UM Avaliação de impacto na privacidadeA Avaliação de Impacto sobre a Privacidade (PIA, na sigla em inglês) é uma análise de como as informações de identificação pessoal são coletadas, usadas, compartilhadas e mantidas por uma organização. As PIAs visam ajudar as empresas a garantir que a coleta e o uso de dados pessoais atendam aos requisitos regulamentares de privacidade, validar o uso da tecnologia de proteção de dados obrigatória, mensurar riscos e verificar a obtenção do consentimento.
Algumas empresas e a maioria das agências governamentais tornam públicas suas Avaliações de Impacto sobre a Privacidade (AIPs). Todas elas têm como objetivo atualizar suas AIPs regularmente, incorporando informações sempre que novos aplicativos são implementados ou eventos críticos ocorrem (novas regulamentações, fusões, etc.). As Avaliações de Impacto sobre a Privacidade visam proporcionar às organizações clareza sobre suas políticas de privacidade e a execução dessas políticas.
No entanto, as PIAs atuais compartilham um grande problema: são basicamente palavras, dissociadas dos dados.
A análise de dados pessoais não deve ser subjetiva.
Os titulares dos dados são os clientes e funcionários cujos dados estão sendo "avaliados" em uma Avaliação de Impacto sobre a Privacidade (AIP). Sem exceção, hoje em dia essa avaliação é conduzida com base em uma pesquisa e uma série de entrevistas com os responsáveis pelos dados. Proprietários de empresas e a equipe de TI fornecem informações sobre quais dados são coletados, como são usados, quem tem acesso a eles, onde são compartilhados e assim por diante. Compilar essa visão abrangente do acervo de dados pessoais de uma organização e seu ciclo de vida de uso em uma AIP é o trabalho de um grande número de consultores e advogados.
A análise resultante é como uma pintura — uma representação momentânea de como os dados pessoais são gerenciados dentro da empresa. Em comparação com a alternativa, ou seja, nenhuma imagem, essa análise tem algum valor. No entanto, após a invenção das câmeras e do filme, as pessoas deixaram de confiar em pinturas interpretativas para representar cenas com precisão. Afinal, nunca vimos uma pintura ser apresentada como prova em um tribunal.
Assim, é natural questionar, com os avanços em Big Data e Ciência de Dados — o equivalente em dados da câmera e do filme —, se chegou a hora de evoluir as Avaliações de Impacto sobre a Privacidade (AIPs), passando de interpretações de cima para baixo, baseadas em palavras, sobre como os dados pessoais são usados em uma organização, para reflexões de baixo para cima, orientadas por dados, sobre a coleta e o uso reais dos dados.
A prova não está apenas no pudim.
O que muitas organizações descobrem ao embarcar em sua primeira Avaliação de Impacto sobre a Privacidade são os desafios e ineficiências usuais inerentes ao preenchimento de formulários e à realização de entrevistas e pesquisas. Mas, uma vez superado esse obstáculo, muitas percebem que seus processos existentes para descobrir, mapear e classificar dados pessoais se assemelham mais a uma declaração de boas intenções do que a evidências reais de residência e fluxo de dados.
Parte do objetivo de uma Avaliação de Impacto na Privacidade (AIP) é fornecer evidências de conformidade com as políticas internas e leis externas relativas ao armazenamento e tratamento de dados sensíveis. Pesquisas podem, certamente, fornecer indicadores de atividade, mas não podem garantir a certeza. Para verificar com precisão como os dados são coletados e processados, é necessário realizar uma contabilização de dados efetiva: a capacidade de rastrear o fluxo de dados desde a ingestão inicial até o descarte. Caso contrário, as auditorias nunca passarão de estimativas fundamentadas. Big Data e Ciência de Dados fornecem o modelo para alcançar esse objetivo.
Da Avaliação de Impacto na Privacidade à Garantia de Impacto na Privacidade
À medida que todas as corporações evoluem para empresas de software, o que diferenciará os vencedores dos perdedores será a capacidade de uma organização usar os dados de seus clientes para melhor atendê-los. Mas o direito de usar os dados de um cliente não é gratuito. Os indivíduos consentirão cada vez mais em compartilhar informações pessoais sob a condição de que as organizações administrem esses dados pessoais de forma responsável. E embora as Avaliações de Impacto sobre a Privacidade ajudem a fomentar a confiança entre o consumidor e o responsável pelos seus dados, hoje elas carecem da "verificação" necessária para preservar essa confiança por meio de provas.
Novas regulamentações, como o Regulamento Geral de Proteção de Dados (RGPD) da UE, reforçarão essa ideia. RGPD É um evento marcante em alguns aspectos, pois identifica claramente os direitos do cidadão sobre seus dados. A regulamentação inverte a mentalidade tradicional de que as empresas assumem a propriedade dos dados pessoais assim que os coletam. No novo mundo digital, posse não equivale a propriedade, e os consumidores terão direitos legais sobre seus dados muito tempo depois de serem coletados por uma empresa.
Isso criará um fardo maior para as organizações, que precisarão prestar contas adequadamente dos dados pessoais que coletam e utilizam. Felizmente, os avanços em Big Data tornaram possível a governança de Big Identity Data em escala, abrangendo diversos data centers e... nuvensAlém disso, por meio de uma melhor contabilidade e governança, as organizações têm a oportunidade de demonstrar maior valor aos seus clientes através da personalização de serviços e da antecipação de necessidades. No entanto, a menos que as organizações possam primeiro garantir aos seus clientes que conseguem oferecer personalização sem comprometer a privacidade e a segurança dos dados de identidade deles, as empresas não terão essa oportunidade de agregar valor aos seus clientes.
Em última análise, a privacidade é importante para todos os consumidores. As Avaliações de Impacto sobre a Privacidade são uma etapa necessária e importante para dar aos consumidores — e aos órgãos reguladores que os protegem — uma noção de como as empresas tratam seus dados. Mas, à medida que a economia se torna cada vez mais digital, os direitos à privacidade se tornam ainda mais fundamentais.
Para garantir aos consumidores que seus dados são valorizados e não apenas um recurso a ser explorado, as empresas precisarão começar a tratar os dados pessoais como tratam o dinheiro pessoal. Será necessário um controle contábil preciso, uma cadeia de custódia transparente e uma trilha de auditoria verificável; isso exigirá Big Data para Big Data de Identidade.
Autor
