A Evaluación del impacto sobre la privacidad, o PIA, es un análisis de cómo una organización recopila, utiliza, comparte y mantiene información de identificación personal. Los PIA están diseñados para ayudar a las empresas a garantizar que la recopilación y el uso de datos personales cumplan con los requisitos regulatorios de privacidad, validar el uso de la tecnología de protección de datos obligatoria, medir el riesgo y verificar la obtención del consentimiento.
Algunas empresas y la mayoría de los organismos gubernamentales publican sus Evaluaciones de Impacto de la Privacidad (EIP). Todas buscan actualizar sus EIP periódicamente con actualizaciones cada vez que se lanzan nuevas aplicaciones o se producen eventos críticos (nuevas regulaciones, fusiones, etc.). Las Evaluaciones de Impacto de la Privacidad (EIP) buscan brindar a las organizaciones claridad sobre sus políticas de privacidad y su ejecución.
Sin embargo, hoy en día todas las PIA comparten un gran problema: son básicamente palabras, separadas de los datos.
El análisis de los datos del sujeto no debe ser subjetivo
Los interesados son los clientes y empleados cuyos datos se evalúan en una Evaluación de Impacto sobre la Privacidad (EIP). Hoy en día, sin excepción, dicha evaluación se realiza mediante una encuesta y una serie de entrevistas a los custodios de datos. Los propietarios de empresas y el departamento de TI aportan información sobre qué datos se recopilan, cómo se utilizan, quién tiene acceso a ellos, dónde se comparten, etc. Recopilar esta visión general del conjunto de datos personales de una organización y su ciclo de vida de uso en una EIP es tarea de un pequeño grupo de consultores y abogados.
El análisis resultante es como una pintura: una representación puntual de cómo se gestionan los datos personales dentro de la empresa. En comparación con la alternativa de no tener ninguna imagen, este análisis sí tiene cierto valor. Sin embargo, tras la invención de las cámaras y el cine, la gente dejó de confiar en las pinturas interpretativas para representar escenas con precisión. Al fin y al cabo, no hemos visto ninguna pintura presentada como prueba en un tribunal.
Por lo tanto, es natural preguntar, con los avances en Big Data y Data Science (el equivalente en datos de la cámara y la película), si es hora de evolucionar las PIA desde interpretaciones de arriba hacia abajo, basadas en palabras, de cómo se usan los datos personales en una organización, a reflexiones de abajo hacia arriba, basadas en datos, de la recopilación y el uso reales de datos.
La prueba no es solo para el pudín
Lo que muchas organizaciones descubren al emprender su primera Evaluación de Impacto de la Privacidad son los desafíos e ineficiencias habituales que conlleva completar plantillas y realizar entrevistas y encuestas. Sin embargo, una vez superado este obstáculo, muchas se dan cuenta de que sus procesos actuales para descubrir, mapear y clasificar datos personales se asemejan más a una declaración de buenas intenciones que a una prueba de la residencia y el flujo reales de los datos.
Parte del propósito de una PIA es proporcionar evidencia del cumplimiento de las políticas internas y las leyes externas para el almacenamiento y manejo de datos sensibles. Las encuestas pueden, sin duda, proporcionar indicadores de actividad, pero no pueden brindar certeza. Para verificar con precisión cómo se recopilan y procesan los datos se requiere una contabilidad de datos real: la capacidad de rastrear el flujo de datos desde su ingesta inicial hasta su disposición final. De lo contrario, las auditorías nunca serán más que estimaciones fundamentadas. El Big Data y la Ciencia de Datos proporcionan la base para lograrlo.
De la evaluación del impacto de la privacidad a la garantía del impacto de la privacidad
A medida que todas las corporaciones se convierten en empresas de software, lo que diferenciará a los ganadores de los perdedores es la capacidad de cada organización para utilizar los datos de sus clientes para brindarles un mejor servicio. Sin embargo, el derecho a usar los datos de un cliente no es gratuito. Cada vez más personas consentirán en compartir información personal con la condición de que las organizaciones gestionen responsablemente dichos datos. Y si bien las Evaluaciones de Impacto de la Privacidad ayudan a fomentar la confianza entre el consumidor y el custodio de sus datos, hoy en día carecen de la verificación necesaria para preservarla mediante pruebas.
Nuevas regulaciones como el Reglamento General de Protección de Datos de la UE (RGPD) dejarán claro este punto. GDPR Es un hito en algunos aspectos, ya que define claramente los derechos de los ciudadanos sobre sus datos. El reglamento invierte la mentalidad tradicional de que las empresas, de alguna manera, asumen la propiedad de los datos personales una vez que toman posesión de ellos. En el nuevo mundo digital, la posesión no equivale a la propiedad, y los consumidores tendrán derechos legales sobre sus datos mucho después de que una empresa los recopile.
Esto generará una mayor carga para las organizaciones, que deberán contabilizar adecuadamente los datos personales que recopilan y utilizan. Afortunadamente para ellas, los avances en Big Data han hecho posible la gobernanza de Big Identity Data a escala en todos los centros de datos y... nubesAdemás, mediante una mejor contabilidad y gobernanza, las organizaciones tienen la oportunidad de demostrar mayor valor a sus clientes mediante la personalización del servicio y la anticipación de las necesidades. Sin embargo, a menos que las organizaciones puedan asegurarles a sus clientes que pueden ofrecer personalización sin comprometer su privacidad ni la seguridad de sus datos de identidad, no tendrán la oportunidad de ofrecerles valor.
En definitiva, la privacidad es importante para todos los consumidores. Las Evaluaciones de Impacto de la Privacidad son un paso necesario e importante para que los consumidores, y los reguladores que los protegen, comprendan cómo las empresas tratan sus datos. Sin embargo, a medida que la economía se mueve cada vez más en línea, los derechos de privacidad se han vuelto más fundamentales.
Para garantizar a los consumidores que sus datos son valiosos y no un simple recurso para explotar, las empresas deberán empezar a tratar los datos personales como si fueran dinero personal. Se requerirá una contabilidad precisa, una cadena de custodia clara y un registro de auditoría verificable; se requerirá Big Data para Big Data de Identidad.