Estamos em uma era moderna de privacidade de dados. Desde a Regulamento Geral sobre a Proteção de Dados (GDPR) entrou em vigor em maio de 2018, as empresas enfrentam uma nova realidade no que diz respeito à sua responsabilidade para com os indivíduos e seus dados.
Com isso, surge um surgimento sem precedentes de leis de privacidade destinadas a proteger os titulares dos dados e suas informações pessoais e confidenciais — e mais organizações estão criando estruturas de privacidade projetadas para cumprir essas leis.
Transparência — e por que ela é importante
Uma maneira de pensar sobre privacidade nessa nova realidade é em termos de transparência: quão claras as organizações estão sendo sobre suas políticas e processos de dados — nos avisos que fornecem aos titulares dos dados, na documentação sobre como processam os dados e em suas capacidades de geração de relatórios.
Transparência nas práticas e políticas de dados cria confiança para as organizações — e garante e possibilita a responsabilização. Você não pode provar abertamente que respeita as preferências dos titulares dos dados se não conseguir encontrar e rastrear seus dados em toda a organização — ou remediar problemas com informações confidenciais se não conseguir descobrir onde ocorreu o erro.
Antes do GDPR, a maioria das empresas não tinha motivação para criar programas de privacidade eficientes e eficazes. Sem a pressão dos reguladores e a ameaça de penalidades por violações, a necessidade de responsabilização era baixa para os escritórios de privacidade e as organizações em geral.
RGPD, Artigo 30 e ROPAs
Entra em cena o RGPD, que trouxe a responsabilização para o primeiro plano com Artigo 30.
O artigo 30 estabelece que os controladores e processadores devem manter um Registro de Atividades de Processamento — comumente chamados de ROPAsIsso significa que os controladores e processadores agora devem ser capazes de fornecer prontamente determinados detalhes sobre os dados que coletam. Esses detalhes incluem:
- nome e informações de contato
- categorias de titulares de dados e os dados pessoais que eles processam
- categorias de destinatários aos quais os dados serão divulgados
- informações de transferência de terceiros
- políticas de retenção e destruição
- as finalidades das atividades de processamento de dados
- as medidas técnicas e administrativas de segurança que têm em vigor
São muitas informações — e diferentes tipos de informações — e as empresas devem estar preparadas para fornecer esses registros às autoridades de supervisão mediante solicitação. Algumas autoridades até recomendam o fornecimento de informações adicionais.
O O Information Commissioner's Office (ICO) no Reino Unido aconselha organizações para incluir registros de consentimento, acordos com processadores, avaliações de impacto de proteção de dados, localização de dados pessoais, referências a incidentes de segurança e se os dados foram processados de forma legal — além da lista ROPA necessária.
Manter bons registros fortalece as organizações não apenas fornecer às autoridades as informações corretas sobre como proteger seus dados, mas também operacionalizar práticas eficazes que otimizem continuamente seus programas de privacidade de dados. A DPA da Bélgica argumenta que a manutenção de registros é um importante instrumento de responsabilização. “Organizações que desconhecem seus dados terão muito mais dificuldade em cumprir o GDPR.”
Sem uma abordagem direta, precisa e abrangente conhecimento de dados, os relatórios são aleatórios, dispersos e não conseguem demonstrar claramente como uma organização implementa práticas de responsabilização.
Automatizando seus dados para conhecê-los
Você já deve ter ouvido o ditado: "uma jornada de mil milhas começa com um único passo". Portanto, embora o processo de documentar o ciclo de vida completo dos dados da sua empresa possa parecer complicado, tomar medidas significativas para conhecer seus dados é um ponto de partida administrável.
A ICO recomenda mapeamento de dados eficaz como um primeiro passo no processo para “ajudar a garantir que nada seja esquecido”. As organizações podem construir um inventário de dados preciso, eficiente e escalável com descoberta automatizada de dados e classificação que oferece visibilidade completa de todos os seus dados — pessoais e sensíveis, em todos os tipos de dados e todas as fontes de dados.
O BigID permite que as empresas criem e atualizem continuamente um inventário indexado de todas as informações pessoais e confidenciais, integrando políticas e contexto de negócios ao mesmo tempo incorporando percepção e perspectiva. Isto é particularmente importante para que as organizações possam explicar não apenas os dados que possuem, mas também propósito por trás da coleta e do processamento de seus dados.
Como surgem cada vez mais regulamentações legais Em relação à coleta e ao uso de informações de titulares de dados por organizações, princípios de privacidade como transparência e responsabilização se tornarão ainda mais presentes. Isso significa mais requisitos, como a manutenção de RoPAs, a submissão a auditorias e a disponibilização de métricas-chave tanto para titulares de dados quanto para reguladores.
A responsabilização hoje significa que as empresas devem ter medidas técnicas em vigor para comprovar sua responsabilidade com os dados do consumidor. Por meio de descoberta, classificação e mapeamento automatizados, as organizações podem estabelecer claramente um programa de privacidade sólido — e relatar o quê, como e porquê por trás dos dados que eles processam.
Saiba mais sobre como o BigID pode ajudar sua empresa automatiza a manutenção de registros do Artigo 30 do GDPR e cria um sistema preciso e eficaz ROPA.