Gerar um mapa de dados e inventariar dados pessoais para obter conhecimento sobre os dados estão no topo da lista de tarefas para empresas que visam atender aos requisitos do Regulamento Geral de Proteção de Dados (RGPD) da UE. O conhecimento sobre os dados é essencial para verificar a conformidade da coleta e do processamento de dados.
Alguns fornecedores prometem fazer privacidade A conformidade é facilitada pela simplificação da coleta de dados por e-mail junto às partes interessadas, a fim de determinar o inventário de ativos de dados de uma organização. Ao fornecer um conjunto de modelos de questionários utilizando linguagem jurídica, prometem facilitar a coleta de informações para Avaliações de Impacto à Privacidade e problemas de conformidade relacionados. No entanto, a maioria das pessoas tem dificuldade em interpretar questões jurídicas e confiar na memória para encontrar dados é, por definição, pouco confiável.
Mas como obter conhecimento preciso dos dados quando se parte de pesquisas com dados imprecisos? Se o objetivo principal do GDPR é a proteção de dados, é possível proteger seus dados se você não tiver conhecimento confiável de onde eles estão armazenados? Provavelmente não… Vejamos alguns dos motivos:
As pesquisas carecem de precisão:
As pesquisas dependem da interpretação e da capacidade de recordação das pessoas. As pessoas são falíveis e imprecisas mesmo nas melhores circunstâncias, mas quando se trata de registrar o inventário, a localização e o uso de dados, elas são o oposto de profissionais que se baseiam em dados para arquivar informações. As pessoas simplesmente não conseguem "verificar" nada relacionado a onde os dados são coletados, armazenados ou processados sem uma auditoria de dados. E uma auditoria de dados requer uma análise, não uma pesquisa.
As pesquisas não conseguem captar mudanças:
Dizem que os dados são o novo petróleo. E embora essa metáfora seja certamente verdadeira quando se trata de valor e de como os dados impulsionam a economia moderna da internet, ela também é verdadeira quando se trata de como eles se infiltram e fluem. Os dados não são estáticos. Eles se movem, são agregados, transformados, compartilhados e analisados. Quando se trata de dados, a mudança é a única constante. Infelizmente, ninguém jamais poderá fornecer um relato completo de como os dados mudam sem antes analisá-los. Uma pesquisa sem uma análise prévia, portanto, nunca poderá capturar completamente as mudanças na forma como os dados são coletados e processados.
Pesquisas não são concluídas:
Além da falta de fidelidade dos dados, as pesquisas também dependem da receptividade e motivação dos participantes. Respostas insuficientes ou incompletas são um problema para qualquer abordagem baseada em pesquisas. Mas a ausência de respostas é ainda pior. As pessoas têm empregos fixos, e preencher pesquisas que usam termos jurídicos obscuros, sem nenhum benefício direto, provavelmente não está entre suas prioridades. A privacidade dos dados pode ser uma preocupação corporativa, mas a divulgação de dados pode não ser uma preocupação de todos os funcionários.
As pesquisas demoram muito tempo:
Compilar um mapa de dados por meio de pesquisas, mesmo considerando o melhor cenário possível de representatividade, pode facilmente levar de semanas a meses. Conduzir vários participantes envolvidos em um processo de pesquisa geralmente não é eficiente em termos de recursos e dificilmente produzirá resultados atualizados. Embora demonstrar aos órgãos reguladores que uma iniciativa está em andamento possa inicialmente afastá-los, eles não irão adiar a implementação se o progresso na elaboração de um mapa de fluxo de dados estiver atrasado em relação aos concorrentes da empresa.
As pesquisas não podem satisfazer os direitos de dados pessoais:
Um inventário de dados baseado em pesquisas carece dos detalhes específicos necessários para responder à pergunta fundamental imposta pelas normas de privacidade: onde uma organização armazena dados de cada cliente ou funcionário? Se o mapeamento de dados estiver desconectado das atividades de processamento de dados, ele não poderá servir como um guia para que as equipes de TI e segurança gerem uma solicitação de acesso do titular dos dados (DSAR, na sigla em inglês), nem para responder a alterações de modificação ou exclusão. Ter um fluxo de trabalho definido para DSARs não elimina a necessidade de a TI executar etapas manuais e criar consultas personalizadas para as solicitações, mesmo com o prazo para respondê-las se aproximando.
Então, se uma pesquisa não consegue contabilizar com precisão como os dados são coletados ou processados, qual a sua utilidade? Se o objetivo da pesquisa é realmente proteger dados pessoais, a resposta mais direta provavelmente é: pouca utilidade. Mapeamentos e inventários de dados gerados por uma pesquisa podem fornecer subsídios para uma avaliação de impacto na privacidade, mas a fidelidade dessa avaliação sempre será questionável.
As pesquisas nunca serão superiores às análises para a proteção e privacidade de dados pessoais de forma precisa e eficaz. A contabilização de dados exige um controle preciso dos dados. Isso requer uma forma de gerar inventários e mapeamentos precisos usando análises de dados auditáveis. Se o objetivo da conformidade com o GDPR é proteger os dados e garantir a privacidade, então ela terá que estar fundamentada em conhecimento preciso dos dados – e nesse aspecto, uma pesquisa não se compara a uma análise.
Autor
