A medida que el polvo se disipa desde el RGPD de la UE entraron en vigor y la mayoría de las empresas se ponen de acuerdo para gestionar sus procesos de recopilación de consentimiento, muchas se encuentran cada vez más luchando con cómo convertir esos acuerdos de consentimiento en un control práctico para el procesamiento de solicitudes y los titulares de datos.
Gran parte de la atención en torno al consentimiento se ha centrado en el proceso de obtención y almacenamiento del consentimiento para cumplir con los requisitos básicos de cumplimiento del registro. Desafortunadamente, esto ha desviado la atención de los aspectos más fundamentales. ingeniería de privacidad Preguntas relacionadas con la objetivo para recopilar los consentimientos: cómo mapear y correlacionar los múltiples acuerdos de consentimiento de cada sujeto de datos en una vista consolidada y evaluar de manera continua que los consentimientos sean válidos y apropiados para la recopilación y el procesamiento de datos.
Ingrese a la gobernanza del consentimiento: al ampliar nuestra capacidad única para comprender qué datos están asociados con qué sujetos de datos específicos, BigID permitirá a las empresas realizar, por sujeto de datos y por atributo, una inspección del procesamiento de datos para el cumplimiento del consentimiento.
Nuestro primer paso para hacer operativo el propósito del consentimiento es proporcionar una visión centrada en el interesado de todos los acuerdos de consentimiento que se obtienen a través de múltiples aplicaciones y fuentes. Nuestro objetivo final es transformar el consentimiento de un artefacto legal (y aislado) en un elemento práctico y auditable. privacidad de los datos control que es parte integral de la privacidad por diseño (PbD).
Amigo, ¿dónde está mi consentimiento?
Al comenzar a prepararse para el cumplimiento del Reglamento General de Protección de Datos (RGPD), muchas organizaciones se centraron en obtener el consentimiento de sus clientes y consumidores. Esto quedó patente en la avalancha de correos electrónicos enviados a proveedores con pánico antes de la fecha límite.
Pero una vez recopilado y registrado el consentimiento, ¿qué sigue? La cantidad de productos de gestión del consentimiento que, en esencia, funcionan como bases de datos para acuerdos y preferencias de consentimiento ha proliferado en respuesta a... GDPREstas herramientas suelen estar aisladas, y las empresas pueden recopilar múltiples instancias de consentimiento para un mismo sujeto de datos, ya sea el consentimiento para usar cookies y otros dispositivos de seguimiento en línea según los requisitos de privacidad electrónica, desde múltiples aplicaciones móviles o web, o desde una gran cantidad de dispositivos conectados.
Bajo el Ley de Privacidad del Consumidor de California que entrará en vigor en 2020, las empresas cubiertas por la ley aún tendrán que capturar las decisiones de exclusión voluntaria y alinear esas preferencias con las acciones de procesamiento reales, incluso si la ley finalmente no incorpora un requisito equivalente para el consentimiento explícito en la línea del RGPD.
Los enfoques existentes para la captura del consentimiento plantean varios desafíos a las organizaciones cuando intentan hacerlo operativo e integrar las preferencias y condiciones con las decisiones de procesamiento y transferencia de datos:
Los enfoques existentes enfrentan una serie de desafíos a la hora de operacionalizar el consentimiento e integrar las preferencias y condiciones del consentimiento con las decisiones de procesamiento y transferencia de datos.
• Caos de consentimiento
- El consentimiento se recopila de múltiples fuentes, con mecanismos limitados para consolidar o agregar múltiples acciones de consentimiento del mismo interesado.
• Evaluación de la política de consentimiento
• Los administradores de privacidad quieren poder definir y evaluar de forma centralizada las políticas de cumplimiento frente a todos los registros de consentimiento correlacionados.
• Validez del consentimiento
- Las herramientas se centran en registrar el consentimiento cuando se ha recopilado, pero ¿qué pasa con la identificación de las aplicaciones en las que no se ha recopilado el consentimiento, cuándo se recopiló el consentimiento por última vez y si el uso de los datos es coherente con las condiciones del consentimiento?
• Informes de actividad de procesamiento y DSAR
- Para los equipos de operaciones y privacidad, la gestión del consentimiento no proporciona un mecanismo para integrar la prueba del consentimiento en las solicitudes de acceso de los interesados. Esto, en el mejor de los casos, hace que el proceso sea manual y aumenta el riesgo de incumplimiento.
• Integración del consentimiento para la privacidad por diseño
- Los desarrolladores necesitan un mecanismo programático para integrar políticas de privacidad para la privacidad por diseño, pero no existe ningún mecanismo para integrar el consentimiento en sus modelos de aplicación.
Además, y quizás más importante para el futuro de la privacidad de los datos, estos productos y servicios están aislados del procesamiento de datos real y de las actividades de cumplimiento relacionadas.
Gobernanza del consentimiento: el propósito en el centro de atención
BigID ya ofrece la capacidad de realizar comprobaciones de registros de consentimiento en sistemas de gestión de consentimiento e integrar la información sobre el propósito de uso con nuestro inventario de datos, Registros de actividad de procesamiento para GDPR. Artículo 30 Documentación e informes de solicitudes de acceso de interesados.
Como nuestra primera función de gobernanza del consentimiento, presentaremos una consola de gobernanza del consentimiento diseñada para ofrecer una vista individualizada de la recopilación, el estado y la validez del consentimiento. Al correlacionar los consentimientos obtenidos en diferentes momentos por distintas aplicaciones de distinto alcance con un mismo interesado, los equipos de privacidad y TI contarán con una herramienta para gestionar, validar e informar sobre el estado de las políticas de consentimiento de los interesados y las fuentes de consentimiento.
Esta función amplía nuestra capacidad actual para cumplir con los requisitos del RGPD en materia de derechos de los interesados mediante informes integrados sobre cuándo y cómo se obtuvo el consentimiento para acciones específicas de recopilación de datos. Además, los consumidores pueden usar esta función individualizada y consolidada para identificar de forma proactiva si las aplicaciones recopilan datos sin un acuerdo de consentimiento válido. Además, esta vista correlacionada también nos permite identificar cuándo se ha retirado el consentimiento y cuándo deben eliminarse los datos.
De manera similar, al integrar la gobernanza del consentimiento con nuestro mapeo de flujos de procesos centrado en los datos a través de fuentes de datos conectadas, podemos identificar y documentar el consentimiento por aplicación para los registros o la actividad de procesamiento del Artículo 30 del RGPD y marcar dónde el consentimiento está desactualizado, es inconsistente con el propósito establecido o simplemente no se está capturando.
Con las nuevas capacidades de gobernanza del consentimiento de BigID, las organizaciones obtienen:
Monitoreo y políticas de cumplimiento proactivo
- Identificar aplicaciones que no recopilan el consentimiento
- Identificar a los interesados cuyo consentimiento no es válido, actualizado y consistente con el propósito del uso
Inspección de vencimiento del consentimiento
- Encuentre todos los registros de interesados con consentimiento vencido
Solicitud de acceso del interesado
- Proporcionar prueba de consentimiento
- Compare el consentimiento con los fines reales de uso y, si los fines no coinciden con el consentimiento en la política de privacidad
Mapeo de datos / ROPA
- Prueba de recopilación de consentimiento mediante solicitud
- Alertar sobre discrepancias e iniciar un flujo de trabajo de remediación
El futuro de la gobernanza del consentimiento
Al pasar del proceso de recopilación del consentimiento al propósito de validarlo, el propio acuerdo de consentimiento también constituye un registro de los atributos específicos que el interesado ha acordado compartir y las acciones específicas que ha permitido que se realicen con los datos. A medida que la naturaleza de los acuerdos de consentimiento evolucione para incorporar estos parámetros lógicos explícitos, también lo hará nuestra capacidad para proporcionar información detallada sobre si las acciones individuales sobre los atributos de cada interesado son coherentes con los parámetros de consentimiento.
Al mismo tiempo, BigID pretende proporcionar las bases para que el consentimiento se convierta en un conjunto vivo y dinámico de restricciones e insumos para el ciclo de vida del desarrollo a través de un conjunto de API y SDK de política de privacidad para la integración del análisis del consentimiento en las aplicaciones y las canalizaciones de datos.
Estas capacidades iniciales, que se desarrollarán más en próximos lanzamientos, permitirán a las organizaciones ir más allá de la recopilación de consentimiento hacia la gobernanza del consentimiento, un enfoque consolidado para la inspección programática, basada en máquina, por sujeto de datos y por registro/atributo del procesamiento para el cumplimiento del consentimiento.
Autor
