Pular para o conteúdo
Ver todas as postagens

PIA vs. DPIA: A arte das avaliações de risco de privacidade

Por Verrion Wright , Estratégia e Desenvolvimento de Conteúdo

4 leitura de um minuto

Você pode monitorar com precisão como os dados estão fluindo dentro e fora da sua organização?

Caso contrário, fique atento: a maioria das empresas precisa entender como coletar, usoe compartilhar e como essas práticas estão relacionadas ao risco à privacidade.

Gerenciamento de risco de dados e privacidade é geralmente um pesadelo para muitas empresas, pois pode ser difícil determinar quais dados exigem um nível mais alto de proteção. É por isso que as empresas precisam implementar avaliações de risco à privacidade para entender os riscos atuais e futuros que podem afetar clientes, funcionários e a organização como um todo.

O que são avaliações de risco de privacidade?

As avaliações de risco de privacidade ou avaliações de impacto são normalmente chamadas de Avaliações de impacto na privacidade (PIA) e Avaliações de impacto na proteção de dados (DPIA).

O objetivo de uma avaliação de risco à privacidade é fornecer sinais de alerta antecipados que possam detectar fatores de risco para que as organizações possam evitar erros em conformidade com a privacidade e estruturar seus programas para reduzir os riscos relacionados à privacidade. Além disso, uma avaliação de risco é uma ferramenta eficaz contra o roubo de dados e a proteção do cliente na cenário de privacidade de dados.

O risco à privacidade pode resultar da exposição a problemas que podem ser decorrentes de informações de identificação pessoal (PII) exposição. O esforço de avaliação de riscos tentará avaliar e, em última instância, resolver essa ameaça à privacidade dos indivíduos.

O que é uma avaliação de impacto na privacidade (PIA)?

A PIA é um processo padrão que identifica e documenta comportamentos de dados em processos, produtos e sistemas que contêm informações pessoais e estabelece como o risco potencial à privacidade é gerenciado, protegido e compartilhado.

As organizações usam as PIAs para reduzir os riscos à privacidade organizacional. Geralmente, elas são realizadas quando um novo processo de negócios é implementado, uma nova empresa é adquirida ou um novo produto é lançado. No entanto, as PIAs também podem ser aplicadas a processos, produtos e sistemas existentes quando eles são alterados (por exemplo, quando uma empresa expande seus negócios para um novo país ou região).

Os PIAs ajudam qualquer empresa:

  • garantir que as informações coletadas estejam em conformidade com os requisitos legais e regulamentares de privacidade
  • avaliar o risco de coleta, manutenção e circulação de dados de PII
  • identificar as medidas e os procedimentos corretos para atenuar qualquer risco potencial à privacidade

O que é uma Avaliação de Impacto na Proteção de Dados (DPIA)?

O Regulamento Geral de Proteção de Dados da UE (GDPR) colocou em evidência a forma como as organizações lidam com a proteção da privacidade e as avaliações de risco. O GDPR exigiu um novo requisito para que as empresas desenvolvessem DPIAs para atividades de processamento de dados que seriam consideradas de alto risco.

Embora não haja requisitos definitivos sobre como as organizações devem documentar uma DPIA, aqui estão algumas implementações que as empresas devem considerar:

  1. Uma abordagem metódica para descrever as atividades de processamento e a finalidade geral dessas atividades (o que, quando, como e por que os dados pessoais estão sendo processados)
  2. Uma avaliação da base legal que torna a coleta de dados uma necessidade em relação à sua finalidade
  3. Uma avaliação do risco que colocaria em risco os direitos de privacidade de um determinado indivíduo (cliente, funcionário, etc.)
  4. Que as medidas de proteção de dados que precisam ser tomadas para reduzir o risco e garantir a proteção de dados pessoais e confidenciais estejam alinhadas com os requisitos de conformidade do GDPR

Esses pontos-chave devem ajudar as organizações a priorizar o tipo de dados que coletam e processam, o risco relacionado ao processamento de dados e a possibilidade de qualquer incidente e seu impacto geral. Assim, uma DPIA ajuda as organizações a adotar uma abordagem objetiva para avaliar o risco do processamento de dados e a se preparar para mitigar cenários negativos.

A diferença entre PIA e DPIA

Embora as PIAs e as DPIAs sejam frequentemente usadas de forma intercambiável, ambas as avaliações visam a requisitos e objetivos diferentes. Por exemplo, tanto as PIAs quanto as DPIAs permitem que as empresas abordem e reduzam os riscos - direitos individuais, conformidade organizacional ou ambos.

As PIAs são projetadas principalmente para analisar se as organizações têm controles em vigor para identificar riscos e determinar se essas organizações estão ou não em conformidade com as normas de privacidade. A capacidade de auditar riscos ajuda as organizações a adotarem uma abordagem proativa em relação a possíveis problemas e a remediarem quaisquer áreas de não conformidade com respostas reativas a avisos de privacidade, opt-outs, violações de dados e segurança programas.

Por outro lado, a exigência da DPIA está intimamente ligada ao Artigo 35 do GDPR, especialmente nos casos em que o processamento de dados pessoais provavelmente resultará em um alto risco aos direitos e liberdades do titular dos dados.

Uma DPIA é necessária nesses tipos de cenários:

  • Uma avaliação dos aspectos pessoais identificáveis de um indivíduo, como a criação de perfis (mecanismos de publicidade direcionada)
  • Processamento em larga escala de PI e PII (coleta de dados biométricos de funcionários)
  • Coleta e processamento automatizados de dados
  • Levantamento em larga escala de áreas públicas (dados de vigilância/reconhecimento facial)

Como a BigID ajuda nas avaliações de risco de privacidade

As PIAs e DPIAs podem ser difíceis de navegar, pois consistem em vários requisitos de documentação, e é importante reduzir os riscos para manter a conformidade.

Com o BigID, as organizações podem gerenciar, monitorar e validar avaliações de risco de privacidade para Artigo 35 do GDPR e CPRA conformidade. Aqui estão apenas algumas maneiras de fazer isso:

  • Colaborar com uma abordagem orientada por dados para o preenchimento de PIA/DPIA
  • Integrar com Registro de atividades de processamento (RoPA)
  • Personalizar questionários para a avaliação de processos ou projetos de negócios
  • Identificar e reduzir os riscos associados ao processamento com base no nível de risco e na atividade
  • Coordenar com terceiros monitorar e avaliar o risco de compartilhamento e transferências de dados
  • Automatize o cálculo de riscos para privacidade, segurança e governança de dados
  • Crie facilmente relatórios regulatórios para cumprir os requisitos de privacidade

Saiba mais - e comece a usar o aplicativo PIA da BigID para automatizar a conformidade regulatória (Artigo 35 do GDPR, CPRA), criando fluxos de trabalho e estruturas específicas para avaliações de impacto na privacidade (PIA) e avaliações de impacto na proteção de dados (DPIA).

Autor

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produtos, desenvolvimento de conteúdo e estratégia digital. Com foco em insights orientados por dados e marketing integrado, ele ocupou cargos seniores em vários setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, que ajuda a elevar o conteúdo em todos os pilares, regiões e compradores, criando consistentemente conteúdo atraente em várias mídias, incluindo vídeos, artigos, listas de verificação, white papers e guias.

Conteúdo