Como a construção de um programa proativo de governança de dados pode abordar regulamentações de privacidade iminentes
Dados são poderosos. São usados por organizações para tomar melhores decisões de negócios, otimizar operações e reduzir custos operacionais gerais. Muitas das empresas Fortune 1000 atuais transformaram seus negócios embarcando em uma jornada digital que alinhou os dados como seu ativo mais valioso.
É claro que coisas valiosas precisam ser protegidas. Dados têm o poder de serem transformadores, pois frequentemente contêm informações sensíveis que podem causar danos aos indivíduos a quem dizem respeito.
Os Diretores de Privacidade (CPOs) enfrentam novos requisitos regulatórios para proteger e reportar dados sensíveis, o que criou uma necessidade urgente para as empresas gerenciarem melhor seus ativos de dados. Organizações anteriormente não regulamentadas estão aprimorando seus programas de governança de dados para atender a essa necessidade. Como parte desse esforço, é necessário que CPOs e CDOs colaborem de forma mais eficiente para gerenciar, proteger e reportar os dados de suas organizações.
O alerta do RGPD e do CCPA
Com a recente adoção do General Data Protection Act (GDPR) e do California Consumer Privacy Act (CCPA), as regulamentações de privacidade dos EUA foram além dos setores anteriormente regulamentados de finanças, saúde e dados infantis para especificar que qualquer organização que processe “dados pessoais” ou “informações pessoais” (PI) deve atender a novos padrões de conformidade em suas práticas de dados — ou se submeter a multas caras.
Com a privacidade de dados em evidência e as regulamentações evoluindo em todo o mundo (até o momento, 61 países já adotavam regulamentações de privacidade), as organizações orientadas por dados estão se tornando mais estratégicas e visionárias em relação à sua governança de dados. As empresas não podem mais se dar ao luxo de tratar cada nova regulamentação de privacidade como um projeto independente ou gastar horas coletando e agregando dados manualmente para relatórios personalizados sobre indivíduos. Elas precisam das soluções certas para operacionalizar e automatizar seus ativos de dados em escala.
Desvendando o ponto cego da governança de dados
Entra em cena a governança de dados e o papel do Diretor de Dados (CDO). A governança de dados é a gestão da qualidade e integridade dos dados em uma organização. Ela garante que haja consenso e veracidade nos dados, e que seja possível confiar que eles sejam precisos e completos para todas as funções da organização.
O CDO é responsável por executar as atividades necessárias para o gerenciamento de dados e por definir as políticas de dados e os acordos de compartilhamento de dados. Para qualquer organização que coleta e processa dados confidenciais de clientes, funcionários ou da empresa — e deseja garantir que os dados permaneçam o mais precisos, completos e "verdadeiros" possível — o CDO pode ser o melhor amigo do CPO. E em praticamente todas as organizações, há uma necessidade crescente de que eles trabalhem juntos para alcançar a conformidade contínua.
Atualmente, as empresas (especialmente aquelas fora de setores anteriormente regulamentados, como saúde e finanças) podem apresentar lacunas em seus programas de gerenciamento de dados. Essas organizações carecem de conhecimento histórico e documentação sobre toda a amplitude de seus ativos de dados, ou esses dados estão espalhados por um cenário tecnológico diversificado. Além disso, a enorme quantidade de metadados gerados diariamente pode criar problemas no atendimento eficiente de solicitações (incluindo solicitações de acesso de titulares de dados) — e isso só pode ser corrigido com a governança de dados.
A governança tem seu dia
Dados gerenciados e governados adequadamente podem dar suporte a todas as funções comerciais da organização, incluindo o gerenciamento de privacidade de dados.
Portanto, embora as regulamentações de privacidade possam ser o catalisador, verifica-se que uma solução para alcançar a conformidade se resume ao tratamento responsável dos dados. Para muitas empresas que não conseguiram construir um programa de dados sustentável, a governança de dados está desfrutando de um momento de destaque. Isso se deve ao financiamento dedicado à conformidade com o GDPR e à formalização revolucionária do processamento de dados que a regulamentação essencialmente exige.
A linguagem jurídica que envolve essas regulamentações não consegue capturar o panorama completo e holístico da governança dos ativos de dados de uma organização como um todo. Por exemplo, a descoberta de dados de informações pessoais sob a CCPA representa apenas uma pequena parte das atividades de governança de dados. Dados encontrados próximos a informações pessoais (também conhecidos como dados de proximidade) expandem o tipo de dados que precisam ser catalogados e categorizados para documentação adicional sobre sua disponibilidade, uso e contexto.
Dados de proximidade podem incluir o endereço IP de uma pessoa, registros de saúde relacionados e até mesmo configurações de cookies, por exemplo. Como esses conjuntos de dados expandidos também precisam ser incluídos no programa de governança específico da CCPA, uma abordagem proativa é construir um programa de dados flexível e abrangente que possa se preparar proativamente para diversos requisitos de relatórios relacionados à privacidade.
De modo geral, as organizações devem aproveitar ao máximo os recursos limitados para atender a uma variedade de requisitos. Isso se traduz na construção de uma estrutura madura com processos repetíveis e eficientes que respondam rapidamente a novos — e, às vezes, conflitantes — requisitos regulatórios.
Quando a privacidade e a governança trabalham juntas
Existem vários métodos que os responsáveis pela privacidade e dados podem usar para criar programas defensáveis para responder a ameaças iminentes de regulamentação e privacidade.
Defina e classifique.
O foco principal deve ser a construção de uma base de dados representada por blocos de construção discretos de elementos de dados. Esses atributos incluem, entre outros:
- definições
- finalidade de uso
- regras de negócios
- controles de negócios e dados
- processos de negócios
- regras e pontuações de qualidade de dados
- impactos de risco
- uma matriz de propriedade
Além disso, um catálogo de dados é um inventário de dados disponíveis e atributos associados, incluindo classificação, que descreve as configurações de dados como confidenciais, sigilosas, internas e assim por diante.
- Para o responsável pela governança de dados: Isso identifica como tratar dados classificados como confidenciais para nível de acesso ou mesmo priorização de projetos de governança.
- Para o responsável pela privacidade: Isso ajuda a esclarecer o risco associado às atividades de processamento que envolvem esses dados.
Marcação
O segundo método de governança de dados para regulamentação de privacidade é a inclusão de uma categoria no catálogo de dados.
- Para o responsável pela governança de dados: Este atributo descreve a finalidade de uso dos dados.
- Para o responsável pela privacidade: Tanto o GDPR quanto o CCPA exigem que uma entidade descreva a finalidade de como esses dados são usados.
Identificar a linhagem dos dados.
O terceiro método que alinha governança e privacidade é documentar como os dados fluem do upstream para o downstream.
- Para o responsável pela governança de dados: A linhagem de dados documenta e ilustra a jornada completa de ponta a ponta de um elemento de dados, começando pela fonte “autoritária” que criou os dados até as fontes e aplicativos posteriores que os armazenam, os exibem ou ambos.
- Para o responsável pela privacidade: Isso revela a fonte original dos dados ou a procedência de onde os dados são coletados e seu ciclo de vida em toda a empresa.
Conformidade total, insights reais
Qualquer entidade que processe dados deve fazê-lo de forma responsável, priorizando os dados de seus clientes e funcionários. Privacidade e governança de dados formam uma interseção importante onde isso pode acontecer — e onde existem inúmeras oportunidades para lidar com a conformidade regulatória. Embora a privacidade possa ser o ímpeto financeiro e regulatório para a decisão de uma empresa de avaliar melhor seus ativos de dados, um programa sólido de governança de dados pode servir como base para gerenciar e proteger esses ativos.
Assim, é crucial que CDOs e CPOs colaborem de forma eficaz e frequente para desenvolver novos processos e procedimentos internos que gerenciem, protejam e reportem dados com eficiência. As organizações podem implementar softwares tecnológicos para mapear dados estruturados e não estruturados, operacionalizar e automatizar todos os acervos de dados, eliminar a duplicação de dados, gerenciar investigações de violações e auxiliar nas atividades de relatórios necessárias.
Ao adotar uma abordagem de baixo para cima em relação aos dados, o CPO e o CDO juntos podem criar uma estrutura de privacidade defensável que não apenas coloca seus negócios em total conformidade, mas também fornece valor ao criar insights reais derivados de dados.