Como a criação de um programa proativo de governança de dados pode lidar com as iminentes regulamentações de privacidade.
Os dados são poderosos. São utilizados pelas organizações para tomar melhores decisões de negócios, otimizar operações e reduzir custos operacionais gerais. Muitas das empresas da lista Fortune 1000 transformaram seus negócios ao embarcar em uma jornada digital que priorizou os dados como seu ativo mais valioso.
É claro que coisas valiosas precisam ser protegidas. Os dados têm o poder de transformar, pois frequentemente contêm informações sensíveis que podem prejudicar os indivíduos a eles envolvidos.
Os Diretores de Privacidade (CPOs) enfrentam novas exigências regulatórias para a proteção e o reporte de dados sensíveis, o que criou uma necessidade urgente de as empresas gerenciarem melhor seus ativos de dados. Organizações anteriormente não regulamentadas estão aprimorando seus programas de governança de dados para atender a essa necessidade. Como parte desse esforço, é fundamental que os CPOs e os Diretores de Dados (CDOs) colaborem de forma mais eficiente para gerenciar, proteger e reportar os dados de suas organizações.
O alerta sobre o RGPD e o CCPA
Com a recente adoção do Regulamento Geral de Proteção de Dados (RGPD) e da Lei de Privacidade do Consumidor da Califórnia (CCPA), as regulamentações de privacidade dos EUA foram além dos setores anteriormente regulamentados de finanças, saúde e dados infantis, especificando que qualquer organização que processe “dados pessoais” ou “informações pessoais” (IP) deve atender a novos padrões de conformidade em suas práticas de dados — ou estar sujeita a multas elevadas.
Com a privacidade de dados em foco e as regulamentações evoluindo globalmente (até o momento da redação deste texto, 61 países estão considerando regulamentações de privacidade), as organizações orientadas por dados estão se tornando mais estratégicas e proativas em relação à sua governança de dados. As empresas não podem mais se dar ao luxo de tratar cada nova regulamentação de privacidade como um projeto isolado ou gastar horas coletando e agregando dados manualmente para relatórios personalizados sobre indivíduos. Elas precisam das soluções certas para operacionalizar e automatizar seus ativos de dados em escala.
Revelando o ponto cego da governança de dados
Entram em cena a governança de dados e o papel do Diretor de Dados (CDO). A governança de dados é a gestão da qualidade e integridade dos dados em toda a organização. Ela garante que haja consenso e veracidade nos dados, e que se possa confiar em sua precisão e integridade para todas as funções da organização.
O CDO é responsável por executar as atividades necessárias para a gestão de dados e por definir as políticas de dados e os acordos de compartilhamento de dados. Para qualquer organização que coleta e processa dados sensíveis de clientes, funcionários ou negócios — e que deseja garantir que esses dados permaneçam o mais precisos, completos e confiáveis possível — o CDO pode ser o melhor aliado do CPO. E em praticamente todas as organizações, há uma necessidade crescente de que trabalhem juntos para alcançar a conformidade contínua.
Atualmente, as empresas (especialmente aquelas fora de setores anteriormente regulamentados, como saúde e finanças) podem apresentar lacunas em seus programas de gestão de dados. Essas organizações podem não ter conhecimento histórico e documentação sobre a totalidade de seus ativos de dados, ou podem ter esses dados dispersos em um cenário tecnológico diversificado. Além disso, a enorme quantidade de metadados gerados diariamente pode dificultar o atendimento eficiente de solicitações (incluindo solicitações de acesso de titulares de dados) — e isso só pode ser resolvido com a implementação de uma governança de dados eficaz.
A governança tem seu momento de destaque.
Dados devidamente gerenciados e governados podem dar suporte a todas as funções de negócios da organização, incluindo a gestão da privacidade de dados.
Assim, embora as regulamentações de privacidade possam ser o catalisador, verifica-se que uma solução para alcançar a conformidade reside no tratamento responsável dos dados. Para muitas empresas que anteriormente não conseguiram construir um programa de dados sustentável, a governança de dados está vivendo um momento de destaque. Isso se deve ao financiamento destinado à conformidade com o GDPR e à formalização transformadora do processamento de dados que a regulamentação essencialmente exige.
A linguagem jurídica que envolve essas regulamentações não consegue capturar o quadro completo e holístico do que significa governar os ativos de dados de uma organização como um todo. Por exemplo, a descoberta de informações pessoais sob a CCPA representa apenas uma pequena parte das atividades de governança de dados. Os dados encontrados próximos a informações pessoais (também conhecidos como dados de proximidade) ampliam o tipo de dados que precisam ser catalogados e categorizados para posterior documentação sobre sua disponibilidade, uso e contexto.
Os dados de proximidade podem incluir o endereço IP de uma pessoa, registros de saúde relacionados e até mesmo configurações de cookies, por exemplo. Como esses conjuntos de dados expandidos também precisam ser incluídos no programa de governança específico da CCPA, uma abordagem proativa é construir um programa de dados flexível e abrangente que possa se preparar proativamente para vários requisitos de relatórios relacionados à privacidade.
De forma geral, as organizações devem otimizar o uso de recursos limitados para atender a uma variedade de requisitos. Isso se traduz na construção de uma estrutura sólida com processos repetíveis e eficientes que respondam rapidamente a novas exigências regulatórias — por vezes conflitantes.
Quando a privacidade e a governança trabalham juntas
Existem diversos métodos que os responsáveis pela privacidade e pelos dados podem usar para criar programas defensáveis para responder a ameaças iminentes às normas regulamentares e à privacidade.
Defina e classifique.
O foco principal deve ser a construção de uma base de dados representada por blocos de construção discretos de elementos de dados. Esses atributos incluem, entre outros:
- definições
- finalidade de uso
- regras de negócio
- controles de negócios e dados
- processos de negócios
- regras e pontuações de qualidade de dados
- impactos de risco
- uma matriz de propriedade
Além disso, um catálogo de dados é um inventário dos dados disponíveis e seus atributos associados, incluindo a classificação, que descreve as configurações dos dados como confidenciais, sensíveis, internos e assim por diante.
- Para o responsável pela governança de dados: Isso define como tratar dados classificados como confidenciais, seja em relação ao nível de acesso ou mesmo à priorização de projetos de governança.
- Para o responsável pela privacidade: Isso ajuda a explicitar o risco associado às atividades de processamento que envolvem esses dados.
Etiquetagem
O segundo método de governança de dados para a regulamentação da privacidade é a inclusão de uma categoria no catálogo de dados.
- Para o responsável pela governança de dados: Este atributo descreve a finalidade de utilização dos dados.
- Para o responsável pela privacidade: Tanto o GDPR quanto o CCPA exigem que uma entidade descreva a finalidade de como esses dados são utilizados.
Identificar a linhagem dos dados.
O terceiro método que alinha governança e privacidade é documentar como os dados fluem da origem ao destino.
- Para o responsável pela governança de dadosA linhagem de dados documenta e ilustra toda a jornada de um elemento de dados, do início ao fim, desde a fonte "autoritativa" que criou os dados até as fontes e aplicativos subsequentes que os armazenam, exibem ou ambos.
- Para o responsável pela privacidadeIsso revela a fonte original dos dados ou a proveniência de onde os dados são coletados, bem como seu ciclo de vida em toda a empresa.
Conformidade total, insights reais
Qualquer entidade que processe dados deve fazê-lo de forma responsável, priorizando os dados de seus clientes e funcionários. A privacidade e a governança de dados formam uma importante interseção onde isso pode acontecer — e onde residem inúmeras oportunidades para atender à conformidade regulatória. Embora a privacidade possa ser o incentivo financeiro e regulatório para a decisão de uma empresa de avaliar melhor seus ativos de dados, um programa sólido de governança de dados pode servir como a base para gerenciar e proteger esses ativos.
Sendo assim, é crucial que os CDOs e CPOs colaborem de forma eficaz e frequente para desenvolver novos processos e procedimentos internos que gerenciem, protejam e relatem dados de forma eficiente. As organizações podem implementar softwares tecnológicos para mapear dados estruturados e não estruturados, operacionalizar e automatizar todos os seus acervos de dados, eliminar a duplicação de dados, gerenciar investigações de violações de segurança e auxiliar nas atividades de geração de relatórios obrigatórias.
Ao adotar uma abordagem de dados de baixo para cima, o CPO e o CDO podem criar juntos uma estrutura de privacidade defensável que não apenas coloca a empresa em total conformidade, mas também agrega valor, gerando insights reais a partir dos dados.
Autor
