A Lei de Privacidade do Consumidor da Califórnia de 2018 (CCPA) é a primeira lei desse tipo nos EUA que concede maiores direitos de privacidade aos consumidores residentes no estado (Detalhes de Lista de verificação de conformidade com a CCPA aqui.A Lei, que adota muitos dos princípios fundamentais do Regulamento Geral de Proteção de Dados (RGPD) da União Europeia, consagra direitos significativos para os consumidores, concedendo-lhes um controle sem precedentes sobre seus dados pessoais. informações pessoais.
Com entrada em vigor prevista para 1º de janeiro de 2020, em menos de nove meses, a Lei obriga as empresas a compreenderem o impacto que ela terá na forma como coletam e processam as informações pessoais dos consumidores. Devido às amplas disposições da Lei, existe confusão em relação a muitos detalhes, grande parte dela originada em uma disposição fundamental: o que constitui informação pessoal (IP) e como isso difere de... Informações de identificação pessoal (PII).
Compreender a diferença entre os dois é fundamental para se preparar para atender aos requisitos da CCPA, além de regulamentações estaduais e federais semelhantes que provavelmente adotarão uma visão similar sobre informações pessoais. Empresas que não compreenderem essa distinção estarão sujeitas a um risco significativamente maior de multas e potenciais ações coletivas.
O que são informações pessoais e o que são informações de identificação pessoal?
O ponto de partida para entender a diferença entre PI e PII reside na definição de Informações Pessoais de acordo com a CCPA:
“Informações Pessoais”, conforme definido na seção 1798.140 da CCPA.
(o) (1) “Informação pessoal” significa informação que identifica, se relaciona com, descreve, é capaz de ser associada com, ou pode ser razoavelmente vinculada, direta ou indiretamente, a um consumidor ou agregado familiar específico.
Os principais pontos a serem destacados aqui são: “Capaz de ser associado a, ou que possa ser razoavelmente vinculado, direta ou indiretamente, a um consumidor ou a uma família.” Essa definição abre caminho para uma interpretação jurídica extremamente ampla sobre o que constitui informação pessoal, considerando que informação pessoal é qualquer dado que possa ser vinculado a um indivíduo ou domicílio na Califórnia. Isso vai muito além de dados obviamente associados a uma identidade, como nome, data de nascimento ou número do seguro social, que são tradicionalmente considerados informações de identificação pessoal. Em última análise, são essas informações “indiretas” – como preferências de produtos ou dados de geolocalização – que são relevantes, visto que é muito mais difícil identificá-las e conectá-las a uma pessoa do que informações de identificação pessoal bem estruturadas.
À medida que as empresas aumentam os pontos de contato com seus clientes em mais canais, elas coletam petabytes de dados sobre indivíduos em um ritmo vertiginoso. Dados pessoais de todos os tipos, desde altamente identificáveis até indiretos, estão sendo coletados em uma variedade de aplicativos e repositórios de dados, criando uma proliferação de dados pessoais. Como esse volume massivo de dados reside em uma combinação de repositórios de dados estruturados e não estruturados em data centers e na nuvem, é difícil para as organizações terem uma visão precisa de quem realmente possui esses dados, onde eles residem e como estão sendo usados. A ampla definição da CCPA sobre o que constitui informação pessoal pertencente a um titular de dados cria talvez o maior desafio para as organizações em relação à conformidade desde o primeiro dia e à manutenção dessa conformidade à medida que o volume e a complexidade dos dados aumentam ao longo do tempo. A necessidade de proteger os direitos do titular dos dados em grande escala exige uma abordagem diferente para a descoberta e correlação de dados em comparação com o que as empresas têm usado tradicionalmente.
Descoberta de dados PI desenvolvida especificamente para a CCPA
Proteger os direitos de dados pessoais sob a CCPA significa ter que prestar contas dos dados de cada indivíduo – incluindo dados pessoais e dados pessoais identificáveis. Mas, tradicionalmente, baseado em classificação As ferramentas de descoberta de dados não conseguem correlacionar ou associar dados a um indivíduo. Elas podem dizer que tipo de dados você tem, mas não de quem são esses dados. As ferramentas tradicionais de descoberta de dados dependem de classificadores baseados em expressões regulares para encontrar tipos de dados bem estruturados, como informações de cartões de pagamento com dezesseis dígitos. Elas não foram projetadas para identificar dados pessoais com base em sua conexão com uma identidade. Consequentemente, essas ferramentas não conseguem ir além de tipos bem definidos de informações pessoais identificáveis (PII) clássicas, tornando-as inadequadas e obsoletas para a descoberta e classificação de dados. PI De acordo com a CCPA.
A plataforma de privacidade de dados da BigID foi desenvolvida especificamente para a descoberta avançada de informações pessoais (PI) e informações pessoais identificáveis (PII) em dados estruturados, não estruturados, Big Data e na nuvem, tanto em data centers quanto na nuvem. A BigID adota uma abordagem moderna para a descoberta de dados, aproveitando o poder do aprendizado de máquina para encontrar informações pessoais difíceis de localizar. Essa abordagem oferece às empresas uma vantagem competitiva para enfrentar o desafio específico de descobrir e correlacionar todas as informações pessoais, conforme definido pela CCPA (Lei de Privacidade do Consumidor da Califórnia).
• Descobrindo informações pessoais (PI) e informações pessoais identificáveis (PII) usando "inteligência de identidade" baseada em aprendizado de máquina para medir a identificabilidade dos dados e conectar como cada atributo de PI está relacionado a outros dados referentes à mesma identidade em toda a empresa.
• Correlacionar informações pessoais a um indivíduo por meio da indexação de dados por pessoa para preservar e proteger os direitos do titular dos dados.
• Analisar todas as fontes de dados da empresa em busca de informações pessoais.
• Identificação de PI em escala de petabytes
Esteja preparado
Se aprendemos alguma coisa com o GDPR, é que as empresas precisam se preparar o quanto antes para estarem prontas para o prazo. Com isso em mente, aqui estão as considerações mais importantes a serem priorizadas:
1. Certifique-se de que sua equipe tenha um entendimento compartilhado da definição de informações pessoais de acordo com a CCPA.
2. Ampliar a governança de dados para incluir informações pessoais, e não apenas informações pessoais identificáveis. As organizações devem mapear seus conjuntos de dados, identificar todas as informações pessoais em comparação com o padrão atual de atributos direta ou indiretamente identificáveis e inventariar os dados por pessoa e estado de residência.
3. Gerenciar o consentimento de forma eficaz e monitorar o processamento. Para comprovar a conformidade e construir confiança com os consumidores, as empresas devem examinar os controles para gerenciar os usos subsequentes de informações pessoais, com a capacidade de monitorar e garantir que o consentimento e os usos de informações pessoais sejam adequados.
Para saber mais sobre como a BigID pode ajudar você a se preparar para a CCPA, visite BigID.com/demo.
Autor
