DSARs ou solicitações de acesso do titular dos dados são, de certa forma, o requisito mais elementar a surgir da nova onda de regulamentações de privacidade, como o GDPR e a Lei de Privacidade do Consumidor da Califórnia (CCPA). Os DSARs anunciam que os indivíduos têm direito legal aos seus dados, mesmo depois de compartilhá-los com uma organização. Esse requisito, geralmente chamado de direito de dados pessoais, concede aos indivíduos o direito fundamental de acessar ou excluir os dados, se assim desejarem. As empresas se tornam efetivamente administradoras de informações pessoais. Consumidores, funcionários e prestadores de serviços sempre mantêm a titularidade de seus dados.
Para as empresas, essa mudança de quem é o proprietário dos dados pessoais apresenta alguns desafios graves. As empresas coletam dados pessoais em muitos lugares no data center e na nuvem. Os dados são coletados em todos os tipos de armazenamentos de dados e, em seguida, processados em todos os tipos de aplicativos. E, embora as organizações tenham desenvolvido tecnologia para enumerar seus armazenamentos de dados e aplicativos, elas não têm nada semelhante para os dados que residem dentro dos armazenamentos e aplicativos. E o que é pior, com os DSARs descobrindo PII nos vastos armazenamentos de dados não é suficiente. Para fornecer responsabilidade sobre os dados às pessoas, é essencial primeiro contabilizar todos os dados pertencentes a cada pessoa. Isso significa ser capaz de examinar todos os tipos de dados lojas e aplicativos e identificar quais dados são pessoais, a quem pertencem e se há consentimento. Além disso, é necessário que a organização tenha não apenas a capacidade de gerenciar as solicitações, mas também de atendê-las e fazê-lo em escala.
Mas, para piorar a situação das empresas ansiosas pela conformidade, o risco de fracasso não é apenas a possível multa de um órgão regulador. Diferentemente de outras partes das normas de privacidade, como o GDPR, em que a conformidade é determinada por reguladores designados, no caso dos direitos de dados pessoais, é o consumidor ou o funcionário que, em última instância, decide a conformidade. Portanto, no caso de GDPRA motivação para um trabalho preciso e eficaz DSARs não são os 28 órgãos reguladores estaduais, são os 500 milhões de residentes da UE.
A dura verdade sobre os DSARs: A classificação não é suficiente
O GDPR e regulamentos semelhantes consagram a ideia de direitos de dados pessoais por meio de DSARs. No entanto, para as empresas, essa obrigação de cumprir os DSARs é um desafio. Ela exige que uma organização seja capaz de localizar todos os dados que mantém sobre um indivíduo em qualquer lugar. Isso é difícil de fazer na prática porque a tecnologia atual não consegue identificar informações pessoais contextuais ou IP, não consegue determinar automaticamente a quem elas pertencem e não consegue procurar em todos os lugares onde uma organização mantém dados pessoais.
No passado, as empresas podiam recorrer à ideia de encontrar manualmente os dados de uma pessoa quando solicitado. As solicitações não eram frequentes, não havia um padrão para a execução da tarefa e não havia penalidades por imprecisão. Portanto, uma solicitação era encaminhada a uma pessoa que, por sua vez, solicitava a vários proprietários de aplicativos e de armazenamentos de dados que informassem o que cada sistema continha. Esse processo tem a desvantagem óbvia de ser trabalhoso, impreciso e dependente de pesquisa, que não conseguiria encontrar informações pessoais contextuais ou IP. Obviamente, também carecia de escala.
No entanto, com o advento do GDPR, as organizações estão começando a recorrer à tecnologia para ajudar a automatizar o processo de solicitação e cumprimento de DSAR. Antes do surgimento de ferramentas específicas como o BigID, a tecnologia padrão seria uma ferramenta de segurança ou de descoberta eletrônica baseada em classificação de dados. Esses produtos foram projetados para encontrar palavras-chave ou PII em arquivos, e-mails e bancos de dados com base em padrões mágicos usando expressões regulares. Embora lentos, eles funcionavam razoavelmente bem para casos de uso em PCI ou HIPAA em que havia um critério de pesquisa exato, um volume limitado de dados a serem verificados e sistemas de destino que consistiam em sistemas de arquivos, correio eletrônico ou armazenamentos de dados relacionais. No entanto, eles se mostraram inadequados para casos de uso de privacidade como o DSAR, pois não conseguem procurar em todos os lugares, não conseguem identificar IPs gerais e, o que é mais importante, não têm como correlacionar com precisão os dados de IPs a um indivíduo, ou seja, não têm conhecimento da identidade.
Uma grande ideia da BigID: automação de DSAR em escala
À medida que mais jurisdições introduzem regulamentações de privacidade que estipulam direitos legais de dados para indivíduos, as empresas enfrentarão a realidade de que precisarão criar automação para gerenciar as atividades de DSAR, desde a solicitação até o cumprimento. A automação das DSARs em escala exigirá dois tipos de inovação que não eram possíveis anteriormente com as ferramentas de classificação de dados mais antigas. Primeiro, as organizações precisarão encontrar e inventariar os dados que possuem sobre cada indivíduo. Em segundo lugar, quando tiverem os dados brutos, precisarão ser capazes de operacionalizar a atividade de solicitação e atendimento para acomodar vários portais de solicitação, tipos de resposta configuráveis, fluxo de trabalho para analistas, lote para cenários de maior volume e integração de consentimento.
Agora, encontrar e inventariar os dados de cada indivíduo sobre o qual uma organização tem registros não é uma tarefa fácil. Há o desafio de identificar o que é pessoal, há a necessidade de examinar dados não estruturados, estruturados, Big Data, nuvem etc., e há o requisito óbvio de poder classificar os dados por pessoa. É impossível encontrar todas as informações pessoais com a classificação tradicional, que só consegue encontrar classes de dados predefinidas. Encontrar PI vs. PII requer a capacidade de determinar se os dados são de alguém ou sobre alguém, pois esse é o contexto dessa pessoa. Para examinar também todos os dados, da nuvem ao aplicativo, é necessário um novo método de interrogação de armazenamentos de dados que evite dependências de estilo de classificação. Ele também deve mapear ou visualizar os dados sem copiar ou duplicar os dados. O PI é altamente sensível. A última coisa que qualquer organização deseja fazer é centralizar seus dados mais confidenciais, criando um gigantesco honeypot para os bandidos. Por fim, a nova tecnologia precisará ser capaz de correlacionar automaticamente os dados a uma pessoa. Embora isso seja muito fácil para dados exclusivamente identificáveis, como um cartão de crédito, é muito difícil para dados semiidentificáveis, como data de aniversário, coordenada de GPS, endereço IP, cookie ou preferências de compras, para dar alguns exemplos. Além disso, a tecnologia precisará ser capaz de resolver identidades para garantir que qualquer solicitante obtenha todos os seus dados com precisão, mas também desambiguar identidades semelhantes para garantir que pessoas com o mesmo nome não sejam confundidas umas com as outras.
Na verdade, o BigID foi projetado exatamente para esse fim. Como a primeira e, sem dúvida, a única ferramenta de descoberta de dados centrada na identidade, a BigID aproveita o que há de mais moderno em tecnologia de ML e scale-out para encontrar especificamente PI, examinar todos os dados e, em seguida, fazer o inventário por uma pessoa sem centralizar os dados. A resolução de entidades e a capacidade de desambiguação de pessoas estão integradas.
Mas o BigID vai além da simples descoberta para operacionalizar totalmente Criação de DSAR e relatórios. Isso inclui ferramentas para integração com portais de solicitação de dados da empresa, bem como sistemas de terceiros de fornecedores como ServiceNow e OneTrust. A BigID oferece busca de dados e formatação de relatórios just-in-time. Oferece a capacidade de incluir relatórios sobre consentimento usando os recursos de governança de consentimento da BigID. Fornece fluxo de trabalho para que os analistas possam revisar e aprovar relatórios. Fornece ferramentas para autenticar um solicitante usando seus próprios dados. Também oferece recursos de gerenciamento em massa para executar centenas de solicitações de DSAR simultaneamente. A BigID ainda permite que os administradores confirmem a exclusão de dados após uma solicitação de exclusão.
Obtendo a privacidade correta
Novas normas de privacidade estão surgindo em todo o mundo e nos EUA em um ritmo frenético. Embora nem todas prescrevam requisitos idênticos para as organizações, todas elas compartilham alguns fundamentos comuns: as empresas precisam saber quais dados têm sobre os indivíduos e se estão usando esses dados de forma legítima e aprovada. Para os indivíduos, essas novas regulamentações de privacidade se manifestarão mais fortemente como um conjunto de novos direitos de dados pessoais para coisas como acessar, portar, corrigir ou excluir seus dados. Para as empresas, a conformidade com esses novos direitos de dados pessoais também representará os maiores desafios, pois exige que elas conheçam seus próprios dados em um grau de detalhamento nunca antes necessário.
A tecnologia da BigID foi criada especificamente para ajudar as organizações a encontrar dados pessoais por identidade na grande escala de petabytes de volumes de informações que as organizações mantêm em seus armazenamentos de dados e aplicativos. É por isso que a BigID é chamada de BigID. No entanto, encontrar e compreender os dados de uma forma centrada na privacidade não é suficiente para ajudar as organizações a atender aos requisitos emergentes dos DSARs modernos. As empresas também precisarão de todos os recursos operacionais para relatar ou agir sobre os dados de volta a um indivíduo. É por isso que a BigID desenvolveu a solução mais abrangente do mercado para automatizar DSARs. Não se pode proteger o que não se pode encontrar, ou seja, a BigID ajuda as organizações a repensar a forma como encontram e protegem as informações de seus clientes.