A GDPR, certamente, vai mudar o cenário da Governança de
Dados(GD) e de seu relacionamento com os aspectos de segurança e privacidade.
Esses conceitos sempre fizeram parte dos processos de Gestão de dados, conforme
o diagrama do DMBOK e outros frameworks de dados. O que aconteceu
foi que os hackers prestaram um serviço “involuntário” a esses conceitos, antecipando a necessidade
de se trabalhar mais intensamente segurança e consequentemente privacidade,
antes do amadurecimento da GD. Assim, muitas empresas já tem núcleos de
Segurança, mesmo sem ter ainda formalizada a presença da GD nas suas
estruturas. Dessa forma, o casamento entre ambas(GD e Segurança) passará a
compor um foco mais integrado, onde também entrará a figura do CDO, caso haja.
Por exemplo, dentro da Gerência de Segurança temos processos de Gerência de Incidentes de Segurança (vazamentos,
impactos, etc), Gerência de mudanças(via mudanças é que também se introduz
brechas de segurança nos dados), Gerência de Riscos(ação proativa para se
mitigar e contingenciar riscos de dados) e Gerência de Correções(garantir que
se corrigiu corretamente o que deveria ).
Visão
prática do casamento de GD-Governança de dados com a GDPR:
Se analisarmos os principais P´s da GD, conforme temos discutido ao longo
desses últimos anos (ver figura-03), veremos que há vários deles com perfeito
encaixe nos aspectos de GDPR :
Patrocínio:
Esse será o mais fácil deles, pois envolverá aspectos de alto risco de multas e
arranhões na reputação. As multas aplicadas pela UE poderá chegar até a 20
milhões de euros ou 4% do faturamento bruto anual, o que for maior. Assim,
analisadas as condicionantes da empresa e seu encaixe nas premissas da GDPR, o
patrocínio deverá ser obtido com facilidade, pelo tamanho do risco desenhado;
Políticas:
Aqui entrarão as diversas políticas de segurança e privacidade de dados,
algumas já em curso nas empresas. O detalhe é que, deverão ser rigorosamente
observadas em função das penalidades aplicadas para “no-compliance”. Por
exemplo, haverá políticas para definição de consentimento(autorização),políticas
para definir ações de notificação de incidentes de segurança, escolha dos
elementos processadores, etc;
Processos:
Alguns processos novos deverão ser desenvolvidos/revistos com foco nas
exigências da GDPR. Processos de registros de incidentes(tipo ITIL), Processos
de Mudanças com foco em preservação de dados PII(Personal Identifiable
Information), Processos de Riscos, como DPIA-Data Protection Impact Assessment,etc.
Os Processos de negócios também serão analisados visando a identificação dos
PII e como estes serão atualizados,
usados e comporão relatórios, etc . As áreas que são responsáveis pelos
processos e seus dados, apontarão os Owners de dados e potenciais gestores,
sendo que nesse caso, o foco é Privacidade e Segurança. Os Procedimentos são os detalhes , dentro de um Processo específico, podendo
ser fatorado e usado em vários outros;
Padrões:
Padrões sobre dados de PII deverão ser definidos a fim de proporcionar melhor
controle sobre os dados. Padrões sobre criptografias, ou anonimização de dados
serão definidos neste contexto;
Papeis/Pessoas: A
GDPR , por certo, exigirá a definição de gestores de dados de segurança e
privacidade, para os dados mais críticos, dentro do contexto de PII. A criação
de um grupo de gestores envolvidos com segurança e privacidade, com o rótulo de
CPO-Chief Protection Office poderá ser definido como um adendo do CDO,
trabalhando com a área de GD;
Palavras(adaptado
para Comunicação): é uma abordagem fundamental, pois ajuda na divulgação de um
Programa fundamental como este. Envolverá mecanismos de conscientização sobre a
criticidade do GDPR, o envolvimento de todos e o alinhamento com as ações em
desenvolvimento, sempre visando à minimização dos riscos;
Performance:
cuidará de medidas e indicadores sobre os principais processos e sua aplicação
na empresa. Apontará números de incidentes, valores acumulados de multas, problemas
judiciários envolvidos, problemas com processadores, evolução do número de representantes,etc ;
Abordagem
da Governança de Dados:
Os principais passos de uma abordagem de GD em conjunto
com a GDPR são, conforme a figura-04:
1-Levantar e analisar os processos de negócios que tratam
dos dados PII
2-Identificar e catalogar, no Glossário de Negócios, os
dados PII, com detalhamento de ciclo de
vida, envolvendo Processos, Dados, Tipos
de processamentos(criação, modificação, eliminação), regras de retenção, etc
3-Identificar e
catalogar os dados indiretos que, por hipótese, podem sugerir ou levar aos
dados PII
4-Definir uma estratégia de Privacidade e Segurança,
alinhada com a Estratégia de Dados e a de Negócios da empresa. Os aspectos de
Segurança e Privacidade passam a compor uma visão mais alinhada com a
estratégia da organização
5-Definir, baseado nos passos anteriores as áreas
responsáveis(data owners) e gestores para os dados PII e indiretos, atribuindo
“acccountability” e responsabilidade para esses envolvidos
6-Considerar na MDS-Metodologia de Desenvolvimento de
sistemas, seja agile ou tradicional, os aspectos de “Privacy by design”. Isso
significa que as considerações sobre Segurança e Privacidade deverão, agora,
ser tratadas já no nível de projetos de sistemas e não mais a posteriori.
Considerar a possibilidade do uso de técnicas de criptografias, anonimização de
dados,etc, como parte do design
7-Definir o P da Performance, estabelecendo medidas e
indicadores de controle e de “compliance”. Esses indicadores deverão ser
tratados como metadados e armazenados no Glossário/Repositório dos dados
8-Considerar a integração entre Segurança e Privacidade
dos dados com outras dimensões da Gestão de dados como: Qualidade dos dados ,
Gerência de Metadados, Gerência do Ciclo de vida dos dados e Gerência de Risco
de dados. A gerência de Qualidade dos dados assegurará que os dados de PII
estão no nível mais atualizado e precisos. A Gerência de Metadados garantirá
que os dados estão plenamente descritos com todos os seus elementos de
identificação, definição e classificação. A Gerência de ciclo de vida dos dados
garantirá o entendimento dos processos e fluxos de dados, com a percepção de
potenciais transformações aplicadas neles. A Gerência de Risco garantirá que os
dados estarão mantidos na estrita definição da GDPR, com controles sobre
cenários de riscos(probabilidade e impacto), além de aspectos de contingência e de mitigação.
Conclusão:
A entrada em vigor, a partir de 25 de Maio de 2018 da
GDPR, certamente mudará o patamar da Governança de dados, já praticado na
Europa. Nos EUA, onde grande parte de empresas de consultoria de âmbito
internacional estão localizadas, esse exigente
protocolo de Segurança e Privacidade já começou a ser profundamente discutido e
já está na tela de radar das empresas de consultoria em dados. Essa tendência
deverá ser seguida por outros países, que se fortalecem, nesse momento, com o
desenvolvimento de práticas de Gestão de dados, como a China, África do Sul, Austrália
e Nova Zelândia. O Brasil, em função do nosso momento, ainda engatinha nessas
práticas. Empresas brasileiras, com mercado global deverão se preparar para
esse novo momento. No site da União Europeia, há até um “count down” para o dia
em que as empresas deverão estar preparadas. Pense nisso..
Nenhum comentário:
Postar um comentário