O GDPR impõe uma série de obrigações desafiadoras para as empresas, que vão desde os direitos dos titulares dos dados até a gestão do consentimento. Uma das obrigações mais trabalhosas é a exigência do Artigo 30 para que processadores e controladores de dados pessoais mantenham registros da atividade de processamento. Geralmente denominada "exigência de manutenção de registros do Artigo 30", essa obrigação impõe às empresas a responsabilidade de contabilizar com precisão dados de identidade eles processam. Embora um dos objetivos da exigência de manutenção de registros seja fornecer aos reguladores da DPA a prova necessária de conformidade, o objetivo mais amplo é ajudar as empresas a se tornarem melhores administradoras dos dados de clientes e funcionários.
Como requisito de manutenção de registros do processamento de dados, o Artigo 30 é frequentemente associado a "mapas de fluxo de dados", que documentam e diagramam o processamento de dados pessoais, desde a coleta até o descarte. Quando feitos corretamente, eles fornecem aos reguladores e às empresas sujeitas ao GDPR uma maneira de codificar as atividades de processamento e garantir que artefatos necessários, como finalidade de uso e categoria de dados, sejam capturados corretamente. Além disso, o regulamento incentiva as organizações a alavancar a manutenção de registros para capturar informações adicionais necessárias para proteger os residentes e cidadãos da UE. O objetivo do Artigo 30 é criar um registro inequívoco de como os dados pessoais são processados por uma organização. No entanto, permanece uma ambiguidade significativa em seu cerne: de onde realmente se origina o conhecimento dos dados que estão sendo processados?
Sonhos digitais e compromissos analógicos
A maneira mais trivial de uma organização descobrir detalhes sobre suas atividades de processamento de dados é perguntar às partes interessadas responsáveis por tal processamento. Afinal, elas devem ser capazes de fornecer comprovação sobre quais dados coletam, a finalidade da coleta e uso, a retenção, etc. E se os humanos tivessem memórias infalíveis e conhecimento perfeito, esse método de coleta e manutenção de registros de informações representaria uma contabilidade precisa do processamento real de dados. Infelizmente, as pessoas não são perfeitas em sua lembrança de onde guardaram as chaves do carro, muito menos onde guardaram seus dados.
As pessoas esquecem. As pessoas mudam de emprego. As pessoas interpretam mal. Pessoas que possuem aplicativos que processam dados dependem de outras pessoas para desenvolvê-los. "Pessoas são pessoas", como o Depeche Mode observou com precisão. Elas não são computadores.
Confiar em entrevistas e pesquisas para descobrir quais dados pessoais uma organização coleta e processa pode ser melhor do que nada, mas melhor do que nada não é o objetivo do Artigo 30 do GDPR. Na Era da Informação, um método preciso para determinar onde as informações digitais são efetivamente coletadas e processadas é essencial. Descobrir quais dados são armazenados e processados em um computador deve ser determinado por um computador real. E, como diria o Depeche Mode: "Pessoas Não São Computadores".
Não confie, verifique
Até certo ponto, o GDPR é análogo às regulamentações financeiras. No entanto, em vez de focar na integridade das transações financeiras e das instituições afetadas, o foco está na integridade do processamento de dados e dos titulares dos dados afetados (pessoas). Dados são para o GDPR o que transações financeiras são para Basileia III. Isso se encaixa perfeitamente na Era da Informação, onde dados são a moeda do comércio e da comunicação. E, como qualquer regulamentação financeira cuja mensuração de conformidade depende da contabilização precisa da substância que a sustenta, o GDPR exige uma contabilização precisa dos dados para ser eficaz e mensurável.
Recordações não são registros. Sem uma contabilidade precisa dos dados, não há audibilidade, e sem audibilidade, como se pode verificar a conformidade? Para que uma regulamentação de proteção de dados como o GDPR seja útil, a verificação precisa ser orientada por dados. Afinal, não se pode proteger o que não se encontra. O BigID é o primeiro produto no mercado a oferecer às organizações a capacidade não apenas de encontrar todos os dados pessoais pertencentes a um indivíduo, mas também de usar esse mapeamento de dados para registrar fluxos de dados com base no processamento real de dados. Usando o BigID, as organizações podem criar e manter registros de processamento de dados que reflitam registros de dados reais, utilizando o que há de mais moderno em aprendizado de máquina, e não apenas questionários em papel.
O GDPR exige que as empresas protejam as informações de seus titulares de dados. O Artigo 30 exige que as organizações forneçam provas comprobatórias de que todos os processos digitais que exigem coleta e processamento de dados pessoais são devidamente contabilizados. Mas, para que isso seja realmente responsabilizado perante os indivíduos, ou seja, os titulares dos dados, a manutenção de registros do processamento de dados precisa ser baseada em dados reais. O BigID, pela primeira vez, oferece às empresas uma maneira de cumprir essa obrigação com base em registros de dados reais, e não apenas recuperados.
Autor
