À medida que a poeira assenta desde o Regulamento Geral sobre a Proteção de Dados da UE Com a entrada em vigor da legislação e a adaptação da maioria das empresas à gestão dos seus processos de recolha de consentimento, muitas têm cada vez mais dificuldades em transformar esses acordos de consentimento num controlo prático para o processamento de aplicações e para os titulares de dados.
Grande parte da atenção dada ao consentimento tem se concentrado no processo de captura e armazenamento do consentimento para atender aos requisitos básicos de conformidade para o registro de dados. Infelizmente, isso desviou a atenção dos aspectos mais fundamentais. engenharia de privacidade perguntas relacionadas a propósito Para a coleta dos consentimentos – como mapear e correlacionar os múltiplos acordos de consentimento de cada titular de dados em uma visão consolidada e avaliar continuamente se os consentimentos são válidos e adequados para a coleta e o processamento de dados.
Apresentamos a governança de consentimento: ampliando nossa capacidade exclusiva de entender quais dados estão associados a quais titulares de dados específicos, o BigID permitirá que as empresas realizem, por titular de dados e por atributo, a inspeção do processamento de dados para conformidade com o consentimento.
Nosso primeiro passo para operacionalizar o propósito do consentimento é fornecer uma visão centrada no titular dos dados de todos os acordos de consentimento capturados por meio de múltiplos aplicativos e fontes. Nosso objetivo final é transformar o consentimento de um artefato legal (e isolado) em algo prático e auditável. privacidade de dados Controle que é parte integrante da privacidade por design (PbD).
Cara, cadê meu consentimento?
Ao começarem a se preparar para a conformidade com o Regulamento Geral de Proteção de Dados (RGPD), muitas organizações concentraram-se em obter o consentimento de clientes e consumidores. Isso ficou evidente na enxurrada de e-mails enviados por provedores em um momento de pânico antes do prazo final.
Mas, uma vez que o consentimento tenha sido coletado e registrado, o que acontece a seguir? O número de produtos de gerenciamento de consentimento, que essencialmente funcionam como bancos de dados para acordos e preferências de consentimento, proliferou em resposta a RGPDEssas ferramentas geralmente operam de forma isolada, e as empresas podem coletar múltiplas instâncias de consentimento para um único titular de dados, seja o consentimento para o uso de cookies e outros dispositivos de rastreamento online de acordo com os requisitos de privacidade eletrônica, de vários aplicativos móveis ou da Web, ou de uma infinidade de dispositivos conectados.
Sob o Lei de Privacidade do Consumidor da Califórnia que entra em vigor em 2020, as empresas abrangidas pela lei ainda terão que registrar as decisões de recusa e alinhar essas preferências com as ações de processamento reais – mesmo que a lei não incorpore, eventualmente, um requisito equivalente de consentimento explícito nos moldes do GDPR.
As abordagens existentes para a obtenção de consentimento apresentam diversos desafios para as organizações quando estas tentam operacionalizá-las e integrar as preferências e condições com as decisões de processamento e transferência de dados:
Existem diversos desafios que as abordagens atuais enfrentam na operacionalização do consentimento e na integração das preferências e condições de consentimento com as decisões de processamento e transferência de dados.
• Caos do Consentimento
• O consentimento é obtido de múltiplas fontes, com mecanismos limitados para consolidar ou agregar múltiplas ações de consentimento do mesmo titular de dados.
• Avaliação da Política de Consentimento
• Os gestores de privacidade desejam poder definir e avaliar centralmente as políticas de conformidade em relação a todos os registros de consentimento correlacionados.
• Validade do Consentimento
• As ferramentas se concentram em registrar o consentimento quando ele for coletado, mas e quanto a identificar aplicativos em que o consentimento não foi coletado, quando o consentimento foi coletado pela última vez e se o uso dos dados é consistente com as condições de consentimento?
• Relatórios de atividades de processamento e DSAR
• Para as equipes de operações e privacidade, o gerenciamento de consentimento não oferece um mecanismo para integrar a comprovação do consentimento às solicitações de acesso do titular dos dados. Isso torna o processo manual na melhor das hipóteses e aumenta o risco de não conformidade.
• Integração do consentimento para privacidade desde a concepção
• Os desenvolvedores precisam de um mecanismo programático para incorporar políticas de privacidade para garantir a privacidade desde a concepção, mas não existe um mecanismo para integrar o consentimento em seus modelos de aplicação.
Além disso, e talvez mais significativo para o futuro da privacidade de dados, esses produtos e serviços estão isolados do processamento de dados propriamente dito e das atividades de conformidade relacionadas.
Governança por Consentimento – Colocando o Propósito em Foco
A BigID já oferece a capacidade de verificar registros de consentimento em sistemas de gerenciamento de consentimento e integrar as informações de finalidade de uso ao nosso inventário de dados, Registros de Atividade de Processamento para o GDPR. Artigo 30 Relatórios de documentação e solicitações de acesso de titulares de dados.
Como nossa primeira funcionalidade de governança de consentimento, apresentaremos agora um console de governança de consentimento projetado para fornecer uma visão "por titular de dados" da coleta, status e validade do consentimento. Ao correlacionar os consentimentos obtidos em diferentes momentos por diferentes aplicativos com escopos distintos a um titular de dados individual, as equipes de privacidade e TI terão agora uma ferramenta para gerenciar, validar e gerar relatórios sobre o estado das políticas de consentimento entre titulares de dados e fontes de consentimento.
Essa funcionalidade amplia nossa capacidade existente de atender aos requisitos do GDPR para os direitos dos titulares dos dados por meio de relatórios integrados sobre quando e como o consentimento foi obtido para ações específicas de coleta de dados. Além disso, os consumidores podem usar esse indicador proativo, individualizado e consolidado, caso os aplicativos estejam coletando dados sem um consentimento válido. Ademais, essa visão correlacionada também nos permite identificar casos em que o consentimento foi revogado e os dados devem ser removidos.
Da mesma forma, ao integrar a governança do consentimento com nosso mapeamento orientado a dados dos fluxos de processos em fontes de dados conectadas, podemos identificar e documentar o consentimento por aplicativo para Registros ou Atividades de Processamento do Artigo 30 do GDPR e sinalizar quando o consentimento estiver desatualizado, inconsistente com a finalidade declarada ou simplesmente não estiver sendo registrado.
Com os novos recursos de governança de consentimento do BigID, as organizações obtêm:
Monitoramento proativo de conformidade e políticas
• Identificar aplicativos que não coletam consentimento.
• Identificar os titulares dos dados cujo consentimento não seja válido, atualizado e compatível com a finalidade de uso.
Inspeção de Expiração do Consentimento
• Encontre todos os registros de titulares de dados com consentimento vencido.
Solicitação de acesso do titular dos dados
• Apresente comprovativo de consentimento.
• Compare o consentimento com as finalidades reais de uso e, se as finalidades não corresponderem ao consentimento na política de privacidade,
Mapeamento de dados / ROPA
• Comprovação da coleta de consentimento por meio de solicitação
• Alertar sobre discrepâncias e iniciar o fluxo de trabalho de correção.
O futuro da governança do consentimento
Quando passarmos do processo de coleta de consentimento para a finalidade de validá-lo, o próprio acordo de consentimento também constituirá um registro dos atributos específicos que o titular dos dados concordou em compartilhar e das ações específicas que ele autorizou a serem realizadas sobre os dados. À medida que a natureza dos acordos de consentimento evoluir para incorporar esses parâmetros lógicos explícitos, também evoluirá nossa capacidade de fornecer informações detalhadas sobre se ações individuais em atributos individuais para titulares de dados individuais são consistentes com os parâmetros de consentimento.
Simultaneamente, a BigID pretende fornecer a base para que o consentimento se torne um conjunto dinâmico de restrições e entradas para o ciclo de desenvolvimento, por meio de um conjunto de APIs e um SDK de política de privacidade para integração da análise de consentimento em aplicativos e fluxos de dados.
Essas funcionalidades iniciais, que serão aprimoradas em versões futuras, permitirão que as organizações avancem além da coleta de consentimento e avancem para a governança do consentimento, uma abordagem consolidada para a inspeção programática e automatizada, por titular dos dados e por registro/atributo, do processamento para fins de conformidade com o consentimento.
Autor
