0
0
Nesta entrevista do Help Net Security, Evelyn de Souza, Chefe de Conformidade de Privacidade, Oracle SaaS Cloud , fala sobre os esforços constantes necessários para acompanhar as leis de privacidade em cada país e garantir a conformidade em toda a organização.
Ela também discute os principais desafios na implementação de políticas de privacidade consistentes em vários departamentos e regiões e como enfrentá-los.
As opiniões e ideias expressas no conteúdo são exclusivamente do autor e não de qualquer empresa afiliada.
O cenário da privacidade de dados é complicado e está em constante evolução, especialmente para empresas que operam em vários países. Como você acompanha as leis de privacidade de cada país e garante a conformidade em toda a organização?
Acompanhar as leis de privacidade de cada país é um esforço constante. Felizmente, existem recursos como os rastreadores de regulamentação do IAPP que podem aliviar esse fardo. Embora muitas das regulamentações de privacidade atuais possam ter um sabor “GDPR”, as diferenças entre as regulamentações estão se tornando cada vez mais sutis, por exemplo, uma regulamentação de privacidade estadual dos EUA exige uma aceitação, outra se concentra em opt-outs. O que constitui dados sensíveis sob um regulamento de privacidade pode não o ser sob outro.
Apesar destas nuances, sempre que possível recomendo mapear para um quadro harmonizado para os artigos e controlos comuns, pois isso pode minimizar esforços duplicados e, em seguida, como um segundo passo, considerar as diferenças na regulamentação no seu quadro de privacidade.
Quais são os principais desafios na implementação de políticas de privacidade consistentes em vários departamentos e regiões? Como você enfrenta esses desafios?
A implementação de políticas de privacidade consistentes em vários departamentos e regiões pode ser um desafio, especialmente para organizações mais pequenas que podem não ter os recursos para acompanhar a crescente manta de retalhos de regulamentações de privacidade e a cadência por vezes imprevisível de atualizações regulamentares.
Além de estabelecer uma estrutura de privacidade robusta, de acordo com a resposta à pergunta anterior, que ajuda a garantir uma abordagem mais consistente, outra forma de enfrentar o desafio é pensar nos principais contextos e casos de uso em toda a sua organização. Ao escrever políticas de privacidade em linguagem simples para que as partes interessadas possam digeri-las facilmente e adaptá-las aos casos de uso específicos que podem ser aplicados nos vários departamentos da sua organização, ajuda as políticas de privacidade a se tornarem mais relacionáveis e memoráveis.
Considerando os recentes apelos por uma regulamentação de proteção de dados mais rigorosa, quão eficaz você acha que a autorregulação corporativa tem sido na proteção dos dados dos clientes?
Vejo prós e contras da autorregulação. A autorregulação pode ser eficaz ao permitir que as organizações adotem padrões de privacidade que combinem bem com a sua postura ética geral e que envolvam diversas partes interessadas para chegar a uma postura de privacidade equilibrada. Também pode encorajar a concorrência amigável entre organizações que procuram aproveitar isto como um diferenciador da marca.
Por outro lado, a autorregulação pode produzir inconsistência. Sem o endosso explícito de um governo ou de uma agência reguladora, poderá haver “incerteza regulamentar” e isso poderá fazer com que algumas organizações atrasem os seus investimentos na privacidade.
A ideia de “menos é mais” parece importante na recolha de dados. Como você determina quais dados são essenciais para análises e objetivos de negócios?
Determinar quais dados são essenciais para análises e objetivos de negócios realmente depende dos objetivos da organização e da iniciativa. Comece definindo seus objetivos e indicadores de desempenho e, em seguida, identifique as fontes de dados e os pontos de dados que mapeiam diretamente esses objetivos e indicadores de desempenho.
Do ponto de vista da iniciativa, diferentes iniciativas requerem diferentes conjuntos de dados. Por exemplo, dados de pesquisas de mercado, relatórios do setor e análises de concorrentes podem fornecer insights sobre tendências de comportamento do consumidor, enquanto avaliações e pesquisas de clientes podem ser necessárias para iniciativas que envolvam a satisfação do cliente.
Revise regularmente seus requisitos de dados para garantir que suas iniciativas permaneçam alinhadas com as metas, objetivos e indicadores de desempenho do negócio.
Como você equilibra a necessidade de análise robusta de dados e personalização do cliente com as responsabilidades éticas e legais da privacidade dos dados?
Algumas das estratégias para equilibrar a necessidade de análise de dados personalizada com as responsabilidades éticas e legais de privacidade de dados incluem:
- Minimização de dados: De acordo com a resposta anterior, evite coletar dados excessivos que possam representar um risco à privacidade e colete e utilize apenas aqueles que sejam específicos ao objetivo do negócio.
- Transparência: Seja transparente em suas políticas sobre o que é coletado, como é coletado e como será usado. Garanta o consentimento explícito de seus usuários finais.
- Forte governança de dados: Garanta uma forte supervisão não apenas em áreas como segurança de dados, mas também privacidade desde a concepção, educação do cliente , auditorias e análises para permitir que a postura de privacidade de dados evolua constantemente.
O equilíbrio entre análise de clientes e privacidade é delicado e requer um compromisso contínuo para promover uma cultura de privacidade e respeito pelos dados e pelos usuários finais em sua organização.
Com o desenvolvimento da IA e das tecnologias de aprendizagem automática, quais são os desafios e oportunidades futuras para a conformidade com a privacidade?
À medida que a IA e as tecnologias de aprendizagem automática continuam a evoluir, os desafios incluem questões éticas, considerações, preconceitos e conformidade legal, para citar alguns, mas as oportunidades também são significativas. A IA pode ser usada para melhorar a proteção de dados, como previsão de anomalias e ameaças, para reduzir potencialmente a chance de violações de dados. Ele pode ser usado para automatizar alguns aspectos da conformidade e dos relatórios de conformidade.
Além disso, técnicas como privacidade diferencial e computação multipartidária segura poderiam ser aplicadas em algumas áreas para aumentar a privacidade.
Existem tecnologias emergentes que revolucionarão a forma como abordamos a privacidade e a conformidade de dados?
Existem várias tecnologias emergentes que têm o potencial de melhorar a segurança, a transparência e o controlo dos dados pessoais.
Dois que vêm à mente, mas que apresentam desafios, são:
- Criptografia homomórfica: Esta tecnologia pode possibilitar a realização de análises em dados criptografados sem expor informações confidenciais.
- Tecnologia Blockchain e livro-razão distribuído: poderia ser usada para melhorar a integridade dos dados, gerenciar o consentimento e gerenciar trilhas de auditoria para conformidade com a privacidade.
Estas não são as únicas tecnologias e é essencial considerar as necessidades específicas e os requisitos regulamentares da sua organização ao adotar tecnologias emergentes para garantir que estejam alinhadas com os seus objetivos de privacidade e conformidade.
FONTE: HELP NET SECURITY