Programas de privacidade eficazes começam com um entendimento claro dos dados
As equipes de privacidade enfrentam uma pressão cada vez maior para estarem em conformidade com uma “colcha de retalhos” cada vez mais complexa de regulamentos. Para atender às novas exigências de conformidade de dados, governança e privacidade em diversas jurisdições, assim como para responder a um número crescente de solicitações de titulares de dados, é fundamental que essas equipes aumentem sua capacidade.
Para isso, as equipes de privacidade precisam de ferramentas que permitam que elas dimensionem a visibilidade dos dados que possuem, ao mesmo tempo em que fornecem contexto relevante em relação à finalidade e consentimento. Inicialmente orientado pelas exigências do Artigo 30 do GDPR, muitas organizações obtêm essa visibilidade por meio de exercícios de mapeamento de dados. Não é fácil manter mapeamentos de dados atualizados e precisos ao considerar os seguintes desafios enfrentados pelas equipes de privacidade:
- Regulamentos regionais que se sobrepõem ou conflitantes
- Complexidade dos acervos de tecnologia
- Fontes e formatos de dados fragmentados
- Processos empresariais multifuncionais
- Exercícios de mapeamento de dados dependentes de processos manuais, por exemplo, avaliações
Para atender aos requisitos regulatórios, atender às necessidades das empresas e responder às solicitações dos titulares de dados de maneira oportuna (e em conformidade), as organizações devem amadurecer e dimensionar seus programas de mapeamento de dados com uma tecnologia que unifica e automatiza a descoberta de dados. Ferramentas, como o Data Discovery da OneTrust, se conectam a todos os sistemas, analisando dados pessoais e fornecendo contexto para criar a base para um programa de privacidade mais eficiente e preciso. Essas ferramentas fazem isso ao:
Estabelecer a base do seu mapa de dados
Regulamentos e leis como a LGPD e o GDPR exigem que as organizações entendam o tratamento de dados pessoais por meio de um registro de atividades de tratamento. Muitos elementos de um mapa de dados, como por exemplo, qual é nosso processo legal para usar os dados, não podem ser preenchidos com a descoberta de dados. Além disso, o estabelecimento de uma lista básica de processos e atributos necessários pode ser feito rapidamente. Portanto, a maioria das organizações começará utilizando métodos semiautomatizados para preencher seus mapas de dados, com o objetivo de usar a descoberta de dados para aprimorá-los e mantê-los atualizados.
Uma vez que a base do mapa de dados estiver em vigor, será a hora de analisar o aprimoramento e o enriquecimento dela com a utilização do Data Discovery. De modo geral, o processo de descoberta de dados identifica dois atributos principais:
- Localização dos dados: Onde esses dados estão armazenados? Eles estão localizados na nuvem, no local ou em ambos?
- Tipo de dados: Qual o formato dos dados? Se o mesmo tipo de dados residir em mais de um local, o formato está alinhado entre as fontes?
É provável que os dados pessoais armazenados de uma organização existam em mais de um lugar. E as várias instâncias de dados iguais podem ser classificadas ou formatadas de forma inconsistente em diferentes fontes. Para criar uma visão abrangente, as equipes de privacidade precisam facilitar uma interpretação precisa e escalável dessas diferenças.
Em última análise, o que mais interessa a uma equipe de privacidade é criar inventários de dados unificados, como um produto de projetos de descoberta e mapeamento de dados. Sem as ferramentas certas, isso pode levar a esforços manuais, demorados e, muitas vezes, imprecisos.
Fazer um uso maior da automação é a melhor solução para isso sob as condições atuais. Isto permite que as equipes entendam o escopo completo de seus dados – enquanto contornam os tradicionais gargalos – gerando ganhos de eficiência e eficácia do projeto de escalonamento.
Analisar metadados e fontes de dados para obter uma classificação precisa
Para classificar com precisão os dados entre diferentes fontes e formatos, a análise dos metadados pode não ser suficiente. As equipes de privacidade precisam se aprofundar em muitos níveis com suas análises para desenvolver classificações de dados que informarão as decisões em torno da conformidade.
Em alguns casos, os metadados das linhas principais podem levantar uma sinalização para a revisão da privacidade. No entanto, os metadados não abrangem todas as iterações ou combinações possíveis de informações sensíveis que uma equipe de privacidade deve conhecer.
Por exemplo, é possível que um elemento de dados individual — e a maneira como ele é armazenado, compartilhado ou agrupado com outros elementos de dados — possa estar em desacordo com os requisitos regulatórios em condições específicas. Contudo, sem ajuda, é impossível ter acesso a esses insights altamente dispersos de uma forma escalonável.
As equipes de privacidade estão mais bem equipadas com uma solução que analisa de forma inteligente milhares de fontes, além de metadados e amostras em tempo real para desenvolver classificações precisas.
Obter insights à medida que a privacidade evolui para a análise inteligente
À medida que a legislação de privacidade continua a evoluir, as definições dos dados pessoais também continuam a mudar. Além disso, os órgãos regulatórios apresentam definições variadas que criam desafios para as organizações que são responsáveis por eles.
Um mecanismo de classificação treinado pode ajudar as equipes de privacidade a acompanhar o ritmo de cada um dos principais órgãos reguladores, mesmo quando os requisitos mudam, fornecendo inteligência com base na orientação mais recente.
Por exemplo, à medida que as equipes de privacidade acompanham os novos requisitos da CPRA, uma ferramenta de classificação inteligente pode sinalizar violações de dados que não existiam anteriormente na CCPA.
E à medida que as equipes avaliam suas políticas de retenção de dados, uma análise mais detalhada nos dados mantidos pela empresa pode revelar classificações importantes, como “Data de criação” ou “Última atualização”, que podem dar suporte à aplicação de políticas de retenção.
Conclusão: Uma compreensão mais completa dos dados organizacionais gera melhores insights
Antes que as equipes de dados possam resolver vulnerabilidades em seus programas de privacidade, é necessário entender o escopo completo dos dados armazenados da organização.
Os resultados da descoberta e mapeamento de dados estabelecem isso. Uma vez que organização tem um cenário de dados bem classificado e prontamente acessível, é muito mais fácil desenvolver insights.
Equipes de privacidade que se associam com uma solução inteligente para a descoberta e mapeamento de dados podem criar confiança em sua capacidade de obter regulamentos atualizados e permanecer flexíveis à medida que as circunstâncias evoluem. Elas sabem que a automação desempenha um papel fundamental na abordagem e resolução de seus desafios, ao economizar tempo, aumentar a precisão e estabelecer as bases para uma estratégia de privacidade eficaz.
O software da OneTrust foi criado para automatizar a privacidade do início ao fim, incluindo:
- A descoberta e classificação de dados pessoais em todo o ecossistema de TI, ao aplicar contexto corporativo e regulatório por meio da pesquisa DataGuidance.
- Preenchimento de um catálogo e inventário de dados centralizado para servir como base para as iniciativas de governança de dados e privacidade.
Com essas ferramentas em vigor, as equipes de privacidade podem tomar decisões mais informadas. Além disso, elas são fáceis de usar, para que todos na equipe possam entendê-las e utilizá-las.
Veja como a OneTrust pode ajudar. Solicite uma demonstração hoje mesmo!
Compartilhar
