O Regulamento Geral de Proteção de Dados (RGPD) da UE está a poucos meses de entrar em vigor, e mais organizações começam a considerar o que precisam fazer para se adequarem a ele. Muitas iniciarão seus esforços com Avaliações de Impacto sobre a Privacidade (AIP) baseadas em pesquisas, pois esse é o método com o qual muitos profissionais de privacidade estão mais familiarizados. No entanto, como o "DP" em RGPD Como todos podem atestar, o fundamento da nova regulamentação é a proteção de dados: segurança e responsabilidade dos dados. Nenhuma das duas pode ser alcançada simplesmente por meio de pesquisas. Satisfazer ambas exige conhecimento detalhado dos dados e a capacidade de monitorar mudanças, atividades de risco e potenciais violações das regulamentações aplicáveis. As Avaliações de Impacto sobre a Privacidade (AIPs) têm sua importância, porém, quando se trata de privacidade desde a concepção e operacionalização da privacidade, somente a conformidade contínua orientada por dados será suficiente.
Indo além das boas intenções
Em resposta às violações de dados quase epidêmicas e aos repetidos incidentes de uso indevido de dados pessoais, legisladores e reguladores instituíram inúmeras medidas para melhor proteger os dados e devolver o controle aos titulares dos dados. Muitas dessas regras são impossíveis de implementar sem um levantamento detalhado dos dados armazenados para cada indivíduo. De muitas maneiras, isso representa uma mudança radical na forma como as organizações protegem seus ativos de informação mais sensíveis.
Historicamente, os profissionais de privacidade eram responsáveis perante a empresa por garantir a conformidade por meio de melhores políticas e processos. As Avaliações de Impacto na Privacidade (AIPs) eram, de certa forma, meios de mensurar a conformidade com uma política e um processo. No entanto, como evidenciado pela crescente frequência e abrangência das violações relatadas e pela consequente exposição à responsabilidade, as abordagens baseadas em pesquisas não se mostraram eficazes para garantir a conformidade com as políticas e regulamentações de proteção de dados ou privacidade. Mitigar o risco de dados é praticamente impossível quando a mensuração desse risco depende de respostas de pesquisas frequentemente subjetivas e incompletas. O gerenciamento de riscos começa com uma mensuração precisa e objetiva.
Risco de dados evoluiu
Uma evolução muito semelhante em direção a medições objetivas de risco ocorreu nos últimos anos no campo da avaliação de riscos de terceiros e da gestão de riscos de fornecedores. Historicamente, 3rd O risco partidário também foi avaliado por meio de formulários e pesquisas. No entanto, isso limitou a repetibilidade, a objetividade e a previsibilidade das avaliações. Consequentemente, nos últimos anos, 3rd A mensuração do risco para as partes tornou-se mais programática, de modo que as avaliações resultantes fornecem pontuação e orientação consistentes para qualquer pessoa que busque reduzir o risco. Uma evolução semelhante está ocorrendo agora na avaliação do risco de dados.
Com a introdução de ferramentas como o BigID para encontrar, mapear e analisar dados pessoais, tornou-se possível para as organizações migrarem de avaliações qualitativas e subjetivas baseadas em pesquisas para validação de riscos e conformidade, para uma conformidade contínua e precisa, orientada por dados. Saber se a coleta e o processamento de dados excedem os limites legais ou de políticas de negócios definidos torna-se uma função do monitoramento dos dados. A conformidade com os dados e a mitigação de riscos passam de estimativas para medições constantes.
Reintroduzindo o "Ops" na operacionalização.
Regulamentações como o GDPR incentivam cada vez mais as empresas a operacionalizar a privacidade e a garantir a privacidade desde a concepção, do desenvolvimento à produção. Isso exige monitoramento e mensuração contínuos dos riscos de dados e conformidade desde o momento da compilação até o momento da execução. Pesquisas podem dar uma falsa sensação de segurança à organização em relação à conformidade. Para operacionalizar a privacidade de verdade, é preciso ter consciência dos dados e mensurar a conformidade continuamente, do desenvolvimento à produção. A BigID está entre as empresas pioneiras que buscam transformar o conhecimento de dados em conformidade contínua e permanente com relação à privacidade e segurança.
Autor
