Alguns dos novos requisitos de privacidade do GDPR (Regulamento Geral sobre a Proteção de Dados) da UE podem parecer intimidadores à primeira vista para uma empresa sujeita a eles. Ao contrário da SOX, por exemplo, que prescreve o uso de controles para acesso a dados sem detalhar os detalhes, o GDPR consagra direitos muito específicos aos cidadãos da UE em relação aos seus dados, o que impõe um novo ônus à contabilidade e à responsabilização de dados sobre as empresas regidas pelo novo regulamento. E com multas que podem chegar a 4% da receita global, as empresas estão altamente motivadas a encontrar maneiras de automatizar os novos requisitos de acesso dos titulares dos dados.
Os direitos do titular dos dados do RGPD incluem:
● O direito de um indivíduo de acessar seus dados
● O direito de um indivíduo de portar seus dados para um novo provedor de serviços
● O direito individual de apagar para ser esquecido
● O direito do indivíduo à notificação dentro de 72 horas em caso de violação
Para as empresas, isso cria um novo conjunto de responsabilidades em relação aos dados de residentes da UE. As organizações que coletam e processam dados pessoais também devem ser capazes de contabilizar esses dados até o indivíduo específico. Isso representa um afastamento significativo dos requisitos de conformidade do passado, em que as organizações simplesmente precisavam documentar as políticas de privacidade e demonstrar os controles gerais de segurança. O GDPR da UE enfatiza que, como guardiãs dos dados de consumidores e funcionários, as organizações agora devem ser capazes de contabilizar os dados de cada indivíduo armazenados dentro da empresa. A questão para as organizações, portanto, é como fazer isso em larga escala para todos os clientes e funcionários residentes na UE.
Uma nova abordagem de software para acesso de titulares de dados
Embora os direitos dos titulares dos dados sejam amplamente delineados pelas disposições do GDPR — incluindo acesso a dados, retificação de dados imprecisos ou incompletos, bloqueio de dados cuja precisão é contestada e eliminação de dados — não é especificado como as empresas devem atender aos requisitos.
Historicamente, as empresas que se voluntariaram para honrar os pedidos de acesso dos titulares dos dados fizeram-no através de processos manuais — os pedidos seriam atribuídos a equipas técnicas para descobrir dados e, em seguida, relatar a localização e o uso. Esse processo manual, no entanto, não se presta a escalonamento, é aleatório, em vez de preciso, e desperdiça uma oportunidade crucial de proteger melhor os dados pessoais com base em inteligência de dados.
As ferramentas tradicionais de descoberta de dados não conseguem ajudar as organizações a compreender nada além da classificação básica de dados. Normalmente, elas exigem algum nível de codificação manual para prescrever quais tipos de dados pesquisar, ignorando, assim, tipos desconhecidos; são otimizadas para dados estruturados ou não estruturados, mas não para ambos; não têm consciência de contexto e, portanto, não conseguem diferenciar entre elementos de dados com aparência semelhante; e, talvez o mais importante, não revelam a propriedade ou a procedência dos dados. Isso significa que as ferramentas tradicionais de descoberta de dados não conseguem identificar quais dados pertencem a quem, além de potencialmente perderem grandes quantidades de dados desconhecidos ou obscuros.
Ferramentas como BigID Transforme o processo tradicional de descoberta de dados com uma nova abordagem de software de big data, desenvolvida especificamente para encontrar e inventariar dados pessoais por titular. Utilizando ciência de dados, aprendizado de máquina e contexto de identidade, uma ferramenta como o BigID fornece um scanner simples que pode encontrar, inventariar e rastrear dados pessoais por titular em toda a empresa e na nuvem.
Ciência de dados e aprendizado de máquina encontram privacidade de dados
Softwares de automação de privacidade como o BigID automatizam o mapeamento de dados. O BigID, por exemplo, verifica fontes de dados locais e na nuvem, identifica informações pessoais e, em seguida, cataloga essas informações pessoais por titular dos dados em escala. Enquanto as ferramentas tradicionais de descoberta de dados exigem instrumentação de agentes e algum nível de codificação personalizada em técnicas de programação complexas como Expressões Regulares, uma ferramenta como o BigID utiliza aprendizado não supervisionado para ajudar o software a entender primeiro os dados pessoais conhecidos e o relacionamento associado com o titular dos dados. O sistema então usa esse conjunto de aprendizado para encontrar e catalogar outros dados pessoais nos repositórios de dados da empresa.
O índice resultante fornece um mapa dos dados do usuário com metadados adicionais que ajudam as organizações a atestar os fluxos, a retenção e a residência dos dados. As solicitações do Titular dos Dados podem ser respondidas em segundos e facilmente atribuídas a um analista para processamento adicional, seja para acesso, portabilidade ou exclusão. Por fim, em caso de violação de dados, uma organização pode comparar um vazamento de dados roubado com seu mapa de dados para determinar se houve de fato uma violação e/ou identificar os usuários afetados em minutos — bem abaixo do limite de 72 horas estabelecido pelo GDPR.
por @dimitrisirota