A Avaliação do impacto na privacidade, ou PIA, é uma análise de como as informações de identificação pessoal são coletadas, usadas, compartilhadas e mantidas por uma organização. Os PIAs visam ajudar as empresas a garantir que a coleta e o uso de dados pessoais atendam aos requisitos regulatórios de privacidade, validem o uso de tecnologias de proteção de dados obrigatórias, mensuram riscos e verificam a captura de consentimento.
Algumas empresas e a maioria das agências governamentais tornam seus PIAs públicos. Todas buscam atualizar seus PIAs em intervalos regulares, com atualizações sempre que novos aplicativos são lançados ou eventos críticos ocorrem (nova regulamentação, fusão, etc.). As Avaliações de Impacto à Privacidade visam dar às organizações clareza sobre suas políticas de privacidade e a execução dessas políticas.
No entanto, todos os PIAs de hoje compartilham um grande problema: eles são basicamente palavras separadas de dados.
A análise do titular dos dados não deve ser subjetiva
Os Titulares dos Dados são os clientes e funcionários cujos dados estão sendo "avaliados" em uma Avaliação de Impacto à Privacidade. Sem exceção, hoje essa avaliação é realizada com base em uma pesquisa e uma série de entrevistas com os responsáveis pela custódia dos dados. Proprietários de empresas e a TI fornecem informações sobre quais dados são coletados, como são usados, quem tem acesso a eles, onde são compartilhados e assim por diante. Compilar essa visão de cima para baixo do acervo de dados pessoais de uma organização e seu ciclo de vida de uso em uma Avaliação de Impacto à Privacidade (PIA) é tarefa de um pequeno grupo de consultores e advogados.
A análise resultante é como uma pintura — uma representação pontual de como os dados pessoais são gerenciados dentro da empresa. Em comparação com a alternativa de não haver imagem alguma, essa análise tem algum valor. No entanto, após a invenção das câmeras e do filme, as pessoas deixaram de depender de pinturas interpretativas para representar cenas com precisão. Afinal, nunca vimos uma pintura apresentada como prova em um tribunal.
Portanto, é natural perguntar, com os avanços em Big Data e Ciência de Dados — o equivalente em dados à câmera e ao filme — se é hora de evoluir os PIAs de interpretações de cima para baixo, baseadas em palavras, sobre como os dados pessoais são usados em uma organização, para reflexões de baixo para cima, orientadas por dados, sobre a coleta e o uso reais de dados.
A prova não é só para pudim
O que muitas organizações descobrem ao embarcar em sua primeira Avaliação de Impacto à Privacidade é o conjunto habitual de desafios e ineficiências inerentes ao preenchimento de formulários e à realização de entrevistas e pesquisas. Mas, uma vez superados esses obstáculos, muitas percebem que seus processos atuais para descobrir, mapear e classificar dados pessoais estão mais próximos de uma declaração de intenção bem-intencionada do que de evidências da residência e do fluxo reais dos dados.
Parte do propósito de uma PIA é fornecer evidências de conformidade com as políticas internas e leis externas para armazenamento e manuseio de dados sensíveis. Pesquisas certamente podem fornecer indicadores de atividade — mas não podem fornecer certeza. Verificar com precisão como os dados são coletados e processados requer uma contabilidade de dados real: a capacidade de rastrear o fluxo de dados desde a ingestão inicial até o descarte. Caso contrário, as auditorias nunca resultarão em mais do que estimativas informadas. Big Data e Ciência de Dados fornecem o modelo para alcançar isso.
Da Avaliação de Impacto à Privacidade à Garantia de Impacto à Privacidade
À medida que todas as corporações evoluem para empresas de software, o que separará os vencedores dos perdedores é a capacidade de uma organização de usar os dados de seus clientes para melhor atendê-los. Mas o direito de usar os dados de um cliente não é gratuito. Cada vez mais, os indivíduos consentirão em compartilhar informações pessoais sob a condição de que as organizações os administrem de forma responsável. E, embora as Avaliações de Impacto à Privacidade ajudem a promover a confiança entre o consumidor e o responsável pela custódia dos dados, hoje elas carecem da "verificação" necessária para preservar a confiança por meio de provas.
Novas regulamentações, como o Regulamento Geral de Proteção de Dados (GDPR) da UE, vão reforçar esse ponto. GDPR é um divisor de águas em alguns aspectos, pois identifica diretamente os direitos do cidadão sobre seus dados. A regulamentação inverte a mentalidade tradicional de que as empresas, de alguma forma, assumem a propriedade dos dados pessoais ao tomarem posse deles. No novo mundo digital, posse não equivale a propriedade, e os consumidores terão direitos legais sobre seus dados muito depois de coletados por uma empresa.
Isso criará mais pressão sobre as organizações para que elas contabilizem adequadamente os dados pessoais que coletam e utilizam. Felizmente para elas, os avanços em Big Data tornaram possível a governança de Big Identity Data em escala, em todos os data centers e nuvensAlém disso, por meio de melhores práticas contábeis e de governança, as organizações têm a oportunidade de demonstrar maior valor aos seus clientes por meio da personalização dos serviços e da antecipação de necessidades. No entanto, a menos que as organizações possam primeiro garantir aos seus clientes que podem oferecer personalização sem comprometer a privacidade de seus clientes e a segurança de seus dados de identidade, as empresas não terão essa oportunidade de entregar valor aos seus clientes.
Em última análise, a privacidade é importante para todos os consumidores. As Avaliações de Impacto à Privacidade são um passo necessário e importante para dar aos consumidores — e aos reguladores que os protegem — uma noção de como as empresas tratam seus dados. Mas, à medida que a economia se move cada vez mais para o online, os direitos de privacidade tornaram-se mais fundamentais.
Para garantir aos consumidores que seus dados são valorizados, e não apenas um recurso a ser explorado, as empresas precisarão começar a tratar dados pessoais como se fossem dinheiro pessoal. Será necessária uma contabilidade precisa, uma cadeia de custódia clara e uma trilha de auditoria verificável; será necessário Big Data para Big Identity Data.