Algunos de los nuevos requisitos de privacidad del RGPD (Reglamento General de Protección de Datos) de la UE pueden resultar abrumadores a primera vista para una empresa sujeta a ellos. A diferencia de la SOX, por ejemplo, que prescribe el uso de controles para el acceso a los datos sin detallar los detalles, el RGPD consagra derechos muy específicos para los ciudadanos de la UE en relación con sus datos, lo que supone una nueva carga de contabilidad y rendición de cuentas para las empresas sujetas al nuevo reglamento. Y con multas que pueden alcanzar los 41 TP3T de los ingresos globales, las empresas están muy motivadas para encontrar maneras de automatizar los nuevos requisitos de acceso de los interesados.
Los derechos del interesado en el RGPD incluyen:
● El derecho de una persona a acceder a sus datos
● El derecho de una persona a portar sus datos a un nuevo proveedor de servicios
● El derecho de una persona al borrado de sus datos para ser olvidada
● El derecho de una persona a recibir una notificación dentro de las 72 horas en caso de incumplimiento
Para las empresas, esto crea un nuevo conjunto de responsabilidades en torno a los datos de residentes de la UE. Las organizaciones que recopilan y procesan datos personales también deben poder contabilizar dichos datos hasta el último individuo. Esto supone un cambio significativo respecto a los requisitos de cumplimiento anteriores, en los que las organizaciones simplemente debían documentar las políticas de privacidad y mostrar los controles generales de seguridad. El RGPD de la UE enfatiza que, como custodios de los datos de consumidores y empleados, las organizaciones ahora deben poder contabilizar los datos de cada individuo almacenados dentro de la empresa. Por lo tanto, la pregunta para las organizaciones es cómo lograr esto a gran escala para todos los clientes y empleados residentes de la UE.
Un nuevo enfoque de software para el acceso de los interesados a los datos
Si bien los derechos del titular de los datos están delineados en términos generales en las disposiciones del RGPD (incluido el acceso a los datos, la rectificación de datos inexactos o incompletos, el bloqueo de datos cuya exactitud se cuestiona y el borrado de datos), no se especifica cómo las empresas deben cumplir con los requisitos.
Históricamente, aquellas empresas que se ofrecieron voluntariamente a atender las solicitudes de acceso de los interesados lo hicieron a través de procesos manuales: las solicitudes se asignaban a equipos técnicos para descubrir datos y luego informar sobre la ubicación y el uso. Sin embargo, este proceso manual no se presta a la escalabilidad, es aleatorio en lugar de preciso y desperdicia una oportunidad crucial para proteger mejor los datos personales con base en la inteligencia de datos.
Las herramientas tradicionales de descubrimiento de datos no ayudan a las organizaciones a comprender nada más allá de la clasificación básica de datos. Suelen requerir cierto nivel de codificación manual para determinar qué tipos de datos buscar, pasando por alto así los tipos desconocidos; están optimizadas para datos estructurados o no estructurados, pero no para ambos; carecen de reconocimiento del contexto, por lo que no pueden diferenciar entre elementos de datos de apariencia similar; y, quizás lo más importante, no revelan la propiedad ni la procedencia de los datos. Esto significa que las herramientas tradicionales de descubrimiento de datos no pueden identificar a quién pertenecen los datos, y potencialmente pasan por alto grandes cantidades de datos desconocidos u oscuros.
Herramientas como BigID Revolucione el proceso habitual de descubrimiento de datos con un nuevo enfoque de software de big data, diseñado específicamente para encontrar e inventariar datos personales por titular de los datos. Mediante ciencia de datos, aprendizaje automático y contexto de identidad, una herramienta como BigID proporciona un escáner sencillo que puede encontrar, inventariar y rastrear datos personales por titular de los datos en toda la empresa y en la nube.
La ciencia de datos y el aprendizaje automático se unen a la privacidad de los datos
El software de automatización de la privacidad como BigID automatiza el mapeo de datos. BigID, por ejemplo, escanea fuentes de datos locales y en la nube, identifica información personal y la cataloga a escala por sujeto de datos. Mientras que las herramientas tradicionales de descubrimiento de datos requieren instrumentación de agentes y cierto nivel de codificación personalizada con técnicas de programación complejas como expresiones regulares, una herramienta como BigID utiliza aprendizaje no supervisado para que el software comprenda primero los datos personales conocidos y la relación asociada con el sujeto de datos. El sistema utiliza este conjunto de aprendizaje para encontrar y catalogar otros datos personales en los almacenes de datos de la empresa.
El índice resultante proporciona un mapa de los datos de un usuario con metadatos adicionales que ayudan a las organizaciones a certificar los flujos, la retención y la residencia de los datos. Las solicitudes de los interesados pueden responderse en segundos y asignarse fácilmente a un analista para su procesamiento adicional, ya sea de acceso, portabilidad o borrado. Por último, en caso de una filtración de datos, una organización puede comparar un volcado de datos robado con su mapa de datos para determinar si realmente se produjo la filtración o identificar a los usuarios afectados en minutos, muy por debajo del plazo de 72 horas establecido por el RGPD.
por @dimitrisirota
Autor
