Pular para o conteúdo
Ver todas as postagens

A CCPA se torna realidade: Encontrando a saída das ervas daninhas

O Proteção de Privacidade do Consumidor da Califórnia (CCPA) entrará em vigor dentro de alguns meses e, no início deste mês, Procurador-Geral da Califórnia, Xavier Becerra emitiu orientações iniciais muito aguardadas sobre como operacionalizar a lei: são de particular interesse porque o gabinete do Procurador-Geral será responsável por fazer cumprir a lei. Os Regulamentos podem ter introduzido alguma incerteza, mas certamente aumentaram a ansiedade sobre a melhor forma de se preparar para a CCPA – e além.

Do específico ao geral

As avaliações iniciais do Regulamento não foram unanimemente positivas, mas o foco rapidamente se voltou para suas repercussões práticas. O mais notável é que o Regulamento se move das profundezas do mato para o ecossistema da floresta.

Por exemplo:

– os Regulamentos são muito específicos sobre como as empresas cobertas devem verificar a identidade de não titulares de contas para solicitações de categorias de PI ou de PI específico que foi coletado sobre eles.

– os Regulamentos fornecem detalhes detalhados sobre onde e como os botões para facilitar os pedidos de “Opt-Out” ou “Não Vender” devem ser exibidos nos sites corporativos

– E – provavelmente ainda mais significativo – o Regulamento agora estipula que as empresas terão 15 dias para implementar a exclusão de solicitações de venda de dados.

Enquanto isso, o gabinete do procurador-geral da Califórnia elaborou na Declaração de Motivos anexa que a intenção da lei é restaurar o controle do consumidor sobre seus dados e garantir transparência em "como as empresas coletam, usam e compartilham informações pessoais e sobre o que as empresas devem fazer para cumprir com a CCPA".

Transparência, nesse sentido, é mais do que a soma total das partes.

O caminho para a ruína é pavimentado com boas intenções

Como a conformidade com a privacidade é uma área emergente nos EUA, o foco prático no curto prazo provavelmente estará nos detalhes: garantir que os avisos, as políticas e os processos de roteamento de solicitações necessários estejam em vigor. Todos esses elementos são obviamente etapas necessárias, mas manter o foco nos detalhes corre o risco de perder de vista a floresta – que é a intenção da lei.

Mesmo que as empresas consigam acertar nos detalhes, elas podem cair na armadilha de acertar apenas nos detalhes, em detrimento da criação de programas que sejam repetíveis, demonstráveis e sustentáveis.

Por exemplo, usar uma linguagem clara e explícita no aviso de privacidade inicial é fundamental. Mas sem insights baseados em dados sobre como os dados estão sendo usados no contexto de um processo de negócios (e a capacidade de sinalizar se os dados estão sendo usados para outra finalidade), a transparência se limita apenas à política de privacidade.

As diretrizes em constante mudança também apontam para as armadilhas de uma abordagem manual que estará constantemente em modo de recuperação e só poderá ser repetida se os Regulamentos permanecerem estáticos. Se as empresas pretendem tornar a privacidade um princípio operacional fundamental e um valor corporativo, precisarão evitar se prender a um ciclo de mudanças dispendiosas e disruptivas simplesmente para acompanhar a evolução dos Regulamentos.

Para trabalhar em direção a uma estratégia de operacionalização de privacidade sustentável, repetível e demonstrável, as empresas precisarão de uma base sólida, automatizada e extensível. É aqui que entra a inteligência de dados coesa e com foco na privacidade.

Uma selva ou um jardim?

A inteligência de dados coesa permite que as empresas se adaptem quando surgem novos requisitos para que as mudanças não desequilibrem enormemente o ecossistema e prejudiquem as estratégias de privacidade com as partes interessadas corporativas.

Vejamos alguns exemplos para ilustrar esse ponto.

Por exemplo, no caso de verificação solicitações de acesso a dados para não titulares de conta, as empresas devem ser capazes de pegar dois ou três pontos de dados (dependendo da natureza da solicitação) e filtrar milhares ou até milhões de indivíduos para restringir a um consumidor específico e, então, responder com um relatório claro, abrangente e atual.

Da mesma forma, para responder a solicitações de exclusão ou de não venda, as empresas terão que ser capazes de:

– verificar a identidade do indivíduo específico que faz a solicitação
– determinar quais categorias de dados e atributos estão sendo coletados no contexto de um processo de negócios específico ou fluxo de dados para aqueles indivíduos
– identificar com quais terceiros os dados estão sendo compartilhados, transferidos ou vendidos
– cessar a venda e transferência de dados por um ano, ou até que o consumidor opte novamente pela venda de dados

O que o Regulamento agora estipula é que todas essas etapas devem ser executadas e concluídas no prazo de 15 dias.

Ambos os exemplos apontam para a complexidade de adotar uma abordagem manual – cortar a selva com um facão, por analogia – que é exatamente o oposto de repetível.

Quando as empresas mantêm visões atualizadas, granulares e específicas de quais e de quais dados pessoais coletam e processam, alimentadas por descoberta e classificação automatizadas – mesmo em escala e complexidade de dados massivas –, elas podem aproveitar essa visão centrada na identidade, baseada em inteligência de dados, para responder com precisão e rapidez. E os analistas podem verificar a identidade de pessoas que não são titulares de contas em uma consulta simples, com base nessa visão centrada na identidade – em vez de ficarem presos por dias.

Da mesma forma, quando um consumidor faz uma solicitação de cancelamento, essa visão centrada na identidade permite que os analistas identifiquem exatamente quais dados, quais tipos de dados, para quais fluxos de dados e vendas de dados de terceiros associados devem ser suspensos.

Além disso, o esforço incremental necessário para se adaptar a novos requisitos é minimizado, já que se trata de mudar a forma como os relatórios são feitos, não como as operações de privacidade são implementadas. Além disso, o trabalho de inteligência de dados realizado para estratégia e conformidade de privacidade pode ser facilmente transposto para áreas como análise de dados, governança e segurança – em vez de se limitar apenas à conformidade de privacidade.

Com a coesão entre a inteligência de dados, o gerenciamento de direitos de dados e os relatórios avançados, as empresas podem reduzir radicalmente a complexidade de etapas separadas e fragmentadas.

Olhando para o horizonte

Não há dúvida de que a conformidade com a CCPA envolverá lidar com as especificidades dos Regulamentos da CA AG. O desafio mais amplo com o qual nossos clientes estão lidando é deixar de ser reativo e passar a integrar a proteção da privacidade aos seus negócios e valores corporativos.

Para acertar os detalhes e garantir que eles saiam do básico para cuidar do próprio jardim, eles percebem que a operacionalização precisa ser diretamente informada por inteligência de dados com foco em privacidade. Para tornar o compromisso com a proteção da privacidade uma realidade prática, eles partem de uma visão centrada na identidade de todos os seus dados e, em seguida, aproveitam esses insights fornecidos em escala para gerenciar, governar e proteger dados pessoais – além de automatizar os requisitos mais recentes da CCPA.

É exatamente esse o objetivo que a BigID foi fundada para atingir. Ajudamos empresas que veem a conformidade como um trampolim para uma estratégia de privacidade abrangente e que enxergam os obstáculos de um modo reativo como obstáculos para atingir esse objetivo.

Para saber mais sobre a abordagem da BigID para automatizar a conformidade com a CCPA e a inteligência de dados com foco em privacidade, baixe nosso white paper aqui.