Para o setor de serviços financeiros, poucas coisas são novas sob o sol da regulamentação. Embora a sigla mal tenha saído da boca de privacidade Para profissionais de segurança da informação fora do setor de serviços financeiros há pelo menos seis meses (e potencialmente por mais tempo), o GDPR se junta a dezenas, senão centenas, de regulamentações existentes que as equipes de TI e segurança da informação em organizações financeiras globais são obrigadas a cumprir.
Embora o RGPD seja a regulamentação de proteção de dados mais abrangente até o momento, não é o primeiro instrumento legal criado para garantir a proteção de dados. Portanto, não é de surpreender que muitas instituições financeiras inicialmente tenham interpretado o RGPD como uma regulamentação que estabelece um padrão de segurança da informação para outros setores, padrão esse que o setor de serviços financeiros já vinha seguindo há anos.
No entanto, o RGPD não é simplesmente mais uma regulamentação a adicionar à lista. O que caracteriza as novas regulamentações – entre outras coisas – é o foco não apenas na proteção da informação, mas especificamente na proteção da privacidade.
Controles de segurança e restrições de privacidade
Proteger a privacidade não é o mesmo que proteger dados. As ferramentas tecnológicas disponíveis foram desenvolvidas para lidar com problemas de segurança, e as exigências de conformidade se concentraram na implementação de controles. Os requisitos de privacidade se concentram em entender a quem pertencem os dados, a fim de garantir que quaisquer operações e acessos a eles sejam consistentes com considerações como consentimento e legítimo interesse comercial.
A proteção da privacidade não se resume ao cumprimento de normas regulamentares como de costume, por uma série de razões substanciais:
1Direitos de Acesso do Titular dos Dados – O titular dos dados (Por exemplo, o cliente) agora tem direito a um registro de todas as informações mantidas sobre ele e, a qualquer momento, pode solicitar a revisão, alteração ou exclusão dessas informações.
2. Registro das atividades de processamento – As organizações são obrigadas a relatar a qualquer momento como utilizam informações privadas em seus processos de negócios, como obtiveram o consentimento para coletar as informações e qual a finalidade do uso dessas informações.
3. Notificação de Resposta à Violação de Dados – Em caso de violação de dados, um relatório deve ser enviado às autoridades de proteção de dados dentro de 72 horas e, logo em seguida, às pessoas afetadas.
As ferramentas de proteção de informações podem indicar onde as informações privadas estão armazenadas (com certo nível de precisão), mas não podem dizer a quem as informações pertencem ou para que são usadas. Para proteger não apenas as informações, mas também a privacidade, é preciso saber a quem as informações pertencem e por que são usadas.
• Se um cliente deseja ser excluído, como você sabe onde as informações dele estão armazenadas para excluí-las?
• Se seu banco de dados for comprometido, como você saberá quem foi afetado para notificá-los? Sem outra opção, você terá que informar todos os seus clientes, de forma imediata. preço enorme com consequências duradouras.
Dados até onde a vista alcança.
Ao longo dos quase 100 anos de operações do setor financeiro moderno, vastas quantidades de informações foram coletadas e armazenadas por diversos clientes, empresas e parceiros comerciais. Algumas podem estar guardadas em um depósito no deserto ou em um servidor de backup, mas a capacidade de coletar e processar dados está superando a capacidade de excluí-los — ou mesmo de aplicar políticas de retenção.
Os dados são armazenados em bancos de dados, servidores de arquivos e sistemas de Big Data, sem uma governança centralizada que determine por que as informações estão sendo coletadas, a quem pertencem e para que são usadas. Como podemos, então, relatar a legalidade do uso dessas informações se não há monitoramento ou controle?
É claro que as empresas de serviços financeiros investiram muito na compreensão de seus dados estruturados. Mas a velocidade com que os dados estruturados estão se tornando não estruturado porque qualquer número de transformações é sem precedentes.
O ambiente regulatório das organizações financeiras torna o processo de exclusão de dados complexo, uma vez que muitas regulamentações impõem restrições diferentes e, por vezes, contraditórias à preservação de informações.
Ferramentas de privacidade para necessidades de privacidade
A complexidade do ambiente financeiro, a falta de ferramentas adequadas e a complacência de algumas organizações fizeram com que muitas instituições financeiras não estivessem devidamente preparadas para o RGPD (Regulamento Geral sobre a Proteção de Dados). Algumas das maiores instituições financeiras do mundo tiveram que lidar com as novas exigências do RGPD utilizando processos manuais, planilhas do Excel e apresentações em PowerPoint.
Agora que o prazo já passou e as solicitações de acesso a dados pessoais começam a se acumular, muitas organizações percebem que o GDPR exige um conjunto automatizado de processos. O desafio para as organizações agora é encontrar maneiras de automatizar processos manuais com base nas informações que mantêm e em análises mais aprofundadas dos dados.
No BigIDDesde o início, identificamos a necessidade de ferramentas específicas para proteger informações privadas e a privacidade. No cerne da tecnologia está a capacidade não apenas de encontrar e mapear informações privadas em todos os tipos de fontes de dados, mas também de saber a quem as informações pertencem e de operacionalizar os direitos dos titulares dos dados, relatar com precisão as violações de dados e documentar o registro das atividades de processamento. Entre nossos clientes estão algumas das maiores organizações do mundo, que compreenderam desde cedo os reais desafios na proteção da privacidade e a necessidade de ferramentas tecnológicas para solucioná-los.
Autor
