Para o setor de serviços financeiros, poucas coisas são novas sob o sol regulatório. Embora a sigla mal tenha saído da boca de privacidade e profissionais de segurança da informação fora dos serviços financeiros por pelo menos seis meses (e potencialmente mais), o GDPR se junta a dezenas, senão centenas de regulamentações existentes que as equipes de TI e segurança da informação em organizações financeiras globais são obrigadas a cumprir.
O GDPR, embora seja a regulamentação de proteção da privacidade mais abrangente até o momento, dificilmente é o primeiro mandato promulgado para garantir a proteção de dados. Portanto, não é de se surpreender que muitas organizações financeiras tenham inicialmente enquadrado o GDPR como uma regulamentação que estabelece um padrão de segurança da informação para outros setores, padrão que o setor de serviços financeiros já impõe há anos.
No entanto, o GDPR não é simplesmente mais uma regulamentação a ser adicionada à lista. O que caracteriza a nova regulamentação – entre outras coisas – é o foco não apenas na proteção de informações, mas especificamente na proteção da privacidade.
Controles de segurança e restrições de privacidade
Proteger a privacidade não é o mesmo que proteger dados. As ferramentas tecnológicas disponíveis foram desenvolvidas para lidar com os problemas de segurança – e as exigências de conformidade se concentraram na implementação de controles. Os requisitos de privacidade se concentram em entender de quem são os dados, a fim de garantir que quaisquer operações e acessos aos dados sejam consistentes com considerações como consentimento e interesse comercial legítimo.
A proteção da privacidade não é conformidade regulatória como de costume por uma série de razões substantivas:
1. Direitos de acesso do titular – Os titular dos dados (por exemplo, o cliente) agora tem direito a um registro de todas as informações mantidas sobre ele e, a qualquer momento, pode solicitar a revisão, alteração ou exclusão dessas informações.
2. Registro de Atividades de Processamento – As organizações são obrigadas a relatar a qualquer momento como usam informações privadas em seus processos de negócios, como receberam consentimento para coletar as informações e qual é a finalidade do uso das informações.
3. Notificação de resposta a violação – Em caso de violação de dados, um relatório deve ser feito às autoridades de proteção de dados dentro de 72 horas e logo depois às pessoas afetadas.
Ferramentas de proteção de informações podem indicar onde as informações privadas estão armazenadas (com algum nível de precisão), mas não conseguem identificar a quem as informações pertencem ou para que são utilizadas. Para proteger não apenas as informações, mas também a privacidade, você precisa saber quem são as informações e por que são utilizadas:
- Se um cliente quiser ser excluído, como você sabe onde as informações estão armazenadas para excluí-las?
- Se o seu banco de dados for comprometido, como saber quem foi afetado para notificá-los? Sem escolha, você terá que informar todos os seus clientes, em um único instante. preço enorme com consequências persistentes.
Dados até onde a vista alcança
Nos quase 100 anos de operações do setor financeiro moderno, vastas quantidades de informações foram coletadas e retidas por diversos clientes, empresas e parceiros comerciais. Algumas podem estar armazenadas em um depósito no deserto ou em um servidor de backup, mas a capacidade de coletar e processar dados está superando a capacidade de excluí-los – ou mesmo de aplicar políticas de retenção.
Os dados são armazenados em bancos de dados, servidores de arquivos e sistemas de Big Data, sem uma governança pouco centralizada sobre o motivo da coleta, a quem pertencem e por que são utilizados. Como podemos agora reportar a legalidade do uso das informações se elas não são monitoradas ou controladas?
É claro que as empresas de serviços financeiros investiram pesadamente na compreensão de seus dados estruturados. Mas a velocidade com que os dados estruturados estão se tornando não estruturado por causa de qualquer número de transformações é sem precedentes.
O ambiente regulatório das organizações financeiras torna o processo de exclusão de dados um processo complexo, pois muitas regulamentações determinam restrições diferentes e, às vezes, contraditórias à preservação de informações.
Ferramentas de privacidade para necessidades de privacidade
A complexidade do ambiente financeiro, a falta de ferramentas adequadas e a complacência de algumas organizações levaram muitas instituições financeiras a uma preparação abaixo do ideal para o GDPR. Algumas das maiores instituições financeiras do mundo tiveram que lidar com as novas demandas do GDPR usando processos manuais, planilhas do Excel e PowerPoint.
Agora que o prazo final passou e as solicitações de acesso dos titulares dos dados estão começando a se acumular, muitas organizações perceberam que o GDPR exige um conjunto automatizado de processos. O desafio para as organizações agora é encontrar maneiras de automatizar processos manuais com base nas informações que mantêm e em insights mais aprofundados sobre os dados.
No BigID, identificamos a necessidade de ferramentas específicas para proteger informações privadas e a privacidade desde o início. No cerne da tecnologia está a capacidade não apenas de encontrar e mapear informações privadas em todos os tipos de fontes de dados, mas também de saber a quem as informações pertencem e de operacionalizar os direitos dos titulares dos dados, relatar com precisão violações de dados e documentar o registro das atividades de processamento. Entre nossos clientes estão algumas das maiores organizações do mundo, que compreenderam desde muito cedo os reais desafios da proteção da privacidade e a necessidade de ferramentas tecnológicas para resolvê-los.
Autor
