Las nuevas leyes de protección de datos han creado una oportunidad para establecer la privacidad como un elemento crítico en la forma en que las organizaciones generan confianza en la marca y logran objetivos comerciales clave extrayendo más valor de sus datos.
Los directores de privacidad (CPO) y sus equipos deben:
- Lidiar con la actualización de los avisos de privacidad públicos y las políticas internas
- demostrar el cumplimiento de derechos del interesado
- definir procedimientos para compartir datos con terceros
- Cumplir con las obligaciones de presentación de informes a medida que evolucionan los requisitos reglamentarios y los mandatos de privacidad.
Los CPO pueden aprovechar esta ventana de oportunidad para elevar el perfil de la privacidad no solo como otro ejercicio de cumplimiento, sino como un componente crítico en el objetivo corporativo más amplio de establecer la confianza del consumidor y extraer información real a partir de datos.
La forma en que los equipos de privacidad abordan el cumplimiento es fundamental
Los CPO pueden enfrentarse a una ardua batalla sin la estrategia adecuada. Desafortunadamente, el CPO no suele ser la voz más fuerte ni la parte interesada más valorada en debates más amplios sobre la estrategia, la gobernanza y la protección de datos empresariales.
Se invierte mucha energía y concentración en la preparación y adaptación a los nuevos requisitos regulatorios, y los equipos de privacidad no tienen sedes unificadas dentro de las grandes empresas. Pueden reportar a funciones de riesgo, cumplimiento, legales u operativas, mientras que los CDO, CISO o CIO suelen tener líneas de reporte más claras.
David Ray, director de ciberseguridad y privacidad de PWC, y Heather Federman, vicepresidenta de privacidad y estrategia de BigID, exploran este tema en un reciente seminario web de IAPP, Por qué la protección de la privacidad va más allá del cumplimiento normativoUna conclusión clave del debate es que la forma en que los equipos de privacidad abordan el cumplimiento es... esencial.
Si los CPO pueden aprovechar eficazmente los presupuestos y la atención corporativa hacia nuevas fuentes de riesgo, pueden establecer un marco común y un lenguaje compartido para una colaboración efectiva con las partes interesadas.
Para lograr esto, necesitan priorizar la comprensión de los datos y la creación de inteligencia sobre la privacidad de los datos por sobre los procesos, los informes manuales y los flujos de trabajo por sí solos.
Mejorar la capacidad corporativa para generar confianza en los datos
Un ejemplo de colaboración eficaz es la intersección de Requisitos de informes sobre transmisión de datos e intercambio de datos con terceros.
El enfoque de BigID para el descubrimiento y la clasificación de tecnologías de transmisión de datos (cada vez más utilizado por los equipos de desarrollo y análisis para transferencias entrantes y salientes de información personal) une dos objetivos:
- Para los profesionales de la privacidad, la clasificación y el monitoreo de datos en movimiento permiten la automatización de informes de intercambio de datos de terceros (como lo exige la CCPA, por ejemplo).
- Para los equipos de análisis de datos, comprender qué información personal (y de quién) se mueve a través de los flujos de datos hace que sea práctico aplicar políticas de cumplimiento de la privacidad e implementar estándares para el uso ético de la información personal.
De igual manera, el CPO y el CDO pueden asociarse en un gobernanza de datos consciente de la privacidad programa. Los CPO pueden ayudar a definir qué constituye “información personal” tal como se representa en un glosario empresarial (como Alation o Collibra) y luego aprovechar el inventario de datos de BigID para:
- Alinee los términos comerciales con los hallazgos de descubrimiento y clasificación de datos de ML, lo que permite a los CDO determinar fácilmente qué datos se pueden utilizar y cuáles requieren protección.
- Automatizar la aplicación de categorías de datos a los atributos de información personal a medida que se descubren en las infraestructuras empresariales
El resultado en ambos casos es una mejor capacidad corporativa para generar confianza en los datos.
Dando pasos hacia la confianza en los datos
¿Qué medidas prácticas pueden adoptar los CPO para mejorar la privacidad y contribuir a que sus empresas se conviertan en referentes en materia de confianza de datos? Federman describe los siguientes pasos:
- Definir procesos de cumplimiento que establezcan una línea base y destaquen los principales riesgos corporativos para la organización.
- Alinear las obligaciones de cumplimiento con la gestión de riesgos corporativos elevando el perfil de la privacidad a través de la participación de las partes interesadas.
- Respaldar la colaboración con las partes interesadas en TI, datos y seguridad aprovechando el mapeo de datos, la clasificación de datos y las iniciativas de conocimiento financiadas por presupuestos de cumplimiento.
- Asociarse con el CDO para automatizar el cumplimiento de la privacidad a través del inventario continuo de datos, agregando una dimensión de privacidad y una perspectiva de riesgo de datos a la gobernanza de datos.
- Amplíe y refuerce las inversiones en políticas de gobernanza de datos, glosarios comerciales y calidad de datos con información de datos de programas de cumplimiento automatizados.
- Demostrar la relevancia del riesgo de privacidad a través del descubrimiento automatizado de datos que mantiene los mapas de datos "permanentes"
- Traducir el riesgo de privacidad a un lenguaje que informe el análisis de datos y las estrategias de desarrollo de aplicaciones
- Aproveche información confidencial sobre datos, incluida la información personal, para ayudar a los equipos de seguridad a identificar mejor los puntos críticos de riesgo para la seguridad de los datos.
Como señala David Ray de PwC, “los propios CPO deben encontrar formas de comunicarse mejor con sus homólogos técnicos y de TI, y articular qué valor puede aportar el equipo de privacidad al garantizar en última instancia la confianza en los datos”.
Comprensión de datos a escala
Los equipos de privacidad centrados en integrar el contexto empresarial y el cumplimiento de la privacidad basada en datos pueden crear una nueva base para la recopilación y el uso de datos personales de su organización, una base que respalde y funcione en toda la empresa.
BigID ayuda a desarrollar la comprensión de los datos a escala, y permite a las organizaciones generar programas de privacidad sostenibles que adaptarse y responder a los cambios regulatorios en evoluciónLos CPO que siguen este camino pueden ir más allá de las políticas y procesos manuales hacia una colaboración significativa con áreas funcionales estratégicas como seguridad de la información, análisis de datos y gobernanza de datos.
Vea el seminario web completo, Por qué la protección de la privacidad va más allá del cumplimiento normativo con David Ray, Director de Ciberseguridad y Privacidad en PwC y Heather Federman, Vicepresidenta de Privacidad y Políticas en BigID.
Autor
