El Reglamento General de Protección de Datos de la UE está a solo unos meses de su lanzamiento, y cada vez más organizaciones comienzan a considerar qué deben hacer para cumplirlo. Muchas comenzarán sus esfuerzos con Evaluaciones de Impacto de la Privacidad basadas en encuestas, ya que para muchos profesionales de la privacidad es con lo que están más familiarizados. Sin embargo, como el "PD" en GDPR Como lo atestiguarán, el fundamento de la nueva regulación es la protección de datos: seguridad y rendición de cuentas. Ninguna de estas dos opciones se logra simplemente mediante encuestas. Cumplir con ambas exige un conocimiento detallado de los datos y la capacidad de monitorear cambios, actividades de riesgo y posibles infracciones de la normativa aplicable. Las PIA tienen su lugar; sin embargo, cuando se trata de privacidad desde el diseño y la operacionalización de la privacidad, solo el cumplimiento continuo basado en datos será suficiente.
Más allá de las buenas intenciones
En respuesta a las filtraciones de datos casi epidémicas y a los repetidos incidentes de uso indebido de datos personales, legisladores y reguladores han implementado numerosas medidas para proteger mejor los datos y devolver el control a los titulares de los mismos. Muchas de estas normas son imposibles de implementar sin un registro detallado de los datos almacenados de las personas. En muchos sentidos, esto representa un cambio radical en la forma en que las organizaciones protegen sus activos de información más sensibles.
Históricamente, los profesionales de la privacidad eran responsables ante la empresa de garantizar el cumplimiento mediante mejores políticas y procesos. Las evaluaciones de impacto de la privacidad (PIA) servían, en cierto modo, para medir el cumplimiento de una política y un proceso. Sin embargo, como lo demuestra la creciente frecuencia y amplitud de las infracciones denunciadas y la consiguiente exposición a responsabilidades, los enfoques basados en encuestas no han demostrado ser eficaces para garantizar el cumplimiento de las políticas y regulaciones de protección de datos ni de privacidad. Mitigar el riesgo de datos es prácticamente imposible cuando la medición de dicho riesgo depende de respuestas a encuestas, a menudo subjetivas e incompletas. La gestión del riesgo comienza con una medición precisa y objetiva.
El riesgo de los datos ha evolucionado
Una evolución muy similar hacia mediciones objetivas del riesgo se produjo en los últimos años en el ámbito de la evaluación del riesgo de terceros y la gestión del riesgo de proveedores. Históricamente, 3rd El riesgo de las partes también se evaluó mediante formularios y encuestas. Sin embargo, esto limitó la repetibilidad, objetividad y previsibilidad de las evaluaciones. En consecuencia, en los últimos años, 3rd La medición del riesgo de las partes se ha vuelto más programática, de modo que las evaluaciones resultantes proporcionan una puntuación y una guía consistentes para quienes buscan reducir el riesgo. Una evolución similar se está produciendo en la evaluación del riesgo de datos.
Con la introducción de herramientas como BigID para encontrar, mapear y analizar datos personales, las organizaciones han podido pasar de evaluaciones cualitativas y subjetivas basadas en encuestas para la validación de riesgos y cumplimiento normativo a un cumplimiento continuo y preciso basado en datos. Saber si la recopilación y el procesamiento de datos superan los umbrales legales o de política empresarial definidos se convierte en una función del monitoreo de los datos. El cumplimiento normativo de los datos y la mitigación de riesgos pasan de la estimación a la medición continua.
Devolviendo las “operaciones” a la operacionalización
Regulaciones como el RGPD incentivan cada vez más a las empresas a implementar la privacidad y garantizarla desde el diseño, desde el desarrollo hasta la producción. Esto requiere la monitorización y medición continuas del riesgo de los datos, así como el cumplimiento normativo desde el momento de la compilación hasta el de la ejecución. Las encuestas pueden mejorar la percepción de cumplimiento de una organización, pero generan una falsa sensación de seguridad. Para implementar realmente la privacidad, es necesario ser consciente de los datos y medir el cumplimiento de forma continua durante el desarrollo y la producción. BigID se encuentra entre las empresas pioneras que buscan transformar el conocimiento de los datos en un cumplimiento normativo continuo y permanente para la privacidad y la seguridad.
Autor
