DSAR o solicitudes de acceso de interesados son, en cierto modo, el requisito más elemental que surge de la nueva ola de regulaciones de privacidad como el RGPD y la Ley de Privacidad del Consumidor de California (CCPALas DSARs establecen que las personas tienen derecho legal a sus datos incluso después de compartirlos con una organización. Este requisito, a menudo denominado derecho a la protección de datos personales, otorga a las personas el derecho fundamental de acceder o eliminar los datos si así lo desean. Las empresas se convierten en guardianas de la información personal. Los consumidores, empleados y contratistas siempre conservan la titularidad de sus datos.
Para las empresas, este cambio radical en la titularidad de los datos personales plantea graves desafíos. Las empresas recopilan datos personales en numerosos lugares del centro de datos y la nube. Los datos se recopilan en todo tipo de almacenes de datos y luego se procesan en todo tipo de aplicaciones. Y si bien las organizaciones han desarrollado tecnología para enumerar sus almacenes de datos y aplicaciones, no cuentan con una tecnología similar para los datos que residen en ellos. Lo que es peor, con las DSARs encontrando PII En los vastos almacenes de datos no basta. Para brindar rendición de cuentas a las personas, es esencial primero contabilizar todos los datos que pertenecen a cada persona. Esto implica poder analizar todo tipo de datos. víveres y aplicaciones, e identificar qué datos son personales, a quién pertenecen y si existe consentimiento. Además, requiere que una organización no solo tenga la capacidad de gestionar las solicitudes, sino también de atenderlas a gran escala.
Pero para empeorar las cosas para las empresas que desean cumplir, el riesgo de incumplimiento no se limita a la posible multa de un regulador. A diferencia de otras partes de las regulaciones de privacidad como el RGPD, donde el cumplimiento lo determinan los reguladores designados, en el caso de los derechos de datos personales, es el consumidor o empleado quien, en última instancia, decide el cumplimiento. Por lo tanto, en el caso de GDPR, la motivación para una comunicación precisa y eficaz DSARs No son los 28 estados reguladores, sino los 500 millones de residentes de la UE.
La dura verdad sobre las DSAR: la clasificación no es suficiente
El RGPD y otras normativas similares consagran la idea de los derechos sobre los datos personales a través de las DSAR. Sin embargo, para las empresas, esta obligación de cumplir con las DSAR resulta compleja. Requiere que una organización pueda localizar todos los datos que conserva sobre una persona en cualquier lugar. Esto es difícil de lograr en la práctica porque la tecnología actual no puede identificar información personal contextual ni determinar automáticamente a quién pertenece ni acceder a todos los lugares donde una organización conserva datos personales.
Anteriormente, las empresas recurrían a la idea de buscar manualmente los datos de una persona cuando se les solicitaba. Las solicitudes eran poco frecuentes, no existía un estándar para realizar la tarea y no se aplicaban sanciones por inexactitud. Por lo tanto, cada solicitud se enrutaba a una persona que, a su vez, solicitaba a varios propietarios de aplicaciones y almacenes de datos que informaran sobre el contenido de cada sistema. Este proceso tiene la desventaja obvia de ser laborioso, impreciso y dependiente de búsquedas que no encontrarían información personal contextual ni IP. Obviamente, también carecía de escala.
Sin embargo, con la llegada del RGPD, las organizaciones están empezando a recurrir a la tecnología para automatizar el proceso de solicitud y cumplimiento de DSAR. Antes de que surgieran herramientas específicas como BigID, la tecnología predeterminada sería una herramienta de seguridad basada en la clasificación de datos o eDiscovery. Estos productos fueron diseñados para encontrar palabras clave o PII en archivos, correo electrónico y bases de datos que dependen de la magia de patrones mediante expresiones regulares. Si bien son lentos, funcionaron razonablemente bien para casos de uso en PCI o HIPAA donde había un criterio de búsqueda exacto, un volumen limitado de datos para escanear y sistemas de destino que consistían en sistemas de archivos, correo o almacenes de datos relacionales. Sin embargo, resultan inadecuados para casos de uso de privacidad como DSAR, ya que no pueden buscar en todas partes, no pueden identificar IP general y, lo más crítico, no tienen forma de correlacionar los datos de IP con precisión con un individuo, es decir, no reconocen la identidad.
Una gran idea de BigID: automatización de DSAR a escala
A medida que más jurisdicciones introducen regulaciones de privacidad que estipulan los derechos legales de los datos de las personas, las empresas se enfrentarán a la realidad de que necesitarán automatizar la gestión de las actividades de DSAR, desde la solicitud hasta su cumplimiento. Automatizar las DSAR a gran escala requerirá dos tipos de innovación que antes no se ofrecían con las herramientas de clasificación de datos más antiguas. En primer lugar, las organizaciones deberán encontrar e inventariar los datos que poseen sobre cada persona. En segundo lugar, una vez que dispongan de los datos sin procesar, deberán poder operacionalizar la actividad de solicitud y cumplimiento para integrar diversos portales de solicitud, tipos de respuesta configurables, flujo de trabajo para analistas, procesamiento por lotes para escenarios de mayor volumen e integración del consentimiento.
Ahora bien, encontrar e inventariar datos de cada individuo registrado en una organización no es tarea fácil. Existe el reto de identificar qué es personal, la necesidad de analizar datos no estructurados, estructurados, Big Data, la nube, etc., y el requisito obvio de poder ordenar los datos por persona. Encontrar toda la información personal es imposible con la clasificación tradicional, que solo puede encontrar clases de datos predefinidas. Encontrar información personal (PI) vs. información de identificación personal (PII) requiere la capacidad de determinar si los datos son de alguien o se refieren a él, ya que se trata del contexto de esa persona. Analizar también todos los datos, desde la nube hasta la aplicación, requiere un nuevo método de interrogación de los almacenes de datos que evite las dependencias del estilo de clasificación. También debe mapear o visualizar los datos Sin copiar ni duplicar los datos. La información personal es altamente sensible. Lo último que cualquier organización quiere es centralizar sus datos más sensibles, creando una trampa gigantesca para los delincuentes. Por último, la nueva tecnología deberá poder correlacionar automáticamente los datos con una persona. Si bien esto es bastante fácil para datos de identificación única, como una tarjeta de crédito, es muy difícil para datos semiidentificables, como una fecha de nacimiento, coordenadas GPS, dirección IP, cookies o preferencias de compra, por ejemplo. Además, la tecnología deberá poder resolver identidades para garantizar que cualquier solicitante obtenga todos sus datos con precisión, pero también desambiguar identidades similares para garantizar que personas con el mismo nombre no se confundan.
BigID se diseñó precisamente para este propósito. Como la primera y posiblemente la única herramienta de descubrimiento de datos centrada en la identidad, BigID aprovecha lo último en aprendizaje automático y tecnología de escalabilidad horizontal para encontrar información personal específica, analizar cualquier dato y luego inventariarlo por persona sin centralizar los datos. La resolución de entidades y la capacidad de desambiguar a las personas están integradas.
Pero BigID va más allá del simple descubrimiento para ser completamente operacional. Creación y presentación de informes de DSAREsto incluye herramientas para integrarse con portales de solicitud de datos de la empresa, así como con sistemas de terceros de proveedores como ServiceNow y OneTrustBigID proporciona la obtención de datos y el formato de informes justo a tiempo. Permite incluir informes sobre el consentimiento mediante las funciones de gobernanza del consentimiento de BigID. Ofrece un flujo de trabajo para que los analistas puedan revisar y aprobar informes. Ofrece herramientas para autenticar a un solicitante con sus propios datos. También ofrece funciones de gestión masiva para realizar cientos de solicitudes DSAR simultáneamente. BigID incluso permite a los administradores confirmar la eliminación de datos tras una solicitud de borrado.
Obtener la privacidad correcta
Nuevas regulaciones de privacidad están surgiendo a un ritmo frenético en todo el mundo, incluyendo Estados Unidos. Si bien no todas imponen requisitos idénticos para las organizaciones, todas comparten unas bases comunes: las empresas necesitan saber qué datos tienen sobre las personas y si los utilizan de forma legítima y autorizada. Para las personas, estas nuevas regulaciones de privacidad se manifestarán con mayor fuerza en un conjunto de nuevos derechos sobre datos personales, como el acceso, la portabilidad, la corrección o la eliminación de sus datos. Para las empresas, cumplir con estos nuevos derechos también representará los mayores desafíos, ya que les exige conocer sus propios datos con un nivel de detalle nunca antes necesario.
La tecnología de BigID se diseñó específicamente para ayudar a las organizaciones a encontrar datos personales por identidad en los grandes volúmenes de información de petabytes que almacenan en sus almacenes de datos y aplicaciones. Por eso BigID se llama BigID. Sin embargo, encontrar y comprender los datos desde una perspectiva de privacidad no es suficiente para que las organizaciones cumplan con los requisitos emergentes de las solicitudes de registro de datos (DSAR) modernas. Las empresas también necesitarán todas las capacidades operativas para informar o actuar sobre los datos a cada individuo. Por eso, BigID ha desarrollado la solución más completa del mercado para automatizar las solicitudes de registro de datos (DSAR). No se puede proteger lo que no se puede encontrar, y BigID ayuda a las organizaciones a replantear cómo encontrar y proteger la información de sus clientes.
Autor
