À medida que a poeira baixa desde o RGPD da UE entrou em vigor e a maioria das empresas consegue lidar com o gerenciamento de seus processos de coleta de consentimento, mas muitas estão cada vez mais enfrentando dificuldades para transformar esses acordos de consentimento em um controle prático para o processamento de aplicativos e detentores de dados.
Grande parte do foco em torno do consentimento tem sido o processo de captura e armazenamento de consentimento para atender aos requisitos básicos de conformidade para registro. Infelizmente, isso desviou a atenção do aspecto mais fundamental engenharia de privacidade perguntas relacionadas ao propósito para coletar os consentimentos – como mapear e correlacionar os múltiplos acordos de consentimento de cada titular dos dados em uma visão consolidada e avaliar continuamente se os consentimentos são válidos e apropriados para a coleta e o processamento de dados.
Entre na governança de consentimento: ampliando nossa capacidade exclusiva de entender quais dados estão associados a quais titulares de dados específicos, o BigID permitirá que as empresas realizem, por titular de dados e por atributo, inspeção do processamento de dados para conformidade com o consentimento.
Nosso primeiro passo para operacionalizar o propósito do consentimento é fornecer uma visão centrada no titular dos dados de todos os acordos de consentimento capturados por meio de múltiplas aplicações e fontes. Nosso objetivo final é transformar o consentimento de um artefato legal (e isolado) em algo prático e auditável. privacidade de dados controle que é parte integrante da privacidade por design (PbD).
Cara, cadê meu consentimento?
O foco de muitas organizações, ao se prepararem para a conformidade com o Regulamento Geral sobre a Proteção de Dados (GDPR), era obter o consentimento de clientes e consumidores. Isso ficou evidente na enxurrada de e-mails enviados em pânico por provedores antes do prazo.
Mas, uma vez que o consentimento tenha sido coletado e registrado, o que vem a seguir? O número de produtos de gerenciamento de consentimento que atuam essencialmente como bancos de dados para acordos de consentimento e preferências proliferou em resposta a GDPR. Essas ferramentas geralmente são isoladas, e as empresas podem estar coletando diversas instâncias de consentimento para um único titular de dados, seja o consentimento para usar cookies e outros dispositivos de rastreamento on-line de acordo com os requisitos de privacidade eletrônica, de vários aplicativos móveis ou da Web ou de uma infinidade de dispositivos conectados.
Sob o Lei de Privacidade do Consumidor da Califórnia que entra em vigor em 2020, as empresas abrangidas pela lei ainda terão que capturar as decisões de exclusão e alinhar essas preferências com ações de processamento reais — mesmo que a lei não incorpore eventualmente um requisito equivalente para consentimento explícito nos moldes do GDPR.
As abordagens existentes para captura de consentimento representam vários desafios para as organizações quando elas tentam operacionalizá-la e integrar as preferências e condições com decisões de processamento e transferência de dados:
Há uma série de desafios que as abordagens existentes enfrentam na operacionalização do consentimento e na integração de preferências e condições de consentimento com decisões de processamento e transferência de dados.
• Caos de Consentimento
- O consentimento é coletado de várias fontes – com mecanismos limitados para consolidar ou agregar várias ações de consentimento do mesmo titular dos dados
• Avaliação da Política de Consentimento
• Os gestores de privacidade querem poder definir e avaliar centralmente as políticas de conformidade em relação a todos os registros de consentimento correlacionados
• Validade do Consentimento
- As ferramentas se concentram em registrar o consentimento quando ele foi coletado, mas e quanto à identificação de aplicativos em que o consentimento não foi coletado, quando o consentimento foi coletado pela última vez e se o uso de dados é consistente com as condições de consentimento?
• DSAR e Relatórios de Atividades de Processamento
- Para as equipes de operações e privacidade, a gestão de consentimento não oferece um mecanismo para integrar a comprovação de consentimento às solicitações de acesso do titular dos dados. Isso torna o processo, na melhor das hipóteses, manual e aumenta o risco de não conformidade.
• Integração de Consentimento para Privacidade por Design
- Os desenvolvedores precisam de um mecanismo programático para incorporar políticas de privacidade para privacidade por design, mas não há nenhum mecanismo para integrar o consentimento em seus modelos de aplicação
Além disso, e talvez mais significativo para o futuro da privacidade de dados, esses produtos e serviços são isolados do processamento real de dados e das atividades de conformidade relacionadas.
Governança de Consentimento – Colocando o Propósito em Foco
O BigID já oferece a capacidade de realizar verificações de registros de consentimento em sistemas de gerenciamento de consentimento e integrar as informações de finalidade de uso com nosso inventário de dados, Registros de Atividade de Processamento para GDPR Artigo 30 documentação e relatórios de solicitações de acesso de titulares de dados.
Como nossa primeira funcionalidade de governança de consentimento, apresentaremos agora um console de governança de consentimento projetado para fornecer uma visão "por titular dos dados" da coleta, status e validade do consentimento. Ao correlacionar os consentimentos coletados em momentos diferentes por diferentes aplicativos de escopos distintos para um titular de dados individual, as equipes de privacidade e TI agora terão uma ferramenta para gerenciar, validar e relatar o estado das políticas de consentimento entre titulares de dados e fontes de consentimento.
Esse recurso amplia nossa capacidade atual de atender aos requisitos do GDPR para direitos do titular dos dados por meio de relatórios integrados sobre quando e como o consentimento foi obtido para ações específicas de coleta de dados pelo titular dos dados. Além disso, os consumidores podem usar essa sinalização individualizada e consolidada de forma proativa caso os aplicativos estejam coletando dados sem um acordo de consentimento válido. Além disso, essa visão correlacionada também nos permite identificar onde o consentimento foi retirado e onde os dados devem ser removidos.
Da mesma forma, ao integrar a governança de consentimento com nosso mapeamento de fluxos de processo com foco em dados em todas as fontes de dados conectadas, podemos identificar e documentar o consentimento por aplicativo para Registros ou Atividade de Processamento do Artigo 30 do GDPR e sinalizar onde o consentimento está desatualizado, inconsistente com a finalidade declarada ou simplesmente não está sendo capturado.
Com os novos recursos de governança de consentimento do BigID, as organizações ganham:
Monitoramento e políticas de conformidade proativa
- Identificar aplicativos que não coletam consentimento
- Identificar os titulares dos dados cujo consentimento não é válido, atualizado e consistente com a finalidade de uso
Inspeção de expiração de consentimento
- Encontre todos os registros de titulares de dados com consentimento vencido
Solicitação de acesso ao titular dos dados
- Fornecer prova de consentimento
- Comparar o consentimento com os propósitos reais de uso e se os propósitos não correspondem ao consentimento na política de privacidade
Mapeamento de Dados / ROPA
- Provas de coleta de consentimento por meio de aplicação
- Alertar sobre discrepâncias e iniciar o fluxo de trabalho de correção
O Futuro da Governança do Consentimento
Quando passamos do processo de coleta de consentimento para o propósito de validação do consentimento, isso significa que o próprio acordo de consentimento também constitui um registro de quais atributos específicos o titular dos dados concordou em compartilhar e quais ações específicas ele permitiu que fossem realizadas com os dados. À medida que a natureza dos acordos de consentimento evolui para incorporar esses parâmetros lógicos explícitos, também evoluirá nossa capacidade de fornecer insights granulares sobre se ações individuais em atributos individuais para titulares de dados individuais são consistentes com os parâmetros de consentimento.
Ao mesmo tempo, a BigID pretende fornecer a base para que o consentimento se torne um conjunto vivo e ativo de restrições e informações para o ciclo de vida de desenvolvimento por meio de um conjunto de APIs e SDK de política de privacidade para integração da análise de consentimento nos aplicativos e pipelines de dados.
Esses recursos iniciais, que serão mais elaborados em versões futuras, permitirão que as organizações vão além da coleta de consentimento para a governança de consentimento, uma abordagem consolidada para a inspeção programática, baseada em máquina, por titular dos dados e por registro/atributo do processamento para conformidade com o consentimento.
Autor
