Exclusão de dados 101: Mantendo as “sobras”

O assombroso sucesso da HBO, Leftovers, um evento global, causou o desaparecimento de 2% da população mundial. Da mesma forma, em relação privacidade de dados, o Regulamento Geral sobre a Proteção de Dados (GDPR) foi um evento global focado no desaparecimento de “dados”. 

Desde o RGPD, o exclusão de dados tornou-se um requisito universal no qual as organizações devem aderir às solicitações de exclusão de dados, minimização de dados práticas e políticas de retenção. Essencialmente, os dados “restantes” manterão as organizações em conformidade. 

Os desafios da exclusão de dados

As organizações enfrentam requisitos rigorosos para coletar, gerenciar, proteger e excluir dados. O cumprimento da exclusão de dados exige precisão, percepção e contexto contínuos para distinguir como os dados são processados na organização. 

Aqui estão alguns dos desafios que dificultam a exclusão de dados: 

• Descoberta e mapeamento de dados: Sem operacionalizar descoberta de dados, encontrando, classificando, e alinhar os dados à identidade em todos os sistemas é uma tarefa monumental. O mapeamento de dados permite que as organizações documentem atividades de processamento de dados internas e externas para desenvolver uma inventário de dados preciso e confiável abrangendo todos os tipos de dados. 

• Fluxos de trabalho de exclusão e auditorias: É incrivelmente complexo desenvolver um fluxo de trabalho de exclusão com um processo de validação no qual os proprietários dos dados possam revisar, aprovar e confirmar a exclusão dos dados. A vantagem de fluxos de trabalho de exclusão consistentes é que eles fornecem uma trilha de auditoria abrangente para garantir a conformidade com requisitos regulatórios específicos. 

• Exclusão de ponta a ponta: Além de desenvolver uma estratégia e um fluxo de trabalho, indo um passo além, muitas organizações não possuem ferramentas automatizadas para exclusão completa de dados por sistema e usuários.
• Tempo e recursos: Sem uma visão adequada dos dados que precisam ser apagados, processos de exclusão de dados podem consumir tempo, recursos e dinheiro de uma empresa.
• Validação Constante – Também é difícil determinar continuamente se os dados permaneceram excluídos após receber uma solicitação de exclusão de indivíduos específicos. 

A privacidade de dados orienta os padrões de exclusão de dados

O direito de ser excluído

Dentre todos os direitos de dados existentes para os consumidores — como o direito de acesso, o direito de correção, etc. — o mais complexo é o direito pessoal de solicitar a exclusão de dados em todos os sistemas. Além disso, a maioria das novas regulamentações exige que os dados sejam excluídos ao final de um contrato ou acordo e quando o consentimento não mais existir. Todos esses direitos se aplicam ao "direito de ser esquecido", também conhecido como "direito de apagamento".

Gerenciando solicitações de exclusão

Em relação ao gerenciamento de solicitações de exclusão, a maioria das regulamentações exige que as empresas forneçam aos consumidores diversos métodos para o envio de solicitações. Os métodos de envio mais aceitáveis incluem um link ou formulário online no site da empresa, um número de telefone gratuito, um endereço de e-mail específico, envio presencial e envio por correio.

Respondendo à solicitação de exclusão

• Tempo: Nem todas, mas muitas regulamentações de privacidade exigem que as empresas confirmem o recebimento de uma solicitação de exclusão dentro de um prazo especificado (geralmente dez dias úteis após o recebimento da solicitação) e devem responder às solicitações de exclusão dentro de 30 a 45 dias corridos. 
• Notificações: Quando uma empresa exclui informações pessoais a pedido de um consumidor, ela deve notificá-lo da conclusão da solicitação de exclusão. Além disso, algumas regulamentações exigem que uma empresa notifique todos os terceiros que compartilham informações pessoais sobre a solicitação de exclusão. 

Minimização de dados

O Artigo 5 do RGPD da UE define o padrão para os princípios de minimização de dados – e outros requisitos sobre como as empresas coletam e processam dados pessoais, incluindo limitação de finalidade, precisão, limitação de armazenamento e confidencialidade. O princípio de minimização de dados do Information Commissioners Office (ICO) do Reino Unido afirma que os dados pessoais coletados por qualquer organização precisam ser “adequados, relevantes e limitados ao que é necessário para os propósitos para os quais são processados”.

As regulamentações pressionam as empresas a manter apenas informações que tenham uma finalidade legítima. No entanto, a minimização de dados também envolve a remoção de dados duplicados e obsoletos. Como resultado, políticas de exclusão de dados vinculadas a práticas de minimização de dados podem reduzir custos e riscos significativamente. 

Políticas de retenção de dados

Regulamentos de privacidade e proteção de dados como GDPR e CCPA estabeleceram diretrizes sobre o período durante o qual uma organização deve manter os dados que coleta, mantém e processa. Quando os dados não são mais úteis, é do interesse da organização descartá-los para eliminar potenciais preocupações com a privacidade. 

Deve ser uma prioridade criar políticas de retenção de dados em toda a empresa para alinhá-las às regras comerciais complexas e às regulamentações crescentes. Os programas de retenção das empresas também precisam levar em conta os períodos de retenção, os proprietários dos dados, a autoridade para excluir dados e quais ações corretivas são tomadas para corrigir violações.

A exclusão de dados beneficia a empresa

Quando uma empresa aplica com sucesso políticas de exclusão de dados, a chave é atender às solicitações de exclusão e remover dados desnecessários. Isso traz vários benefícios:

1. O valor dos dados se deprecia rapidamente ao longo do tempo 
2. A consequência das violações de dados é muitas vezes a perda da reputação da marca — o que representa um caminho difícil para a recuperação
3. Manter a conformidade com as políticas de exclusão minimiza o potencial de multas pesadas
4. A eliminação de dados reduz o custo geral de armazenamento de todos esses dados
5. Aumente a produtividade, pois os recursos não são usados para reexecutar dados desnecessários, criando mais trabalho para o sistema e os funcionários.

Estabelecer e manter práticas de exclusão de dados é essencial para as medidas de privacidade, proteção e conformidade de dados das organizações.

Para privacidade, limitar a coleta de dados e exclusão:

• protege a privacidade pessoal dos indivíduos
• mantém os dados atualizados e atualizados, melhorando sua qualidade e valor para a empresa
• permite que as empresas manter a conformidade regulatória — e muito mais.

Por segurança, excluindo dados:

• permite que as empresas limpem informações duplicadas, semelhantes e redundantes que provavelmente representam um risco à segurança
• reduzir a superfície de ataque da empresa — ou seu número de pontos de contato vulneráveis no caso de uma violação
• menores custos de armazenamento — e muito mais.

Como o BigID ajuda na exclusão de dados

Com o BigID, as organizações podem gerenciar, delegar e executar solicitações de exclusão para cumprir o gerenciamento de direitos de dados, acelerar iniciativas de minimização e aplicar políticas de retenção.  

As organizações podem aproveitar o aplicativo BigID Deletion para exclusão automatizada de dados de ponta a ponta — e excluir em segundos.

• Atenda de forma rápida e fácil às solicitações de exclusão de dados de usuários e aplicativos
• Exclua dados em segundos – em MySQL/MSSQL, Google Drive, Floco de Neve, Oracle, S3 e mais 
• Valide solicitações de exclusão por meio de trilhas de colaboração e auditoria
• Implementar estratégias de minimização de dados eliminando ROT Dados (redundantes, obsoletos, triviais)
• Executar políticas de retenção de dados para excluir no prazo
• Automatize regras de retenção de dados, como retenção legal, para evitar exclusão
• Reduza a superfície de ataque e mitigue o risco de privacidade

Para saber mais sobre como O BigID pode ajudar a excluir dados de forma eficaz para conhecer vários requisitos de regulamentação de privacidade, configurar um Demonstração 1:1 conosco para vê-lo em ação.

Autor

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produtos, desenvolvimento de conteúdo e estratégia digital. Com foco em insights orientados por dados e marketing integrado, ele ocupou cargos seniores em vários setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, que ajuda a elevar o conteúdo em todos os pilares, regiões e compradores, criando consistentemente conteúdo atraente em várias mídias, incluindo vídeos, artigos, listas de verificação, white papers e guias.