A automação das tarefas do DPO

Publicado em por

Os oficiais de proteção de dados (DPOs) estão enfrentando dificuldades crescentes ao executar tarefas manualmente para cumprir as normas de privacidade de dados. Coletar informações sobre atividades de processamento de dados pessoais em uma grande empresa pode levar vários meses. Muitas vezes há uma grande quantidade de informações, e é impossível ver tudo de uma vez (por exemplo, registros de atividades de processamento). Arquivos podem se perder e arquivos grandes podem permanecer em aberto por um longo tempo. É difícil manter as informações atualizadas. E há falta de visualização e informações explicativas. No entanto, identificar quais tarefas podem ser automatizadas pode permitir que os DPOs prestem mais atenção ao alinhamento de sua estratégia de privacidade de dados para apoiar os objetivos de sua organização.

Tarefas de um DPO

O DPO garante que as atividades de processamento de dados pessoais cumpram a legislação aplicável no campo dos dados pessoais. Eles também devem entender todos os processos de negócios da organização e implementar a privacidade por meio do projeto e princípios padrão em todas as atividades de processamento de dados pessoais. As tarefas do DPO estão descritas de maneira semelhante entre as diversas legislações de privacidade de dados pelo mundo. De acordo com a Associação Internacional de Profissionais de Privacidade (IAPP) Consultando o Relatório de Governança de Privacidade 2022 um DPO realiza funções como:

  • Conclusão do inventário e mapeamento de dados
  • Realizando uma avaliação de impacto de privacidade (PIA) ou
    avaliação de impacto de proteção de dados (DPIA)
  • Garantir o cumprimento das leis de dados pessoais no que diz
    respeito à gestão de fornecedores relacionados à privacidade
  • Abordando questões de privacidade com produtos e serviços
    existentes
  • Assegurando a transferência adequada de dados transfronteiriços
  • Desenvolvimento de políticas de privacidade, procedimentos e
    medidas de governança
  • Processamento de solicitações de acesso a objetos de dados (DSARs)
  • Condução de conscientização e treinamento relacionados à
    privacidade

Realizar todas essas tarefas manualmente pode ser um processo demorado, especialmente se o DPO está trabalhando para uma grande organização com subsidiárias em todo o mundo.

Resultado da pesquisa

Foram realizadas pesquisas em que foram entrevistados 10 DPOs de grandes organizações internacionais sobre o tema automação. Eles relataram que:

  • Não há compreensão de todas as atividades de processamento de dados
    pessoais que ocorrem em suas respectivas organizações.
  • Não é possível visualizar as atividades de processamento de dados
    pessoais e ter um mapa geral dos fluxos de dados na organização.
  • Não há controle completo das atualizações do sistema e de terceiros
    envolvidos no processamento de dados pessoais.
  • Há muitas perguntas (relacionadas ao processamento de dados
    pessoais) de departamentos internos e há dificuldades com o gerenciamento
    dessas questões.

Os DPOs entrevistados também afirmaram quais de suas tarefas foram as mais críticas para automatizar. A figura 1 mostra suas respostas.

Figura 1 - Funções do DPO para Automatizar

As respostas mostram que as funções mais importantes para automatizar são manutenção de registros de atividades de processamento (RoPA), gestão de terceiros, implementação de avaliações de risco e visualização de fluxos de dados na organização.

Ao escolher uma solução, os DPOs observaram que eles provavelmente eram os que deveriam prestar atenção:

  • A disponibilidade de um inventário de dados pessoais
  • Fontes de dados disponíveis para integração (se a detecção de dados
    estiver disponível)
  • Mapeamento de fluxo de dados
  • Idioma
  • Tipo de instalação (nuvem/no local)
  • Preço
  • Tempo na instalação

Os DPOs também foram questionados sobre qual idioma e tipo de instalação preferem e essas respostas são mostradas na figura 2.

Figura 2 - Critérios preferenciais para DPOs

Pode-se notar que a maioria dos DPOs prefere ter uma solução para a linguagem local e a instalação local. Isso é comum quando as organizações não usam serviços em nuvem ou não têm planos de se mover para a nuvem.

Depois de identificar quais tarefas se beneficiariam da automação, os DPOs podem então determinar quais soluções disponíveis no mercado seriam benéficas para sua organização.

Ferramentas de Privacidade no Mercado

O IAPP preparou o Relatório de Fornecedores de Tecnologia de Privacidade de 2021 identificando 355 fornecedores de privacidade. 3 Dadas tantas opções, os DPOs podem ter dificuldade em entender o que deve ou não ser considerado ao escolher qual fornecedor e ferramenta de automação. Figura 3 mostra como os fornecedores se comparam de acordo com as tarefas mais importantes de um DPO.

Figura 3 - Ferramentas para automatizar funções DPO

Estoque de dados, mapeamento de dados, avaliação de riscos e funções de gestão de terceiros estão disponíveis na maioria das ferramentas apresentadas no mercado.

No entanto, não basta apenas conhecer os principais fornecedores de gerenciamento de software de privacidade e suas ferramentas. Os critérios apropriados devem ser levados em consideração ao procurar uma solução adequada, dependendo das necessidades da organização. Os resultados da comparação podem ser vistos na figura 4.

Figura 4 - Visão geral das ferramentas de privacidade

Todas essas informações foram retiradas de sites de fornecedores, demonstrações e comunicações com fornecedores. A Figura 4 indica que algumas soluções possuem suporte multilinguagem. No entanto, é melhor pedir a um fornecedor um idioma específico se for necessário. A instalação no local só é fornecida pela OneTrust e Dataguise. Uma vez que todos esses fornecedores fornecem soluções baseadas em nuvem, eles geralmente são pagos por assinatura. Os preços exatos são determinados caso a caso.

Escolhendo uma solução

Ao escolher uma solução, é importante que o DPO verifique:

  • Se a detecção de dados é necessária
  • O suporte dos sistemas de uma organização como fontes de dados
  • Se a quantidade de informações coletadas obedecerá às leis de privacidade da LGPD4 ou as outras que sejam relevantes
  • A disponibilidade do tipo de instalação necessária para a organização (baseada em nuvem/on-premise) e medidas de segurança
  • Idiomas disponíveis
  • Funções de visualização de fluxo de dados
  • A disponibilidade de outros módulos que podem ser necessários no futuro

Também é importante pensar no acesso e nos direitos do usuário em relação às ferramentas de automação de privacidade. É útil para os DPOs ter contas com acesso total a todas as atividades de processamento de dados pessoais nas organizações enquanto para representantes de diferentes departamentos empresariais que são responsáveis por supervisionar o processamento para ter contas com acesso apenas aos seus processos. Uma vez escolhida uma solução, o DPO deve convencer a gestão de que vale a pena.

As vantagens de utilizar uma solução de automação devem ser comunicadas à gestão para justificar o custo. As vantagens incluem:

  • Entendendo os fluxos de dados
  • Reduzindo o risco de erro humano
  • Aumentando a velocidade das operações reduzindo o trabalho manual
  • Controle do risco de descumprimento dos requisitos da legislação de
    dados pessoais aplicáveis
  • Garantir o controle de sistemas de informação e terceiros
    envolvidos no processamento de dados pessoais por inventário de dados e
    avaliação de riscos
  • Respondendo às solicitações dos sujeitos de dados em tempo hábil
  • Ser capaz de responder rapidamente às mudanças nos processos de
    negócios
  • Recebimento de informações atualizadas sobre dados pessoais
    processados por meio da integração com a infraestrutura de TI
  • Ter uma interface fácil de usar para visualização e geração de
    relatórios e métricas sobre a eficácia da função de privacidade

Conclusão

Há claras dificuldades em manter o cumprimento das normas de privacidade de dados. Algumas das dificuldades vêm das ferramentas manuais que os DPOs usam para construir processos, manter os processos atualizados, responder às solicitações dos sujeitos de dados e controlar mudanças. No entanto, identificar quais tarefas de DPO poderiam ser automatizadas permite que os DPOs prestem mais atenção às áreas críticas e alinhem seus mapas de estrada de proteção de dados com a estratégia da organização. Existem uma série de provedores de software de gerenciamento de privacidade e ferramentas de privacidade que podem ajudar os DPOs na implementação da automação. Entender os critérios para selecionar softwares adequados para apoiar a criação e manutenção de processos de privacidade de dados é crucial para construir uma infraestrutura de privacidade.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *