Novas leis de proteção de dados criaram uma oportunidade de estabelecer a privacidade como um elemento essencial na forma como as organizações constroem confiança na marca e alcançam objetivos comerciais importantes, extraindo mais valor de seus dados.
Os Diretores de Privacidade (CPOs) e suas equipes devem:
- lidar com a atualização de avisos de privacidade públicos e políticas internas
- demonstrar conformidade com direitos do titular dos dados
- definir procedimentos para compartilhamento de dados de terceiros
- seguir as obrigações de relatórios à medida que os requisitos regulatórios e os mandatos de privacidade evoluem
Os CPOs podem aproveitar essa janela de oportunidade para elevar o perfil da privacidade não apenas como mais um exercício de conformidade, mas como um componente essencial no objetivo corporativo mais amplo de estabelecer a confiança do consumidor e extrair insights de dados reais.
A forma como as equipes de privacidade abordam a conformidade é fundamental
Os CPOs podem enfrentar uma batalha árdua sem a estratégia certa em vigor. Infelizmente, o CPO geralmente não é a voz mais forte ou o stakeholder mais valioso em discussões mais amplas sobre estratégia de dados corporativos, governança de dados e proteção de dados.
Muita energia e foco são dedicados à preparação e adaptação a novos requisitos regulatórios – e as equipes de privacidade não têm sedes consistentes em grandes empresas. Elas podem se reportar a funções de risco, conformidade, jurídicas ou operacionais, enquanto CDOs, CISOs ou CIOs geralmente têm linhas de reporte mais claras.
David Ray, Diretor de Segurança Cibernética e Privacidade da PWC, e Heather Federman, Vice-Presidente de Privacidade e Estratégia da BigID, exploram isso em um webinar recente da IAPP, Por que a proteção da privacidade vai além da conformidade. Uma conclusão importante da discussão é que a forma como as equipes de privacidade abordam a conformidade é fundamental.
Se os CPOs puderem efetivamente alavancar orçamentos e atenção corporativa em novas fontes de risco, eles poderão estabelecer uma estrutura comum e uma linguagem compartilhada para uma colaboração eficaz com as partes interessadas.
Para fazer isso, eles precisam priorizar a compreensão dos dados e a criação de inteligência de privacidade de dados em vez de processos, relatórios manuais e fluxos de trabalho apenas.
Melhorar a capacidade corporativa de concretizar a confiança nos dados
Um exemplo de colaboração eficaz é a intersecção de requisitos de relatórios de streaming de dados e compartilhamento de dados de terceiros.
Abordagem da BigID para descoberta e classificação de tecnologias de streaming de dados (cada vez mais usado por equipes de desenvolvimento e análise para transferências de entrada e saída de informações pessoais) atende a dois objetivos:
- Para profissionais de privacidade, a classificação e o monitoramento de dados em movimento permitem a automação de relatórios de compartilhamento de dados de terceiros (conforme exigido pela CCPA, por exemplo)
- Para equipes de análise de dados, entender quais — e de quem — as informações pessoais estão se movendo pelos fluxos de dados torna prático aplicar políticas de conformidade de privacidade e implementar padrões para o uso ético de informações pessoais.
Da mesma forma, o CPO e o CDO podem fazer parceria em um governança de dados com foco na privacidade programa. Os CPOs podem ajudar a definir o que constitui “informações pessoais” conforme representado em um glossário de negócios (como Alocação ou Collibra) e então aproveitar o inventário de dados do BigID para:
- Alinhe os termos comerciais às descobertas de classificação e descoberta de dados de ML, permitindo que os CDOs determinem facilmente quais dados podem ser utilizados e quais requerem proteção
- Automatize a aplicação de categorias de dados a atributos de informações pessoais à medida que são descobertos nas infraestruturas empresariais
O resultado em ambos os casos é uma capacidade corporativa aprimorada de concretizar a confiança nos dados.
Dando os passos em direção à confiança nos dados
Que medidas práticas os CPOs podem tomar para elevar o perfil de privacidade e desempenhar um papel mais forte na conversão de suas empresas em pioneiras na confiança de dados? Federman descreve as seguintes etapas:
- Definir processos de conformidade que estabeleçam uma linha de base e destaquem os principais riscos corporativos para a organização
- Alinhar as obrigações de conformidade com a gestão de riscos corporativos, elevando o perfil da privacidade por meio do envolvimento das partes interessadas
- Fortalecer a colaboração com as partes interessadas de TI, dados e segurança, aproveitando o mapeamento de dados, a classificação de dados e iniciativas de insights financiadas por orçamentos de conformidade
- Estabelecer parceria com o CDO para automatizar a conformidade com a privacidade por meio do inventário contínuo de dados, adicionando uma dimensão de privacidade e uma perspectiva de risco de dados à governança de dados.
- Ampliar e reforçar os investimentos em políticas de governança de dados, glossários de negócios e qualidade de dados com insights de dados de programas de conformidade automatizados
- Demonstrar a relevância do risco de privacidade por meio da descoberta automatizada de dados que mantém os mapas de dados “perenes”
- Traduzir o risco de privacidade em uma linguagem que informe estratégias de análise de dados e desenvolvimento de aplicativos
- Aproveite insights de dados confidenciais, incluindo informações pessoais, para ajudar as equipes de segurança a identificar melhor os pontos críticos de risco à segurança de dados.
Como David Ray, da PwC, ressalta, “os próprios CPOs devem encontrar maneiras de se comunicar melhor com seus colegas técnicos e de TI, e articular o valor que a equipe de privacidade pode agregar, garantindo, em última análise, a confiança nos dados”.
Compreensão de dados em escala
As equipes de privacidade focadas na integração do contexto empresarial e na conformidade de privacidade orientada por dados podem criar uma nova base para a coleta e o uso de dados pessoais por sua organização, uma base que ofereça suporte e funcione em toda a empresa.
O BigID ajuda a desenvolver a compreensão dos dados em escala, e permite que as organizações gerem programas de privacidade sustentáveis que adaptar e responder às mudanças regulatórias em evolução. Os CPOs nesse caminho podem ir além de políticas e processos manuais em direção a uma colaboração significativa com áreas funcionais estratégicas, como segurança da informação, análise de dados e governança de dados.
Assista ao webinar completo, Por que a proteção da privacidade vai além da conformidade, com David Ray, diretor de segurança cibernética e privacidade da PwC e Heather Federman, vice-presidente de privacidade e política da BigID.
Autor
