O Lei de Proteção da Privacidade do Consumidor da Califórnia (CCPA) entra em vigor em questão de meses, e no início deste mês, Procurador-Geral da Califórnia, Xavier Becerra A Procuradoria-Geral emitiu orientações iniciais muito aguardadas sobre como operacionalizar a lei: isso é de particular interesse porque o gabinete do Procurador-Geral será responsável por aplicá-la. Os regulamentos podem ter introduzido alguma incerteza, mas certamente ampliaram a ansiedade sobre a melhor forma de se preparar para a CCPA – e para o que virá depois.
Do específico ao geral
As avaliações iniciais do Regulamento não foram unanimemente positivas, mas o foco rapidamente se voltou para as repercussões práticas do mesmo. É notável que o Regulamento passe de uma abordagem minuciosa para uma abordagem que abranja o ecossistema da floresta.
Por exemplo:
– Os regulamentos são muito específicos sobre como as empresas abrangidas devem verificar a identidade de pessoas que não são titulares de contas para solicitações de categorias de informações pessoais ou das informações pessoais específicas que foram coletadas sobre elas.
– Os regulamentos fornecem detalhes abrangentes sobre onde e como os botões para facilitar as solicitações de "cancelamento de inscrição" ou "não venda" devem ser exibidos nos sites corporativos.
– E – provavelmente ainda mais importante – os regulamentos agora estipulam que as empresas terão 15 dias para implementar a opção de exclusão da venda de dados.
Entretanto, o gabinete do Procurador-Geral da Califórnia explicou na Declaração de Motivos anexa que a intenção da lei é restaurar o controle do consumidor sobre seus dados e garantir a transparência em "como as empresas coletam, usam e compartilham informações pessoais e o que as empresas devem fazer para cumprir a CCPA".
Transparência, neste sentido, é mais do que a soma das partes.
O caminho para a ruína está pavimentado com boas intenções.
Como a conformidade com a privacidade é uma área emergente nos EUA, o foco prático no curto prazo provavelmente estará nos detalhes: garantir que os avisos, políticas e processos de encaminhamento de solicitações necessários estejam em vigor. Todos esses elementos são obviamente etapas necessárias, mas manter o foco nos detalhes pode nos fazer perder de vista o objetivo principal – que é a intenção da lei.
Mesmo que as empresas consigam acertar nos detalhes, podem cair na armadilha de se concentrarem apenas nos detalhes, em detrimento da criação de programas que sejam repetíveis, demonstráveis e sustentáveis.
Por exemplo, usar uma linguagem clara e explícita no aviso de privacidade inicial é fundamental. Mas, sem insights baseados em dados sobre como os dados estão sendo usados no contexto de um processo de negócios (e sem a capacidade de sinalizar se os dados estão sendo usados para outra finalidade), a transparência fica limitada apenas à política de privacidade.
As diretrizes em constante mudança também apontam para as armadilhas de uma abordagem manual, que estará sempre em modo de recuperação e só será repetível se os regulamentos permanecerem estáticos. Se as empresas pretendem fazer da privacidade um princípio operacional fundamental e um valor corporativo, precisarão evitar ficar atoladas em um ciclo de mudanças caras e disruptivas apenas para acompanhar a evolução dos regulamentos.
Para desenvolver uma estratégia de operacionalização da privacidade sustentável, repetível e demonstrável, as empresas precisarão de uma base sólida, automatizada e extensível. É aqui que entra em cena a inteligência de dados coesa e atenta à privacidade.
Uma selva ou um jardim?
A inteligência de dados coesa permite que as empresas se adaptem quando surgem novos requisitos, para que as mudanças não desequilibrem drasticamente o ecossistema e não comprometam as estratégias de privacidade junto às partes interessadas da empresa.
Vejamos alguns exemplos para ilustrar esse ponto.
Por exemplo, no caso de verificação solicitações de acesso a dados Para quem não possui conta, as empresas precisam ser capazes de coletar dois ou três pontos de dados (dependendo da natureza da solicitação) e filtrar milhares ou até milhões de indivíduos para identificar um consumidor específico e, em seguida, responder com um relatório claro, abrangente e atualizado.
Da mesma forma, para responder a solicitações de exclusão ou de não venda de dados, as empresas precisarão ser capazes de:
– verificar a identidade da pessoa específica que está fazendo a solicitação
– determinar quais categorias e atributos de dados estão sendo coletados no contexto de um processo de negócios ou fluxo de dados específico para esses indivíduos
– Identificar com quais terceiros os dados estão sendo compartilhados, transferidos ou vendidos.
– cessar a venda e a transferência de dados por um ano, ou até que o consumidor opte novamente pela venda de dados.
O que o regulamento agora estipula é que todas essas etapas devem ser realizadas e concluídas no prazo de 15 dias.
Ambos os exemplos apontam para a complexidade de adotar uma abordagem manual – abrir caminho na selva com um facão, por analogia – que é exatamente o oposto de repetível.
Quando as empresas mantêm visões atualizadas, detalhadas e específicas de quem e quais dados pessoais elas coletam e processam, alimentadas por descoberta e classificação automatizadas — mesmo em escala e complexidade de dados massivas —, elas podem aproveitar essa visão centrada na identidade, baseada em inteligência de dados, para responder com precisão e rapidez. Além disso, os analistas podem verificar a identidade de não titulares de contas com uma simples consulta, também baseada nessa visão centrada na identidade, em vez de se perderem dias em processos complexos.
Da mesma forma, quando um consumidor faz uma solicitação de exclusão, essa visão centrada na identidade permite que os analistas identifiquem exatamente de quem são os dados, quais tipos de dados, para quais fluxos de dados e as vendas de dados a terceiros associadas devem ser suspensas.
Além disso, o esforço incremental necessário para se adaptar a novos requisitos é minimizado, já que se trata de mudar a forma como os relatórios são feitos, e não como as operações de privacidade são implementadas. E o trabalho de inteligência de dados realizado para a estratégia e conformidade com a privacidade pode ser facilmente transposto para áreas como análise de dados, governança e segurança – em vez de ficar restrito apenas à conformidade com a privacidade.
Com a integração entre inteligência de dados, gestão de direitos de dados e relatórios avançados, as empresas podem reduzir drasticamente a complexidade de etapas separadas e isoladas.
Olhando em direção ao horizonte.
Não há dúvida de que a conformidade com a CCPA envolverá lidar com as especificidades dos regulamentos do Procurador-Geral da Califórnia. O desafio mais amplo que nossos clientes enfrentam é a transição de uma postura reativa para a integração da proteção da privacidade em seus negócios e valores corporativos.
Para acertar nos detalhes e garantir que consigam se concentrar no essencial, eles entendem que a operacionalização precisa ser diretamente orientada por inteligência de dados que respeite a privacidade. Para tornar o compromisso com a proteção da privacidade uma realidade prática, eles começam com uma visão centrada na identidade em todos os seus dados e, em seguida, aproveitam esses insights, entregues em escala, para gerenciar, governar e proteger dados pessoais — além de automatizar os requisitos mais recentes da CCPA.
Esse é precisamente o objetivo para o qual a BigID foi fundada. Ajudamos empresas que veem a conformidade como um passo fundamental para uma estratégia de privacidade abrangente e que enxergam os obstáculos de uma abordagem reativa como impedimentos para alcançar esse objetivo.
Para saber mais sobre a abordagem da BigID para automatizar a conformidade com a CCPA e a inteligência de dados com foco na privacidade, Baixe nosso white paper aqui..
Autor
