Estamos na era moderna da privacidade de dados. Desde então, Regulamento Geral de Proteção de Dados (RGPD) Com a entrada em vigor da lei em maio de 2018, as empresas enfrentam uma nova realidade no que diz respeito à sua responsabilidade para com os indivíduos e seus dados.
Com isso, surge uma onda sem precedentes de leis de privacidade voltadas para a privacidade. proteção dos titulares dos dados e suas informações pessoais e sensíveis — e cada vez mais organizações estão criando estruturas de privacidade projetadas para cumprir essas leis.
Transparência — e por que ela é importante.
Uma forma de pensarmos na privacidade nesta nova realidade é em termos de transparência: quão claras as organizações estão sendo sobre suas políticas e processos de dados — nos avisos que fornecem aos titulares dos dados, na documentação sobre como processam os dados e em suas capacidades de geração de relatórios.
Transparência nas práticas e políticas de dados Constrói confiança para as organizações — e garante e possibilita a responsabilização. Você não pode provar abertamente que respeita as preferências dos titulares dos dados se não conseguir encontrar e rastrear seus dados em toda a sua organização — ou remediar problemas com informações confidenciais se não conseguir descobrir onde ocorreu o erro.
Antes do GDPR, a maioria das empresas não tinha motivação para desenvolver programas de privacidade eficientes e eficazes. Sem a pressão dos órgãos reguladores e a ameaça de penalidades por violações, a necessidade de responsabilização era baixa para os departamentos de privacidade e para as organizações em geral.
GDPR, Artigo 30 e ROPAs
Aí entra o GDPR, que trouxe a responsabilidade para o primeiro plano com Artigo 30.
O Artigo 30 estabelece que os controladores e processadores devem manter um Registro das Atividades de Processamento — comumente chamadas de ROPAsIsso significa que os controladores e processadores agora devem ser capazes de fornecer facilmente certos detalhes sobre os dados que coletam. Esses detalhes incluem:
- nome e informações de contato
- categorias de titulares de dados e os dados pessoais que processam
- categorias de destinatários aos quais os dados serão divulgados
- informações de transferência de terceiros
- políticas de retenção e destruição
- as finalidades das atividades de processamento de dados
- as medidas de segurança técnicas e administrativas que implementaram.
Trata-se de muita informação — e de diferentes tipos de informação — e as empresas devem estar preparadas para fornecer esses registros às autoridades de supervisão, mediante solicitação. Algumas autoridades chegam a recomendar o fornecimento de informações adicionais.
O O Gabinete do Comissário de Informação (ICO, na sigla em inglês) do Reino Unido aconselha: As organizações deverão incluir registros de consentimento, contratos com processadores de dados, avaliações de impacto sobre a proteção de dados, localização de dados pessoais, referências a incidentes de segurança e se os dados foram processados com base em uma base legal — além da lista exigida pela ROPA.
Manter bons registros fortalece as organizações. Não apenas para fornecer às autoridades as informações corretas sobre como proteger seus dados, mas também para operacionalizar práticas eficazes que otimizem continuamente seus programas de privacidade de dados. A Autoridade de Proteção de Dados da Bélgica argumenta que a manutenção de registros é um importante instrumento de prestação de contas. “Organizações que não conhecem seus dados terão muito mais dificuldade em cumprir o GDPR.”
Sem informações diretas, precisas e abrangentes. conhecimento de dadosOs relatórios são desorganizados, dispersos e não conseguem demonstrar claramente como uma organização implementa práticas de responsabilização.
Automatizando seus dados para conhecer seus dados
Você já deve ter ouvido o ditado: "uma jornada de mil milhas começa com um único passo". Portanto, embora o processo de documentar todo o ciclo de vida dos dados da sua empresa possa parecer complexo, dar passos significativos para conhecer seus dados é um ponto de partida viável.
O ICO Recomenda o mapeamento eficaz de dados. Como primeiro passo no processo para "garantir que nada seja esquecido", as organizações podem construir um inventário de dados preciso, eficiente e escalável com descoberta automatizada de dados e classificação que oferece visibilidade completa de todos os seus dados — pessoais e sensíveis, em todos os tipos de dados e em todas as fontes de dados.
A BigID permite que as empresas criem e atualizem continuamente um inventário indexado de todas as informações pessoais e sensíveis, integrando políticas e contexto de negócios, além de incorporar insights e perspectivas. Isso é particularmente importante para que as organizações possam explicar não apenas os dados que possuem, mas também a sua utilização. propósito por trás da coleta e do processamento de seus dados.
Como surgem cada vez mais regulamentações legais. Em relação à coleta e ao uso de informações de titulares de dados por organizações, princípios de privacidade como transparência e responsabilidade se tornarão ainda mais presentes. Isso significa mais exigências, como a manutenção de políticas de privacidade, a submissão a auditorias e a disponibilização de métricas importantes tanto para os titulares dos dados quanto para os órgãos reguladores.
A responsabilidade hoje em dia significa que as empresas devem implementar medidas técnicas para comprovar sua responsabilidade com os dados do consumidor. Por meio da descoberta, classificação e mapeamento automatizados, as organizações podem Estabelecer claramente um programa de privacidade sólido — e relatar o que, como e porquê por trás dos dados que processam.
Saiba mais sobre como o BigID pode ajudar. Sua empresa pode automatizar o registro de dados conforme o Artigo 30 do GDPR e construir um sistema preciso e eficaz. ROPA.
Autor
