O direito de acesso e exclusão de dados é praticamente um requisito universal para as regulamentações de privacidade em todo o mundo. Embora os dois projetos de lei federais sobre regulamentação da privacidade de dados recentemente apresentados no Congresso dos EUA divirjam amplamente sobre se os consumidores devem ter o direito de entrar com ações judiciais por violações de privacidade e se os CEOs devem ser responsabilizados por vazamentos de dados, eles concordam fortemente sobre a centralidade dos direitos individuais de dados – acesso, notificação e exclusão.
Mesmo antes da promulgação dessas leis federais concorrentes sobre privacidade, os responsáveis pela privacidade (assim como as partes interessadas em TI e segurança responsáveis pela operacionalização) já estavam discretamente preocupados com a disposição do "Direito ao Esquecimento" do GDPR da UE. Com mais regulamentações no horizonte e O prazo para a Lei de Privacidade do Consumidor da Califórnia está se aproximando. Com seus direitos de exclusão de dados, a preocupação em atender às solicitações de exclusão de dados está aumentando.
A razão para essa preocupação é que os direitos de exclusão de dados são distintos de outros. direitos de acesso a dadosEm vez de exigir apenas que as empresas compilem um relatório sobre cujos dados elas coletam e processam, o cumprimento da exigência de exclusão de dados requer, na verdade, um grau contínuo de especificidade, conhecimento e contexto sobre o processamento real dos dados.
As empresas podem até conseguir atender a uma solicitação de acesso a dados (DSAR) de forma mais ou menos manual, com recursos suficientes – para um número limitado de fontes de dados e um baixo volume de solicitações. No entanto, essa não é uma solução viável para solicitações de exclusão de dados.
Uma dessas coisas não é como as outras.
Se os processos de exclusão de dados não forem operacionalizados de forma eficaz, as empresas enfrentarão algumas consequências indesejáveis:
– Em primeiro lugar, uma única solicitação de exclusão de dados pode consumir tempo e recursos se as empresas não tiverem uma ideia clara de quais dados devem ser excluídos e onde eles estão localizados.
– Em segundo lugar, as organizações estão sujeitas a penalidades se não passarem por um processo abrangente e auditável para, pelo menos, remover os dados do processamento dentro do prazo estipulado pela regulamentação pertinente.
– E, por último, correm o risco de insatisfação do cliente, bem como de impacto negativo na marca, se um consumidor que fez uma solicitação conseguir determinar que seus dados não foram excluídos.
Mas espere, tem mais: as empresas precisam ser capazes de determinar que não estão coletando novos dados depois de receberem uma solicitação de exclusão de forma contínua – para esses indivíduos específicos que fizeram a solicitação.
Por exemplo, o Procurador-Geral da Califórnia estipula que as empresas sujeitas à Lei de Privacidade do Consumidor da Califórnia (CCPA) que respondem a uma solicitação de exclusão de dados “não precisam excluir os dados de sistemas arquivados ou de backup (até que efetivamente acessem ou utilizem esse sistema)”. No entanto, como as empresas abrangidas pela lei podem garantir que os dados cobertos por uma solicitação de exclusão não sejam processados se forem transferidos de um backup ou acessados por um aplicativo de marketing ou análise?
Implementando um plano
Para responder de forma eficiente às solicitações de exclusão de dados, os proprietários dos dados e as equipes de TI precisam saber onde os dados estão armazenados com um alto grau de especificidade, correlacionar os dados a um indivíduo e incorporar o contexto comercial, regulatório e empresarial para poder determinar se um elemento de dados específico precisa ser excluído.
Além disso, as empresas precisam ser capazes de determinar com quais terceiros os dados desse indivíduo foram compartilhados.
Para evitar desastres, é aconselhável ter um plano definido antes mesmo de receber sua primeira solicitação de exclusão de dados. Mas como seria esse plano? Em nossa experiência trabalhando com algumas das maiores empresas do mundo, o fluxo típico se parece com algo assim:
– Determinar se o pedido de exclusão de dados é legítimo.
– Verificar a identidade do solicitante e validar sua solicitação.
– Determine quais categorias e atributos de dados serão excluídos.
– Determine onde os dados estão armazenados.
– Determine quem são os responsáveis pelos dados técnicos e comerciais.
– Defina como excluir os dados
– Determine com quem os dados são compartilhados e emita uma solicitação de exclusão.
– Defina intervalos para validação de que nenhum dado novo seja processado.
– Defina um cronograma para a conclusão da solicitação de exclusão de dados.
Obviamente, qualquer plano deve detalhar como responder à solicitação, quem é responsável por gerenciar o processo e quem é o responsável em cada etapa da solicitação, desde o momento do recebimento até a exclusão efetiva dos dados.
No entanto, os direitos de exclusão de dados não podem ser resolvidos por meio de políticas ou relatórios – eles exigem uma solução técnica que se encaixe em um programa mais amplo de gestão de privacidade, com descoberta de dados orquestrada, engajamento do cliente e governança.
A abordagem da BigID
O BigID cria (e atualiza) automaticamente. um inventário de informações pessoais em toda a empresa, aproveitando a correlação e os algoritmos de aprendizado de máquina para Classificar e indexar resultados por indivíduo. Essa base permite que os analistas primeiro identifiquem rapidamente cujos dados estão abrangidos por uma solicitação de exclusão de dados, integrem o contexto comercial e regulatório para determinar quais dados devem ser excluídos e, em seguida, onde os dados estão fisicamente localizados.
Os analistas podem então definir fluxos de trabalho de delegação de tarefas para os proprietários dos dados, abrangendo todas as informações aplicáveis do consumidor que podem ser eliminadas ou preparadas para exclusão: incluindo atributos específicos, detalhes da categoria de dados e localizações físicas. A arquitetura API-first da BigID permite a integração automatizada com sistemas de tickets para rastrear e gerenciar tarefas associadas a elementos de dados individuais que devem ser mascarados, criptografados, redigidos ou excluídos permanentemente.
Por fim, através de uma consulta de inventário configurável e individualizada, as empresas podem validar se nenhum dado novo está sendo processado – seja por meio de transferências de dados de terceiros, transferências de backups ou acesso por aplicativos.
Portanto, as solicitações de exclusão de dados não devem ser vistas como um desafio isolado, mas sim como um aspecto de uma iniciativa mais ampla de gestão da privacidade que abrange múltiplos domínios e é apoiada por inteligência de dados com foco na privacidade, operando em grande escala.
Baixe nossa ficha técnica. Para saber mais sobre como o BigID permite o cumprimento automatizado dos direitos de acesso a dados e facilita a validação contínua de solicitações individuais de exclusão de dados.
Autor
