DSARs ou solicitações de acesso do titular dos dados são, de certa forma, os requisitos mais elementares que emergem da nova onda de regulamentações de privacidade, como o GDPR e a Lei de Privacidade do Consumidor da Califórnia (CCPA).CCPAAs solicitações de acesso a dados pessoais (DSARs) estabelecem que os indivíduos têm o direito legal aos seus dados, mesmo após compartilhá-los com uma organização. Esse requisito, frequentemente denominado direito de dados pessoais, garante aos indivíduos o direito fundamental de acessar ou excluir seus dados, caso desejem. As empresas, efetivamente, tornam-se administradoras das informações pessoais. Consumidores, funcionários e contratados sempre mantêm a titularidade de seus dados.
Para as empresas, essa inversão na questão da propriedade dos dados pessoais representa alguns desafios graves. As empresas coletam dados pessoais em diversos locais, tanto em data centers quanto na nuvem. Os dados são coletados em todos os tipos de armazenamentos e processados em todos os tipos de aplicativos. E embora as organizações tenham desenvolvido tecnologia para enumerar seus armazenamentos e aplicativos, não existe nada semelhante para os dados que residem nesses armazenamentos e aplicativos. Pior ainda, com as solicitações de acesso a dados pessoais (DSARs) revelando Informações de identificação pessoal A vasta quantidade de dados armazenados não é suficiente. Para garantir a responsabilização das pessoas pelos dados, é essencial, em primeiro lugar, contabilizar todos os dados pertencentes a cada indivíduo. Isso significa ser capaz de analisar todos os tipos de dados. lojas e aplicações, além de identificar quais dados são pessoais, a quem pertencem e se há consentimento. Ademais, exige que uma organização não apenas tenha a capacidade de gerenciar as solicitações, mas também de atendê-las, e fazê-lo em grande escala.
Mas, para piorar a situação das empresas ansiosas por cumprir as normas, o risco de insucesso não se resume à possível multa imposta por um órgão regulador. Ao contrário de outras partes das regulamentações de privacidade, como o GDPR, em que a conformidade é determinada por reguladores designados, no caso dos direitos relativos a dados pessoais, é o consumidor ou o funcionário quem, em última instância, decide sobre a conformidade. Portanto, no caso de RGPD, a motivação para precisão e eficácia DSARs Não são os 28 órgãos reguladores estaduais, mas sim os 500 milhões de residentes da UE.
A dura verdade sobre os DSARs: a classificação não é suficiente.
O RGPD e regulamentações semelhantes consagram a ideia de direitos relativos a dados pessoais por meio dos pedidos de acesso a dados pessoais (DSARs). Para as empresas, no entanto, essa obrigação de atender aos DSARs representa um desafio. Exige que uma organização seja capaz de localizar todos os dados que mantém sobre um indivíduo em todos os lugares. Isso é difícil na prática, porque a tecnologia atual não consegue identificar informações pessoais contextuais ou dados pessoais, não consegue determinar automaticamente a quem pertencem e não consegue rastrear todos os locais onde uma organização armazena dados pessoais.
No passado, as empresas podiam recorrer à ideia de encontrar manualmente os dados de uma pessoa quando solicitados. As solicitações eram pouco frequentes, não havia um padrão para realizar a tarefa e não havia penalidades por imprecisão. Assim, uma solicitação era encaminhada a uma pessoa que, por sua vez, pedia a vários proprietários de aplicativos e de bancos de dados que informassem o conteúdo de cada sistema. Esse processo tem a desvantagem óbvia de ser trabalhoso, impreciso e dependente de buscas, que não conseguiam encontrar informações pessoais contextuais ou dados pessoais identificáveis. Obviamente, também não era escalável.
Com o advento do GDPR, as organizações estão começando a recorrer à tecnologia para ajudar a automatizar o processo de solicitação e atendimento de DSAR (Solicitação de Acesso do Titular dos Dados). Antes do surgimento de ferramentas específicas como o BigID, a tecnologia padrão era uma ferramenta de segurança baseada em classificação de dados ou eDiscovery. Esses produtos foram projetados para encontrar palavras-chave ou informações pessoais identificáveis (PII) em arquivos, e-mails e bancos de dados, utilizando expressões regulares. Embora lentos, funcionavam razoavelmente bem para casos de uso em conformidade com o PCI DSS ou HIPAA, onde havia um critério de busca preciso, um volume limitado de dados para analisar e sistemas-alvo compostos por sistemas de arquivos, e-mails ou bancos de dados relacionais. No entanto, eles se mostram inadequados para casos de uso de privacidade como o DSAR, pois não conseguem pesquisar em todos os lugares, não identificam informações pessoais genéricas e, o mais importante, não têm como correlacionar com precisão quaisquer dados de informações pessoais a um indivíduo, ou seja, não possuem reconhecimento de identidade.
Uma grande ideia da BigID: Automação DSAR em escala
À medida que mais jurisdições introduzem regulamentações de privacidade que estipulam direitos legais sobre dados para indivíduos, as empresas enfrentarão a realidade de que precisarão automatizar o gerenciamento das atividades de Solicitação de Acesso a Dados Pessoais (DSAR, na sigla em inglês), desde a solicitação até o atendimento. Automatizar as DSARs em larga escala exigirá dois tipos de inovação que não eram possíveis com as ferramentas de classificação de dados mais antigas. Primeiro, as organizações precisarão encontrar e inventariar os dados que possuem sobre cada indivíduo. Segundo, uma vez que tenham os dados brutos, precisarão operacionalizar as atividades de solicitação e atendimento para acomodar diversos portais de solicitação, tipos de resposta configuráveis, fluxo de trabalho para analistas, processamento em lote para cenários de grande volume e integração de consentimento.
Atualmente, encontrar e inventariar dados sobre cada indivíduo registrado em uma organização não é tarefa fácil. Há o desafio de identificar o que é pessoal, a necessidade de analisar dados não estruturados, estruturados, Big Data, em nuvem etc., e a óbvia exigência de poder classificar os dados por pessoa. Encontrar todas as informações pessoais é impossível com a classificação tradicional, que só consegue encontrar classes de dados predefinidas. Distinguir entre informações pessoais e informações pessoais identificáveis (PI/PII) exige a capacidade de determinar se os dados são de alguém ou se referem a alguém, pois é o contexto dessa pessoa que importa. Além disso, analisar todos os dados, da nuvem ao aplicativo, requer um novo método de consulta aos repositórios de dados que evite dependências de estilos de classificação. Também é necessário mapear ou visualizar os dados Sem copiar ou duplicar os dados. As informações pessoais são extremamente sensíveis. A última coisa que qualquer organização deseja é centralizar seus dados mais sensíveis, criando um alvo fácil para criminosos. Por fim, a nova tecnologia precisará ser capaz de correlacionar automaticamente os dados a uma pessoa. Embora isso seja relativamente fácil para dados de identificação única, como um cartão de crédito, é muito difícil para dados semi-identificáveis, como data de nascimento, coordenadas de GPS, endereço IP, cookies ou preferências de compras, para citar alguns exemplos. Além disso, a tecnologia precisará ser capaz tanto de resolver identidades para garantir que qualquer solicitante obtenha todos os seus dados com precisão, quanto de desambiguar identidades semelhantes para garantir que pessoas com o mesmo nome não sejam confundidas.
Acontece que o BigID foi projetado exatamente para esse propósito. Como a primeira e, possivelmente, única ferramenta de descoberta de dados centrada em identidade, o BigID aproveita o que há de mais moderno em aprendizado de máquina e tecnologia de escalabilidade horizontal para encontrar informações pessoais específicas, analisar quaisquer dados e, em seguida, inventariar por pessoa sem centralizar os dados. A resolução de entidades e a capacidade de desambiguar pessoas já estão integradas.
Mas o BigID vai além da simples descoberta para operacionalizar completamente Criação e relatório de DSARIsso inclui ferramentas para integração com portais de solicitação de dados da empresa, bem como sistemas de terceiros de fornecedores como ServiceNow e OneTrustO BigID oferece coleta de dados sob demanda e formatação de relatórios. Ele permite incluir relatórios sobre consentimento usando os recursos de governança de consentimento do BigID. Fornece fluxos de trabalho para que os analistas possam revisar e aprovar relatórios. Oferece ferramentas para autenticar um solicitante usando seus próprios dados. Também oferece recursos de gerenciamento em massa para executar centenas de solicitações DSAR simultaneamente. O BigID permite até mesmo que os administradores confirmem a exclusão de dados após uma solicitação de apagamento.
Garantindo a privacidade
Novas regulamentações de privacidade estão surgindo em todo o mundo e nos EUA em um ritmo frenético. Embora nem todas prescrevam requisitos idênticos para as organizações, elas compartilham alguns fundamentos comuns: as empresas precisam saber quais dados possuem sobre os indivíduos e se estão usando esses dados de maneiras legítimas e aprovadas. Para os indivíduos, essas novas regulamentações de privacidade se manifestarão principalmente como um conjunto de novos direitos de dados pessoais, como acesso, portabilidade, correção ou exclusão de seus dados. Para as empresas, o cumprimento desses novos direitos de dados pessoais também representará os maiores desafios, uma vez que exige que elas conheçam seus próprios dados com um nível de detalhamento nunca antes necessário.
A tecnologia da BigID foi desenvolvida especificamente para ajudar organizações a encontrar dados pessoais por identidade em meio aos enormes volumes de dados (em petabytes) armazenados em seus bancos de dados e aplicativos. É por isso que a BigID se chama BigID. No entanto, encontrar e compreender dados de forma a respeitar a privacidade não é suficiente para atender aos requisitos emergentes das solicitações de acesso a dados pessoais (DSARs) modernas. As empresas também precisam de todas as capacidades operacionais para reportar ou agir com base nos dados de um indivíduo. É por isso que a BigID desenvolveu a solução mais abrangente do mercado para automatizar as DSARs. Você não pode proteger o que não consegue encontrar, e é por isso que a BigID ajuda as organizações a repensarem como encontram e protegem as informações de seus clientes.
Autor
