Pular para o conteúdo
Ver todas as postagens

Operacionalizando a privacidade por design: O caso da conformidade com o RGPD baseada em dados

Em 22 de junho de 2018, às 11h EDT / 17h CEST, em conjunto com convidados da IBM, DLA Piper, Comissão Europeia e o regulador francês CNIL, a BigID realizará uma discussão on-line sobre como a tecnologia pode ajudar a automatizar a conformidade com o GDPR (https://bigid.com/webinar-gdprcompliance/).

À medida que nos aproximamos da data de entrada em vigor do RGPD em 25 de maio de 2018, muitas empresas prometem soluções para atender aos requisitos detalhados e complexos do RGPD, mas apenas algumas, BigID Entre eles, acreditam que nunca será viável cumprir o espírito ou a letra da regulamentação sem adotar uma abordagem de conformidade orientada por dados. A prática operacional padrão, quando confrontada com um novo conjunto de regulamentações, é focar nos processos e na linguagem jurídica. No entanto, é importante lembrar que o D em GDPR significa Dados e o P significa Proteção. O GDPR não é um exercício talmúdico de privacidade teórica. Em sua essência, é uma regulamentação sobre a integridade de algo mensurável: os dados de uma pessoa. Isso requer conhecimento sobre os dados dessa pessoa, o que requer uma abordagem de conformidade orientada por dados.

Cumprir uma regulamentação que rege o uso e a propriedade de dados nunca será escalável e automatizado sem primeiro contabilizar esses dados, rastrear seu uso e demonstrar conformidade com a política. O processo de privacidade importa, mas a privacidade nunca será uma busca verificável e mensurável sem um produto correspondente para garantir a conformidade.

Essa nova perspectiva sobre a conformidade com a privacidade como algo além de políticas e processos talvez não seja melhor exemplificada do que pelo novo imperativo do GDPR de privacidade desde a concepção.

Chegando à privacidade por design

O GDPR da UE reforça os conceitos de privacidade desde a concepção e privacidade por padrão como preceitos operacionais fundamentais que exigem que as organizações considerem a proteção da privacidade desde a concepção inicial de um projeto até a operação completa. Mas como alcançar a privacidade desde a concepção quando a organização responsável pela conformidade com a privacidade não é diretamente responsável pela criação e administração de uma nova iniciativa de TI?

Por muito tempo, a área de Privacidade da maioria das organizações estabeleceu políticas e processos de privacidade para projetos de TI, mas carecia de um produto tecnológico eficaz para garantir a conformidade com as normas internas ou regulamentações externas. Conformidade sem mensuração é mera estimativa sem um produto eficaz para mensurar o comportamento real e a conformidade com as políticas e os processos prescritos. Quando a TI busca mensurar o tempo de atividade e o desempenho de aplicativos, não utiliza questionários, e não há razão convincente para se contentar com menos quando se trata de privacidade ou proteção de dados.

O D em GDPR é para Dados

O que às vezes é divertido ao discutir o GDPR com advogados é a abstração dos dados pessoais do objeto de TI em si. Dados, é claro, não são algo esotérico: são uma unidade de informação precisa e quantificável, armazenada e processada eletronicamente. Quando a UE começou a debater a substituição da diretiva anterior sobre proteção de dados, o objetivo era ser mais precisa sobre o que deveria ser protegido e mais rigorosa quanto às consequências de não o fazer.

O GDPR da UE é, antes de tudo, uma regulamentação sobre dados e, portanto, a conformidade nunca será possível de forma operacional e com foco na privacidade desde a concepção, sem o conhecimento dos dados. Estimar a localização de dados por meio de pesquisas não é muito melhor do que navegar pela América do Norte usando um mapa do século X. É impreciso, na melhor das hipóteses, e não confiável, na pior.

Para proteger efetivamente os dados pessoais dos consumidores, é necessário conhecer esses dados: sua localização, linhagem, acesso, propriedade etc. Os dados não podem ser protegidos a menos que o assunto da proteção seja conhecido primeiro.

Conformidade com a privacidade de pessoas orientada por dados

O GDPR é muito específico em relação a uma série de obrigações, desde direitos do titular dos dados até acesso, portabilidade e exclusão de dados, passando por parâmetros de consentimento e pseudonimização, para dar alguns exemplos.

Todas essas obrigações exigem um conhecimento aprofundado e complexo dos dados pessoais que uma organização coleta e processa. Exigem uma operacionalização semelhante à de TI sobre como a privacidade dos dados é protegida: inteligência ancorada e atualizada sobre os dados coletados e processados.

A BigID está na vanguarda das empresas de próxima geração que fornecem inteligência semelhante à do Big Data em torno de dados pessoais, sem a necessidade de construir uma armazém de dados. O webinar de 22 de junho analisará o papel que empresas como a BigID podem desempenhar na automação da conformidade com o GDPR e na entrega de proteções reais baseadas em dados aos consumidores.

Conteúdo