferente do petróleo, um mesmo dado pode ser refinado infinitas vezes, de infinitas maneiras diferentes, e continuar gerando valor. E quando pensamos nos dados como um produto digital, esquecemos que, diferente de outros produtos digitais, os dados são perecíveis.
Sim, todos os dados têm um prazo de validade. Em alguns casos, isso é intuitivo: o telefone ou e-mail de contato que você usa para falar com os seus clientes hoje não vai funcionar para sempre. Daqui a alguns anos – ou meses – a pessoa vai trocar de número, ou mudar de trabalho, e os contatos anteriores não vão mais estar valendo. Em outros casos, é mais difícil de entender: por diferentes motivos, uma pessoa pode solicitar uma alteração do seu nome nos registros públicos, invalidando todos os seus documentos de identificação.
E, para complicar ainda mais a questão, o prazo de validade da informação não é algo estático, mas sim um conceito dinâmico. Um telefone celular pré-pago tem um tempo de vida menor do que um telefone fixo. Um e-mail de trabalho dura menos que um e-mail pessoal. Mudanças contextuais, geográficas, ou mesmo sociais, impactam e alteram o prazo de validade das informações, tornando o trabalho de mapeamento deste prazo em algo complexo e contínuo.
Independente da complexidade, no entanto, esse mapeamento precisa ser feito. A explosão de vazamentos de dados dos últimos anos transformou as diretrizes e preocupações com proteção de dados das empresas, tornando as avaliações de segurança da informação como procedimentos corriqueiros. A utilização de dados fora do seu prazo de validade pode trazer problemas financeiros, jurídicos e institucionais para uma organização tão grande quanto qualquer violação de seus sistemas, mas não vemos nenhuma empresa analisando a validade de suas informações de maneira constante e contínua.
Para entender os possíveis impactos desse uso indevido, vamos pegar novamente o nosso exemplo dos telefones de contato. Imagine que a sua empresa pretende fazer uma ação de cobrança de clientes devedores através de SMS, mandando mensagens para os telefones do seu cadastro. É uma ação comum, que milhares de empresas em todo Brasil fazem sem pensar duas vezes. Imagine ainda que 30% (a média que observamos no mercado) do seu cadastro está desatualizado, com telefones que já não são mais daquelas pessoas.
Se você mandar o SMS com a cobrança para um número e ele estiver fora do ar, incapaz de receber mensagens ou ligações, não tem muito problema. Você teve que pagar por uma mensagem que nunca foi entregue, mas esse custo é baixo. Porém, se o número que estava associado com uma pessoa agora foi transferido para uma outra e você enviou o SMS com a cobrança mesmo assim, a exposição é muito maior. A pessoa errada acabou de receber informações sensíveis de um terceiro, sem nenhum tipo de autorização do titular dos dados. Logo, o risco reputacional e jurídico para a empresa é enorme, principalmente se essa prática se repetir várias vezes.
Assim, mapear o prazo de validade de cada uma das informações que a empresa possui é tão importante para a boa governança dos dados quanto qualquer mapeamento de privacidade e dos riscos relacionados. E apesar do conceito ser complexo, o trabalho de identificar se informações estão expiradas ou não, e quando expiram, é muito similar às análises relacionadas com a privacidade e a LGPD. O ponto-chave, nos dois casos, é a identificação das finalidades dos dados, ou seja, de para que as informações vão ser utilizadas dentro da empresa, e por quem.
Diferentes aplicações implicam em diferentes prazos de validade. O mesmo número de telefone utilizado como uma forma de contatar o cliente vai ter uma durabilidade menor do que se for utilizado como um identificador único de usuários de uma aplicação mobile, ou ainda do que se for utilizado como um atributo de entrada em um modelo de tomada de decisão de crédito. Em cada uma dessas situações o tempo de vida vai ser diferente, porque os riscos relacionados com o uso indevido da informação são diferentes.
Enquanto as empresas não acordarem para o prazo de validade dos seus dados, elas vão continuar sofrendo negativamente com o uso de informações expiradas, e muitas vezes não vão nem conseguir identificar o que deu errado. Por isso, faça um assessment da validade dos seus dados e torne isso tão parte da sua rotina empresarial quanto qualquer outro tipo de revisão técnica.
Thoran Rodrigues, Fundador e CEO da BigDataCorp