O direito de acessar e excluir dados está próximo de requisitos universais para regulamentações de privacidade em todo o mundo. Embora os dois projetos de lei federais de regulamentação de privacidade de dados recentemente apresentados no Congresso dos EUA discordem amplamente sobre se os consumidores devem ter um direito privado de ação por violações de privacidade e se os CEOs devem ser responsabilizados por violações de dados, eles concordam firmemente quanto à centralidade dos direitos individuais de dados – acesso, notificação e exclusão.
Mesmo antes da promulgação desses projetos de lei federais concorrentes sobre privacidade, os responsáveis pela privacidade (bem como as partes interessadas em TI e segurança responsáveis pela operacionalização) já demonstravam discreta preocupação com a disposição do Direito ao Esquecimento do GDPR da UE. Com mais regulamentação no horizonte e o prazo se aproxima para a Lei de Privacidade do Consumidor da Califórnia com seus direitos de exclusão de dados, a consternação sobre o cumprimento das solicitações de exclusão de dados está se intensificando.
A razão para esta preocupação é que os direitos de eliminação de dados são distintos de outros direitos de acesso a dados. Em vez de exigir que as empresas apenas elaborem um relatório sobre os dados que coletam e processam, o cumprimento da exclusão de dados exige, na verdade, um grau de especificidade, percepção e contexto contínuos sobre o processamento real dos dados.
As empresas podem conseguir cumprir um DSAR mais ou menos manualmente com recursos suficientes – para algumas fontes de dados suficientes e com um volume baixo de solicitações de acesso a dados (DSARs). Essa simplesmente não é uma solução viável para direitos de exclusão de dados.
Uma dessas coisas não é como as outras
Se os processos de exclusão de dados não forem operacionalizados de forma eficaz, as empresas enfrentarão alguns resultados desagradáveis:
– Primeiro, uma única solicitação de exclusão de dados pode consumir tempo e recursos se as empresas não tiverem uma ideia clara de quais dados devem ser excluídos e onde eles estão.
– Em segundo lugar, as organizações enfrentam penalidades se não passarem por um processo abrangente e auditável para pelo menos remover os dados do processamento dentro do prazo estipulado pela regulamentação relevante.
– E, por fim, eles correm o risco de insatisfação do cliente, bem como impacto negativo na marca, se um consumidor que fez uma solicitação conseguir determinar que seus dados não foram excluídos.
Mas espere, tem mais: as empresas devem ser capazes de determinar que não estão coletando novos dados depois de receberem uma solicitação de exclusão contínua — para esses indivíduos específicos que fizeram uma solicitação de exclusão.
Por exemplo, o Procurador-Geral da Califórnia estipula que as empresas sujeitas à Lei de Privacidade do Consumidor da Califórnia (CCPA) que responderem a uma solicitação de exclusão de dados "não precisam excluí-los de sistemas arquivados ou de backup (até que efetivamente acessem ou utilizem esse sistema)". No entanto, como as empresas abrangidas podem garantir que os dados abrangidos por uma solicitação de exclusão não sejam processados se transferidos de um backup ou acessados por um aplicativo de marketing ou análise?
Colocando um plano em prática
Para responder eficientemente a solicitações de exclusão de dados, os proprietários de dados e as equipes de TI precisam saber onde os dados estão realmente armazenados com um alto grau de especificidade, correlacionar os dados a um indivíduo e incorporar o contexto comercial, regulatório e de negócios para poder determinar se um elemento de dados específico precisa ser excluído.
E as empresas precisam ser capazes de determinar com quais terceiros os dados daquele indivíduo foram compartilhados.
Para evitar desastres, é aconselhável ter um plano em vigor antes de receber sua primeira solicitação de exclusão de dados. Mas como é esse plano? Em nossa experiência com algumas das maiores empresas do mundo, o fluxo típico se parece com algo assim:
– Determinar se a solicitação de exclusão de dados é legítima
– Verificar a identidade do solicitante e validar sua solicitação
– Determinar quais categorias de dados e atributos serão excluídos
– Determinar onde os dados são armazenados
– Determinar quem são os proprietários dos dados técnicos e comerciais
– Definir como excluir os dados
– Determinar com quem os dados são compartilhados e emitir uma solicitação de exclusão
– Definir intervalos para validação de que nenhum dado novo seja processado
– Definir um cronograma para a conclusão da solicitação de exclusão de dados
É claro que qualquer plano deve delinear como responder à solicitação, quem é responsável por gerenciar o processo e quem é responsável em cada etapa da solicitação, desde o ponto de entrada até a exclusão real dos dados.
No entanto, os direitos de exclusão de dados não podem ser resolvidos por meio de políticas ou relatórios; eles exigem uma solução técnica que se encaixe em um programa mais amplo de gerenciamento de privacidade, com descoberta de dados orquestrada, envolvimento do cliente e governança.
Abordagem da BigID
O BigID cria (e atualiza) automaticamente um inventário de informações pessoais em toda a empresa, aproveitando algoritmos de correlação e aprendizado de máquina para classificar e indexar descobertas por indivíduo. Essa base permite que os analistas identifiquem rapidamente quais dados são abrangidos por uma solicitação de exclusão de dados, integrem o contexto comercial e regulatório para determinar quais dados devem ser excluídos e, em seguida, onde os dados estão fisicamente localizados.
Os analistas podem então definir fluxos de trabalho de delegação de tarefas para proprietários de dados, abrangendo todas as informações aplicáveis do consumidor que podem ser eliminadas ou preparadas para exclusão: incluindo atributos específicos, detalhes da categoria de dados e localizações físicas. A arquitetura API first do BigID permite a integração automatizada com sistemas de tickets para rastrear e gerenciar tarefas associadas a elementos de dados individuais que devem ser mascarados, criptografados, redigidos ou excluídos permanentemente.
E, por fim, por meio de uma consulta de inventário configurável e individualizada, as empresas podem validar que nenhum dado novo está sendo processado, seja por meio de transferências de dados de terceiros, transferências de backups ou acesso por aplicativos.
Portanto, solicitações de exclusão de dados não devem ser vistas como um desafio isolado, mas sim como um aspecto de uma iniciativa mais ampla de gerenciamento de privacidade que abrange vários domínios e é apoiada por inteligência de dados com foco em privacidade que opera em escala.
Baixe nossa ficha técnica para saber mais sobre como o BigID permite o cumprimento automatizado de direitos de acesso a dados e facilita a validação contínua de solicitações individuais de exclusão de dados.
Autor
