Como definir uma estratégia de privacidade de dados na era digital?
22 de junho de 2020Experiências personalizadas e operações comerciais automatizadas dependem da qualidade e do volume de seus dados
As empresas continuam a enfrentar desafios de implementação à medida que se apressam em cumprir as regulamentações de privacidade de dados, como o Regulamento Geral de Proteção de Dados (GDPR) da Europa, e no Brasil, a Lei Geral de Proteção a Dados (LGPD).
Isso se deve em grande parte a uma incompatibilidade entre o gerenciamento de dados e os rigorosos requisitos estabelecidos pelos regulamentos.
As organizações podem abordar as complexidades dos regulamentos de privacidade por meio de uma estrutura de governança de dados bem definida, que aproveita pessoas, processos e tecnologias para estabelecer padrões para acesso, gerenciamento e uso de dados.
Essa estrutura também permite às empresas abordar elementos de privacidade, incluindo gerenciamento de identidade e acesso, gerenciamento de consentimento e definição de políticas.
À medida que os líderes implementam os modelos de governança de dados com a privacidade em mente, eles podem enfrentar desafios, incluindo aceitação morna de executivos, falta de uma estratégia de dados coesa ou opiniões divergentes sobre como os dados devem ser usados e manipulados. Para resolver esses obstáculos, os líderes devem considerar as seguintes ações:
•Estabelecer propriedade e conscientização de dados multifuncionais
•Simplificar políticas e procedimentos de dados
•Atualizar tecnologia e infraestrutura
Estabeleça propriedade e conscientização de dados multifuncionais
Embora um diretor de dados ou CIO possa liderar a implementação de uma estrutura ou modelo de governança de dados, a governança de dados deve ser uma responsabilidade compartilhada em toda a empresa. No mínimo, o departamento de TI, o escritório de privacidade, a organização de segurança e várias divisões de negócios devem estar envolvidos, pois cada um tem uma participação importante no gerenciamento de dados.
A contratação antecipada de várias partes interessadas permite que as empresas estabeleçam os principais objetivos de dados e uma visão mais ampla de governança de dados. Essa colaboração pode assumir a forma de uma força-tarefa dedicada ou pode envolver relatórios regulares sobre governança de dados e objetivos de privacidade para o conselho executivo.
A privacidade dos dados, da mesma forma, também é uma responsabilidade compartilhada. Todos os funcionários têm um papel a desempenhar na manutenção da privacidade dos dados, seguindo os padrões aceitos para coleta, uso e compartilhamento de dados.
De fato, implementar um modelo de governança de dados bem-sucedido com privacidade em mente requer educar os funcionários sobre conceitos, funções e responsabilidades de governança, bem como conceitos e regulamentações sobre privacidade de dados (por exemplo, a definição de “informações pessoais” versus “informações do consumidor”).
Depois de estabelecer uma visão de governança e aumentar a conscientização dos funcionários, as organizações podem definir suas funções desejadas de governança de dados – como proprietários, administradores de dados, arquitetos e consumidores de dados – e adaptar as funções às suas necessidades.
Algumas empresas podem distinguir entre administradores de dados e proprietários de dados, por exemplo, sendo o primeiro responsável por executar operações diárias de dados e o último responsável pela definição da política de dados.
Para um cliente com um departamento de TI grande e complexo, a Metis Strategy estabeleceu uma hierarquia de governança com um conselho de nível executivo, funções combinadas de administrador/proprietário de dados e outras posições (por exemplo, responsáveis pela qualidade dos dados). Essa estrutura facilitou a comunicação e permitiu ao cliente escalar suas práticas de gerenciamento de dados.
A longo prazo, as empresas devem incorporar habilidades de governança e gerenciamento de dados em sua estratégia de talentos e planejamento da força de trabalho.
Dada a experiência necessária e a escassez de pessoal qualificado para algumas funções de uso intensivo de dados, as organizações podem considerar a ajuda de empresas de busca de talentos, concentrando esforços internos na retenção e aprimoramento desses talentos.
À medida que as metas estratégicas e os requisitos regulatórios das empresas mudam, elas devem permanecer flexíveis no ajuste de suas funções e propriedade de governança de dados.
Simplifique políticas e procedimentos de dados
Para responder adequadamente às solicitações de dados relacionadas à privacidade do consumidor, as organizações devem estabelecer procedimentos e políticas padronizadas em todo o ciclo de vida dos dados.
Isso permitirá que as empresas entendam quais dados coletam, usam e compartilham e como essas práticas se relacionam com os consumidores.
Por exemplo, o CCPA, Lei de Privacidade do Consumidor da Califórnia, oferece aos consumidores o direito de optar por não vender suas informações pessoais a terceiros. Se um varejista precisasse atender a essa solicitação, seria necessário responder a perguntas nas seguintes categorias:
Classificação dos dados: Quais elementos de dados pertencentes ao consumidor a empresa possui, como endereço, informações do cartão de crédito ou preferências do produto? A empresa classificou esses dados adequadamente?
Linhagem de dados: onde os dados do cliente se originaram e o que acontece com esses dados ao longo do seu ciclo de vida? Por exemplo, a empresa compartilha apenas os dados do cliente internamente ou os compartilha com fornecedores de marketing e pagamento para facilitar transações ou campanhas publicitárias personalizadas?
Coleta de dados e uso aceitável: Como a empresa atualmente coleta dados do consumidor? A empresa possui o consentimento apropriado do consumidor para coletar e processar seus dados? Se a empresa compartilhar os dados do cliente com partes externas, existem acordos de compartilhamento de dados apropriados com essas partes?
O estabelecimento de políticas e padrões para os itens acima pode ajudar as organizações a determinar rapidamente as ações necessárias para responder às solicitações dos clientes sob os regulamentos de privacidade. As empresas devem comunicar amplamente as políticas e garantir que elas estejam sendo seguidas, pois, se isso não for feito, poderá propagar o uso de modelos e práticas inconsistentes. Em um cliente da Metis Strategy, por exemplo, poucas partes interessadas tinham conhecimento suficiente dos padrões de acesso e gerenciamento de dados, apesar do departamento de TI do cliente ter estabelecido políticas extensivas em torno deles.
Considere as atualizações de tecnologia e infraestrutura
Para implementar com sucesso estruturas de governança de dados e garantir a conformidade com a privacidade, as empresas também podem precisar enfrentar os desafios impostos pela infraestrutura herdada e pela dívida técnica.
Por exemplo, os dados geralmente são armazenados em silos em toda a organização, dificultando a identificação adequada da fonte de quaisquer problemas de privacidade de dados e a pronta resposta aos consumidores ou autoridades reguladoras.
As empresas também precisam avaliar os riscos de segurança e privacidade colocados por serviços de nuvem terceirizados, como data lakes baseados em nuvem. Aqueles que usam vários provedores de nuvem podem querer otimizar seus contratos de compartilhamento de dados para criar consistência entre os fornecedores.
As empresas também podem considerar novas tecnologias de conformidade de privacidade, que podem aprimorar a governança de dados através de maior visibilidade e transparência. As ferramentas de descoberta de dados usam analytics avançadas para identificar elementos de dados que podem ser considerados sensíveis, por exemplo, enquanto as ferramentas de mapeamento de fluxo de dados ajudam as empresas a entender como e para onde os dados se deslocam interna e externamente.
Essas ferramentas podem ser usadas para ajudar as organizações a determinar o nível de proteção necessário para seus elementos de dados mais críticos e facilitar as respostas às solicitações dos consumidores.
Embora as revisões de tecnologia legadas possam ser demoradas e caras, as empresas que são decisivas nesse sentido podem reduzir seus riscos de privacidade e segurança, evitando outros desafios relacionados à dívida técnica.
Criando um modelo adaptável
À medida que o cenário global de privacidade de dados evolui, as organizações devem adaptar continuamente seus modelos de governança de dados. As empresas devem cumprir proativamente suas obrigações projetando funções, processos, políticas e tecnologia de governança de dados com a privacidade em mente, em vez de reagir à legislação atual e futura sobre privacidade.
As empresas que fazem isso podem não apenas melhorar o gerenciamento de riscos e reputação, mas também incentivar maior transparência e tomada de decisão baseada em dados.
Fonte: CIO
Consultoria europeia apoia Memed em práticas avançadas de privacidade de dados
Patricia Peck fala sobre o Dia Internacional da Privacidade de Dados
Privacidade dos dados: desafio para instituições financeiras
Apresente suas soluções e serviços no Crypto ID!
Nosso propósito é atender aos interesses dos nossos leitores, por isso, selecionamos muito bem os artigos e as empresas anunciantes. Conteúdo e anúncios precisam ser relevantes para o mercado da segurança da informação, criptografia e identificação digital. Se sua empresa é parte desse universo, baixe nosso Mídia Kit, escreva pra gente e faça parte do Portal Crypto ID!