No dia 22 de junho de 2018, às 11h EDT / 17h CEST, em conjunto com convidados da IBM, DLA Piper, Comissão Europeia e da CNIL (Comissão Nacional de Informática e Liberdades da França), a BigID realizará um debate online sobre como a tecnologia pode ajudar a automatizar a conformidade com o GDPR (https://bigid.com/webinar-gdprcompliance/).
À medida que nos aproximamos da data de entrada em vigor do GDPR, 25 de maio de 2018, muitas empresas prometerão soluções para atender aos requisitos detalhados e complexos do GDPR, mas apenas algumas, BigID Entre eles, acreditam que jamais será viável cumprir o espírito ou a letra do regulamento sem adotar uma abordagem de conformidade orientada por dados. A prática operacional padrão, ao se deparar com um novo conjunto de regulamentações, é focar nos processos e na linguagem jurídica. Contudo, é importante lembrar que o "D" em GDPR significa Dados e o "P" significa Proteção. O GDPR não é um exercício talmúdico sobre privacidade teórica. Em sua essência, trata-se de uma regulamentação sobre a integridade de algo mensurável: os dados de uma pessoa. Isso requer conhecimento sobre os dados dessa pessoa, o que exige uma abordagem de conformidade orientada por dados.
A conformidade com uma regulamentação que rege o uso e a propriedade de dados jamais será escalável e automatizada sem que primeiro se contabilize esses dados, se rastreie seu uso e se demonstre a conformidade com a política. O processo de privacidade é importante, mas a privacidade nunca será uma busca verificável e mensurável sem um produto correspondente que garanta a conformidade.
Essa nova perspectiva sobre a conformidade com a privacidade, como algo que vai além de políticas e processos, talvez seja melhor exemplificada pelo novo imperativo do GDPR de privacidade desde a concepção.
Chegando à privacidade por design
O Regulamento Geral de Proteção de Dados (RGPD) da UE reforça os conceitos de privacidade desde a concepção e privacidade por padrão como preceitos operacionais essenciais que exigem que as organizações considerem a proteção da privacidade desde a concepção inicial de um projeto até sua plena operação. Mas como alcançar a privacidade desde a concepção quando a organização responsável pela conformidade com a privacidade não detém diretamente a criação e a administração de uma nova iniciativa de TI?
Por muito tempo, a área de Privacidade na maioria das organizações estabeleceu políticas e processos de privacidade para projetos de TI, mas careceu de um produto tecnológico eficaz para garantir a conformidade com as regras internas ou regulamentações externas. Conformidade sem mensuração é mera estimativa, sem um produto eficaz para medir o comportamento real e a conformidade com a política e o processo prescrito. Quando a TI busca medir o tempo de atividade e o desempenho de aplicativos, não utiliza questionários, e não há razão convincente para se contentar com menos quando se trata de privacidade ou proteção de dados.
O "D" em GDPR significa Dados.
O que às vezes é curioso ao discutir o RGPD com advogados é a abstração dos dados pessoais do objeto informático em si. Os dados, claro, não são algo esotérico: são uma unidade de informação precisa e quantificável, armazenada e processada eletronicamente. Quando a UE começou a debater a substituição da diretiva anterior de proteção de dados, o objetivo era ser mais exato sobre o que deveria ser protegido e mais rigoroso quanto às consequências da sua violação.
O RGPD da UE é, antes de mais nada, uma regulamentação sobre dados, e, portanto, a conformidade nunca será possível de forma operacional e com foco na privacidade desde a concepção, sem o conhecimento dos dados. Estimar a localização de dados por meio de pesquisas não é muito melhor do que tentar chegar à América do Norte usando um mapa do século X. É impreciso na melhor das hipóteses e, na pior, não confiável.
Para proteger eficazmente os dados pessoais dos consumidores, é necessário conhecer esses dados: sua localização, origem, acesso, titularidade, etc. Os dados não podem ser protegidos a menos que o titular da proteção seja conhecido previamente.
Conformidade com a privacidade das pessoas orientada por dados
O RGPD é muito específico quanto a uma série de obrigações, desde os direitos do titular dos dados até o acesso, a portabilidade e o apagamento dos dados, passando pelos parâmetros de consentimento e a pseudonimização, para citar alguns exemplos.
Todas essas obrigações exigem um conhecimento profundo e complexo dos dados pessoais que uma organização coleta e processa. Requerem uma operacionalização semelhante à da TI sobre como a privacidade dos dados é protegida: inteligência consolidada e atualizada sobre os dados coletados e processados.
A BigID está na vanguarda das empresas da próxima geração que fornecem inteligência semelhante à do Big Data a partir de dados pessoais, sem a necessidade de construir uma infraestrutura própria. data warehouseO webinar do dia 22 de junho abordará o papel que empresas como a BigID podem desempenhar tanto na automatização da conformidade com o GDPR quanto na oferta de aos consumidores verdadeiras proteções baseadas em dados para seus dados.
Autor
