O Regulamento Geral sobre a Proteção de Dados da UE está a apenas alguns meses de distância, e mais organizações estão começando a refletir sobre o que precisam fazer para se adequar. Muitas começarão seus esforços com Avaliações de Impacto à Privacidade baseadas em pesquisas, pois, para muitos profissionais de privacidade, é com isso que estão mais familiarizados. No entanto, como o "PD" em GDPR atestará que a base da nova regulamentação é a proteção de dados: segurança de dados e responsabilização de dados. Nenhuma das duas é alcançável simplesmente pela realização de pesquisas. Satisfazer ambas exige conhecimento detalhado dos dados e a capacidade de monitorar mudanças, atividades de risco e potenciais violações das regulamentações aplicáveis. Os PIAs têm seu lugar, no entanto, quando se trata de privacidade desde a concepção e operacionalização da privacidade, somente a conformidade contínua orientada por dados será suficiente.
Indo além das boas intenções
Em resposta a violações de dados quase epidêmicas e incidentes recorrentes de uso indevido de dados pessoais, legisladores e reguladores instituíram uma miríade de medidas para melhor proteger os dados e devolver o controle aos titulares dos dados. Muitas dessas regras são impossíveis de implementar sem uma contabilidade detalhada dos dados armazenados para os indivíduos. De muitas maneiras, isso representa uma mudança radical na forma como as organizações protegem seus ativos de informação mais sensíveis.
Historicamente, os profissionais de privacidade eram responsáveis perante a empresa por garantir a conformidade por meio de políticas e processos aprimorados. As AIPs eram, de certa forma, meios de mensurar a conformidade com uma política e um processo. No entanto, como evidenciado pela crescente frequência e abrangência de violações relatadas e pela exposição à responsabilidade associada, as abordagens baseadas em pesquisas não se mostraram eficazes para garantir a conformidade com as políticas e regulamentações de proteção de dados ou privacidade. Mitigar o risco de dados é quase impossível quando a mensuração desse risco depende de respostas de pesquisas, muitas vezes subjetivas e incompletas. A gestão de riscos começa com uma mensuração precisa e objetiva.
Risco de Dados Evoluído
Uma evolução muito semelhante em direção a medições objetivas de risco ocorreu nos últimos anos na área de avaliação de risco de terceiros e gestão de risco de fornecedores. Historicamente, 3rd O risco partidário também foi avaliado por meio de formulários e pesquisas. No entanto, isso limitou a repetibilidade, a objetividade e a previsibilidade das avaliações. Consequentemente, nos últimos anos, 3rd A mensuração de riscos de terceiros tornou-se mais programática, de modo que as avaliações resultantes forneçam pontuação e orientação consistentes para quem busca reduzir riscos. Uma evolução semelhante está ocorrendo agora na avaliação de riscos de dados.
Com a introdução de ferramentas como o BigID para localizar, mapear e analisar dados pessoais, tornou-se possível para as organizações migrar de avaliações qualitativas e subjetivas baseadas em pesquisas para validação de riscos e conformidade para uma conformidade contínua e precisa, baseada em dados. Saber se a coleta e o processamento de dados excedem os limites legais ou de políticas comerciais definidos torna-se uma função do monitoramento dos dados. A conformidade de dados e a mitigação de riscos mudam da estimativa para a mensuração contínua.
Devolvendo o “Ops” à operacionalização
Regulamentações como o GDPR incentivam cada vez mais as empresas a operacionalizar a privacidade e garantir a privacidade desde o desenvolvimento até a produção. Isso exige monitoramento e mensuração contínuos do risco de dados e da conformidade desde o "momento da construção" até o "momento da execução". Pesquisas podem fazer com que uma organização se sinta melhor em relação à sua conformidade, mas isso é uma falsa sensação de segurança. Para realmente operacionalizar a privacidade, você precisa estar atento aos dados e mensurar a conformidade continuamente, tanto no desenvolvimento quanto na produção. A BigID está entre as empresas de vanguarda que buscam transformar o conhecimento de dados em conformidade contínua e constante para privacidade e segurança.
Autor
