Gerar um mapa de dados e inventariar dados pessoais para fins de conhecimento de dados estão no topo da lista de tarefas para empresas que buscam atender aos requisitos do Regulamento Geral sobre a Proteção de Dados (GDPR) da UE. O conhecimento de dados é essencial para verificar a conformidade da coleta e do processamento de dados.
Alguns fornecedores prometem fazer privacidade Facilitar a conformidade, simplificando a coleta de pesquisas por e-mail com as partes interessadas para descobrir o inventário de ativos de dados de uma organização. Ao fornecer um conjunto de modelos de questionários em linguagem jurídica, eles prometem facilitar a coleta de informações para Avaliações de Impacto à Privacidade e problemas de conformidade relacionados. No entanto, a maioria das pessoas tem dificuldade para interpretar questões jurídicas, e confiar em memórias para encontrar dados é, por definição, pouco confiável.
Mas como obter conhecimento preciso de dados quando se começa com pesquisas de dados imprecisas? Se o objetivo principal do GDPR é a proteção de dados, você consegue proteger seus dados sem ter um conhecimento confiável de onde eles estão? Provavelmente não... Vejamos alguns dos motivos:
As pesquisas carecem de precisão:
Pesquisas dependem de pessoas interpretando e coletando informações. Pessoas são falíveis e imprecisas mesmo nos melhores momentos, mas quando se trata de registrar o inventário, a localização e o uso de dados, elas são o oposto de mantenedores de registros orientados por dados. As pessoas simplesmente não conseguem "verificar" nada relacionado a onde os dados são coletados, armazenados ou processados sem uma auditoria de dados. E uma auditoria de dados requer uma varredura, não uma pesquisa.
Pesquisas não conseguem captar mudanças:
Dizem que os dados são o novo petróleo. E embora essa metáfora seja certamente verdadeira quando se trata de valor e de como os dados impulsionam a economia moderna da internet, também é verdadeira quando se trata de como eles se infiltram e fluem. Dados não são estáticos. Eles se movem, são agregados, transformados, compartilhados e analisados. Quando se trata de dados, a mudança é a única constante. Infelizmente, ninguém pode fornecer um relato completo de como os dados mudam sem primeiro questioná-los. Uma pesquisa sem uma análise detalhada, portanto, nunca pode capturar completamente as mudanças na forma como os dados são coletados e processados.
Pesquisas não são concluídas:
Além da falta de fidelidade dos dados, as pesquisas também dependem da capacidade de resposta e da motivação dos respondentes. Informações insuficientes ou incompletas são um problema para qualquer abordagem baseada em pesquisas. Mas a ausência de informações é ainda pior. As pessoas têm empregos fixos, e preencher pesquisas que usam termos jurídicos obscuros e sem benefício direto provavelmente não está no final de suas listas de prioridades. A privacidade dos dados pode ser uma preocupação corporativa, mas a divulgação de dados pode não ser uma preocupação de todos os funcionários.
As pesquisas demoram muito tempo:
A compilação de um mapa de dados por meio de pesquisas, mesmo assumindo que o melhor resultado seja representativo, pode facilmente se estender de semanas a meses. Acompanhar diversas partes interessadas em um processo de pesquisa geralmente não é eficiente em termos de recursos e dificilmente produzirá resultados atualizados. Embora demonstrar aos reguladores que uma iniciativa está em andamento possa mantê-los afastados inicialmente, eles não hesitarão se o progresso na montagem de um mapa de fluxo de dados estiver aquém do dos pares da empresa.
Pesquisas não podem satisfazer direitos de dados pessoais:
Um inventário de dados baseado em pesquisa não possui os detalhes específicos necessários para responder à pergunta básica colocada pelos mandatos de privacidade: onde uma organização possui dados sobre cada cliente ou funcionário? Se o mapa de dados estiver desconectado das atividades de processamento de dados, ele não poderá servir como um roteiro para que a TI e a segurança gerem uma solicitação de acesso do titular dos dados (DSAR), nem respondam a alterações de modificação ou exclusão. Ter um fluxo de trabalho de processo para DSARs não elimina a responsabilidade da TI de executar etapas manuais e criar consultas personalizadas para DSARs, mesmo com a contagem regressiva para a resposta.
Então, se uma pesquisa não consegue explicar com precisão como os dados são coletados ou processados, para que serve? Se o objetivo da pesquisa é realmente proteger dados pessoais, a resposta mais direta provavelmente é: "não muito". Mapas e inventários de dados gerados a partir de uma pesquisa podem fornecer informações para uma avaliação de impacto na privacidade, mas a fidelidade dessa avaliação sempre será questionável.
Pesquisas nunca serão superiores a varreduras para proteção precisa e eficaz de dados pessoais e privacidade. A contabilização de dados requer contabilidade de dados. Isso requer uma maneira de gerar inventários e mapas precisos usando varreduras de dados auditáveis. Se o objetivo da conformidade com o GDPR é proteger dados e garantir a privacidade, então ela terá que se basear em conhecimento preciso de dados – e, nesse aspecto, uma pesquisa não se compara a uma varredura.
Autor
