Algumas das novas exigências de privacidade do GDPR (Regulamento Geral de Proteção de Dados) da UE podem parecer assustadoras à primeira vista para uma empresa sujeita a elas. Ao contrário da Lei Sarbanes-Oxley (SOX), por exemplo, que prescreve o uso de controles para acesso a dados sem detalhar especificidades, o GDPR consagra direitos muito específicos aos cidadãos da UE em relação aos seus dados, o que impõe um novo ônus de contabilização e responsabilidade de dados às empresas regidas pelo novo regulamento. E com multas que podem chegar a 41 trilhões de dólares em receita global, as empresas estão altamente motivadas a encontrar maneiras de automatizar os novos requisitos de acesso do titular dos dados.
Os direitos do titular dos dados ao abrigo do RGPD incluem:
● O direito de um indivíduo de acessar seus dados
● O direito de um indivíduo de transferir seus dados para um novo provedor de serviços
● O direito de um indivíduo ao apagamento ou ao esquecimento
● Direito do indivíduo à notificação em até 72 horas em caso de violação
Para as empresas, isso cria um novo conjunto de responsabilidades em relação aos dados de residentes da UE. As organizações que coletam e processam dados pessoais também devem ser capazes de rastrear esses dados até o nível de um indivíduo específico. Isso representa uma mudança significativa em relação aos requisitos de conformidade do passado, nos quais as organizações simplesmente precisavam documentar as políticas de privacidade e demonstrar controles gerais de segurança. O GDPR da UE enfatiza que, como custodiantes dos dados de consumidores e funcionários, as organizações agora devem ser capazes de rastrear os dados de cada indivíduo armazenados dentro da empresa. A questão para as organizações, portanto, passa a ser como fazer isso em larga escala para todos os clientes e funcionários residentes na UE.
Uma nova abordagem de software para o acesso do titular dos dados
Embora os direitos dos titulares dos dados estejam amplamente definidos pelas disposições do RGPD — incluindo acesso aos dados, retificação de dados imprecisos ou incompletos, bloqueio de dados cuja exatidão seja contestada e eliminação de dados — não está especificado como as empresas devem cumprir esses requisitos.
Historicamente, as empresas que se voluntariavam para atender às solicitações de acesso de titulares de dados o faziam por meio de processos manuais — as solicitações eram atribuídas a equipes técnicas para descobrir dados e, em seguida, reportar a localização e o uso. Esse processo manual, no entanto, não se presta à escalabilidade, é aleatório em vez de preciso e perde uma oportunidade crucial de proteger melhor os dados pessoais com base na inteligência de dados.
As ferramentas tradicionais de descoberta de dados são insuficientes para ajudar as organizações a compreenderem algo além da classificação básica de dados. Normalmente, exigem algum nível de codificação manual para definir quais tipos de dados procurar, negligenciando, assim, tipos desconhecidos; são otimizadas para dados estruturados ou não estruturados, mas não para ambos; não possuem reconhecimento de contexto e, portanto, não conseguem diferenciar entre elementos de dados com aparência semelhante; e, talvez o mais importante, não revelam a propriedade ou a proveniência dos dados. Isso significa que as ferramentas tradicionais de descoberta de dados não conseguem identificar a quem pertencem os dados, podendo deixar passar grandes quantidades de dados desconhecidos ou obscuros.
Ferramentas como BigID Revolucione o processo usual de descoberta de dados com uma nova abordagem de software de big data, desenvolvida especificamente para encontrar e inventariar dados pessoais por titular. Utilizando ciência de dados, aprendizado de máquina e contexto de identidade, uma ferramenta como o BigID oferece um scanner simples capaz de encontrar, inventariar e rastrear dados pessoais por titular em toda a empresa e na nuvem.
Ciência de Dados e Aprendizado de Máquina Encontram a Privacidade de Dados
Softwares de automação de privacidade como o BigID automatizam o mapeamento de dados. O BigID, por exemplo, examina fontes de dados locais e na nuvem, identifica informações pessoais e, em seguida, cataloga essas informações por titular dos dados em grande escala. Enquanto as ferramentas tradicionais de descoberta de dados exigem instrumentação de agentes e algum nível de codificação personalizada em técnicas de programação complexas, como expressões regulares, uma ferramenta como o BigID utiliza aprendizado não supervisionado para ajudar o software a compreender os dados pessoais conhecidos e a relação associada a um titular de dados. O sistema então utiliza esse conjunto de aprendizado para encontrar e catalogar outros dados pessoais nos repositórios de dados da empresa.
O índice resultante fornece um mapa dos dados de um usuário com metadados adicionais que ajudam as organizações a atestar os fluxos de dados, a retenção e a residência dos mesmos. As solicitações dos titulares dos dados podem ser respondidas em segundos e facilmente encaminhadas a um analista para processamento adicional, seja para acesso, portabilidade ou exclusão. Por fim, em caso de violação de dados, uma organização pode comparar um vazamento de dados roubado com seu mapa de dados para determinar se de fato houve uma violação e/ou identificar os usuários afetados em minutos — bem abaixo do limite de 72 horas estabelecido pelo GDPR.
por @dimitrisirota
Autor
