Aproximando-se do novo Regulamento Geral de Proteção de Dados (GDPR), em vigor a partir de maio de 2018, as empresas sediadas na Europa ou que possuem dados pessoais de pessoas residentes na Europa, estão lutando para encontrar seus ativos mais valiosos na organização – seus dados confidenciais.
O novo regulamento exige que as organizações evitem qualquer violação de dados de informações de identificação pessoal (PII) e excluam quaisquer dados se algum indivíduo solicitar. Depois de remover todos os dados PII, as empresas precisarão provar que foram totalmente removidos para essa pessoa e para as autoridades.
A maioria das empresas hoje entende sua obrigação de demonstrar responsabilidade e conformidade e, portanto, começou a se preparar para a nova regulamentação.
Há tantas informações por aí sobre maneiras de proteger seus dados confidenciais, tanto que você pode ficar sobrecarregado e começar a apontar em direções diferentes, na esperança de atingir o alvo com precisão. Se você planejar sua governança de dados com antecedência, ainda poderá cumprir o prazo e evitar penalidades.
Algumas organizações, principalmente bancos, seguradoras e fabricantes, possuem uma enorme quantidade de dados, pois estão produzindo dados em ritmo acelerado, alterando, salvando e compartilhando arquivos, criando assim terabytes e até petabytes de dados. A dificuldade para esse tipo de empresa é encontrar seus dados confidenciais em milhões de arquivos, em dados estruturados e não estruturados, o que infelizmente na maioria dos casos é uma missão impossível de se fazer.
Os seguintes dados de identificação pessoal são classificados como PII de acordo com a definição usada pelo Instituto Nacional de Padrões e Tecnologia (NIST):
o Nome completo
o Endereço residencial
o Endereço de e-mail
o Número de identificação nacional
o Número do passaporte
o Endereço IP (quando vinculado, mas não PII por si só nos EUA)
o Número da placa de matrícula do veículo
o Número da carteira de motorista
o Rosto, impressões digitais ou caligrafia
o Números de cartão de crédito
o Identidade digital
o Data de nascimento
o Local de nascimento
o Informação genética
o Número de telefone
o Nome de login, nome de tela, apelido ou identificador
A maioria das organizações que possuem PII de cidadãos europeus exige a detecção e proteção contra qualquer violação de dados PII e a exclusão de PII (muitas vezes referida como o direito de ser esquecido) dos dados da empresa. O Jornal Oficial da União Europeia: Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 declarou:
“As autoridades de controlo devem controlar a aplicação das disposições do presente regulamento e contribuir para a sua aplicação coerente em toda a União, a fim de proteger as pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais e facilitar a livre circulação de dados pessoais no território o mercado interno”.
Para permitir que as empresas que possuem PII de cidadãos europeus facilitem o livre fluxo de PII no mercado europeu, elas precisam ser capazes de identificar seus dados e categorizá-los de acordo com o nível de sensibilidade de sua política organizacional.
Eles definem o fluxo de dados e os desafios do mercado da seguinte forma:
“Os rápidos desenvolvimentos tecnológicos e a globalização trouxeram novos desafios para a proteção de dados pessoais. A escala da coleta e compartilhamento de dados pessoais aumentou significativamente. A tecnologia permite que empresas privadas e autoridades públicas façam uso de dados pessoais em uma escala sem precedentes em para o exercício das suas atividades. As pessoas singulares disponibilizam cada vez mais informações pessoais ao público e a nível mundial. A tecnologia transformou tanto a economia como a vida social e deverá facilitar ainda mais a livre circulação de dados pessoais na União e a transferência para países terceiros e organizações internacionais, garantindo um alto nível de proteção de dados pessoais.”
Fase 1 – Detecção de Dados
Assim, o primeiro passo que precisa ser dado é criar uma linhagem de dados que permita entender onde seus dados PII são lançados na organização e ajudará os tomadores de decisão a detectar tipos específicos de dados. A UE recomenda a obtenção de uma tecnologia automatizada que possa lidar com grandes quantidades de dados, digitalizando-os automaticamente. Não importa o tamanho de sua equipe, este não é um projeto que pode ser tratado manualmente ao enfrentar milhões de diferentes tipos de arquivos ocultos em várias áreas: na nuvem, storages e desktops locais.
A principal preocupação para esses tipos de organizações é que, se não conseguirem evitar violações de dados, não estarão em conformidade com o novo regulamento GDPR da UE e poderão enfrentar penalidades pesadas.
Eles precisam nomear funcionários específicos que serão responsáveis por todo o processo, como um Data Protection Officer (DPO) que lida principalmente com as soluções tecnológicas, um Chief Information Governance Officer (CIGO), geralmente é um advogado responsável pelo compliance, e/ou um Compliance Risk Officer (CRO). Essa pessoa precisa ser capaz de controlar todo o processo de ponta a ponta, e ser capaz de fornecer total transparência à gestão e às autoridades.
“O responsável pelo tratamento deve ter em especial consideração a natureza dos dados pessoais, a finalidade e a duração da operação ou operações de tratamento propostas, bem como a situação no país de origem, no país terceiro e no país de destino final, e deve fornecer garantias adequadas para proteger os direitos e liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais.”
Os dados PII podem ser encontrados em todos os tipos de arquivos, não apenas em PDFs e documentos de texto, mas também em documentos de imagem – por exemplo, um cheque digitalizado, um arquivo CAD/CAM que pode conter o IP de um produto, um esboço confidencial, código ou arquivo binário etc.’. As tecnologias comuns hoje podem extrair dados de arquivos, o que torna os dados ocultos em texto fáceis de serem encontrados, mas o restante dos arquivos que, em algumas organizações, como manufatura, pode possuir a maioria dos dados confidenciais em arquivos de imagem. Esses tipos de arquivos não podem ser detectados com precisão e, sem a tecnologia certa que seja capaz de detectar dados PII em outros formatos de arquivo além do texto, pode-se facilmente perder essas informações importantes e causar danos substanciais à organização.
Fase 2 – Categorização de dados
Essa etapa consiste em ações de mineração de dados nos bastidores, criadas por um sistema automatizado. O DPO/controlador ou o tomador de decisões de segurança da informação precisa decidir se deve rastrear determinados dados, bloquear os dados ou enviar alertas de uma violação de dados. Para realizar essas ações, ele precisa visualizar seus dados em categorias separadas.
A categorização de dados estruturados e não estruturados requer a identificação completa dos dados, mantendo a escalabilidade – escaneando efetivamente todo o banco de dados sem “ferver o oceano”.
O DPO também é necessário para manter a visibilidade dos dados em várias fontes e apresentar rapidamente todos os arquivos relacionados a uma determinada pessoa de acordo com entidades específicas, como: nome, DOB, número do cartão de crédito, CPF, telefone, endereço de e-mail etc.
Em caso de violação de dados, o DPO deverá reportar diretamente ao mais alto nível de gerenciamento do controlador ou processador, ou ao responsável pela segurança da informação, que será responsável por relatar essa violação às autoridades competentes.
O artigo 33º do RGPD da UE exige a comunicação desta violação às autoridades no prazo de 72 horas.
Uma vez que o DPO identifica os dados, o próximo passo deve ser rotular/marcar os arquivos de acordo com o nível de sensibilidade definido pela organização.
Como parte do cumprimento da conformidade regulatória, os arquivos da organização precisam ser marcados com precisão para que possam ser rastreados no local e até mesmo quando compartilhados fora da organização.
Fase 3 – Conhecimento
Depois que os dados são marcados, você pode mapear informações pessoais em redes e sistemas, estruturados e não estruturados, e podem ser facilmente rastreados, permitindo que as organizações protejam seus dados confidenciais e permitam que seus usuários finais usem e compartilhem arquivos com segurança, aumentando assim a perda de dados prevenção.
Outro aspecto que precisa ser considerado é proteger informações confidenciais de ameaças internas – funcionários que tentam roubar dados confidenciais, como cartões de crédito, listas de contatos etc. ou manipular os dados para obter algum benefício. Esses tipos de ações são difíceis de detectar a tempo sem um rastreamento automatizado.
Essas tarefas demoradas se aplicam à maioria das organizações, levando-as a buscar maneiras eficientes de obter insights de seus dados corporativos para que possam basear suas decisões.
A capacidade de analisar padrões de dados intrínsecos ajuda a organização a ter uma visão melhor de seus dados corporativos e a apontar ameaças específicas.
A integração de uma tecnologia de criptografia permite que o controlador rastreie e monitore efetivamente os dados e, ao implementar o sistema interno de segregação física, ele pode criar uma delimitação geográfica de dados por meio de definições de segregação de dados pessoais, geolocalizações/domínios cruzados e relatórios sobre violação de compartilhamento quando essa regra violar . Usando essa combinação de tecnologias, o controlador pode permitir que os funcionários enviem mensagens com segurança em toda a organização, entre os departamentos certos e fora da organização, sem serem excessivamente bloqueados.
Fase 4 – Inteligência Artificial (IA)
Depois de escanear os dados, rotulá-los e rastreá-los, um valor maior para a organização é a capacidade de rastrear automaticamente o comportamento atípico de dados confidenciais e acionar medidas de proteção para evitar que esses eventos evoluam para um incidente de violação de dados. Essa tecnologia avançada é conhecida como “Inteligência Artificial” (IA). Aqui, a função de IA geralmente é composta por um forte componente de reconhecimento de padrões e mecanismo de aprendizado para permitir que a máquina tome essas decisões ou pelo menos recomende o responsável pela proteção de dados sobre o curso de ação preferido. Essa inteligência é medida por sua capacidade de obter mais sabedoria a partir de cada varredura e entrada do usuário ou alterações na cartografia de dados. Eventualmente, a função de IA cria a pegada digital das organizações que se torna a camada essencial entre os dados brutos e os fluxos de negócios em torno da proteção de dados, conformidade e gerenciamento de dados.
