Uno de los temas más candentes en gestión de privacidad de datos en 2020 es la automatización, específicamente, el descubrimiento y clasificación automatizados de datos.
A finales de junio de 2020, dos importantes proveedores de software de privacidad de datos anunciaron inversiones o asociaciones en tecnología de descubrimiento de datos: OneTrust adquirió la solución de software de descubrimiento y clasificación de datos, Integris Software, mientras que TrustArc y BigID, una firma de descubrimiento e inteligencia de grandes datos que utiliza aprendizaje automático, anunciaron su asociación oficial. Estos movimientos están dirigidos a fortalecer el descubrimiento y clasificación automáticos de datos para el software de gestión de programas de privacidad.
Los proveedores de privacidad de datos se centran en la automatización
Los anuncios que destacan la funcionalidad de automatización de estos proveedores no fueron sorprendentes tras las noticias de otras empresas de tecnología de privacidad de datos que están apostando fuertemente por la automatización.
En junio de 2020, Ethyca anunció que recaudó 13,5 millones de dólares en financiación de Serie A para continuar mejorando su nueva herramienta automatizada de privacidad de datos de autoservicio. A principios de año, en febrero de 2020, SECURITI.ai fue nombrada la "Startup Más Innovadora" en el prestigioso concurso de innovación RSA Conference Innovation Sandbox por su producto de privacidad impulsado por IA, PRIVACI.ai, que automatiza el cumplimiento de la privacidad de datos utilizando el descubrimiento automático de datos y automatización robótica a través de su producto Auti. Cabe señalar que BigID también ha ganado previamente el premio de 2018 por privacidad y protección de datos personales.
Las empresas aún no están preparadas para la CCPA
¿Por qué las empresas están invirtiendo en el descubrimiento y clasificación automatizados de datos y por qué específicamente ahora? Esto se debe a que un número creciente de empresas está siendo responsabilizado por violaciones de privacidad relacionadas con datos sensibles de usuarios. Anteriormente, muchas grandes empresas solo tenían que preocuparse por procesar adecuadamente los datos de los residentes de la Unión Europea bajo las reglas del Reglamento General de Protección de Datos (GDPR) de la UE que entraron en vigor en 2018. Ahora, muchas de estas empresas también deben lidiar con la privacidad de los datos de los estadounidenses con respecto a la Ley de Privacidad del Consumidor de California (CCPA), la ley de privacidad del consumidor más completa de California, que entró en vigor el 1 de enero de 2020 y se hizo aplicable el 1 de julio de 2020.
La CCPA permite a los residentes de California el derecho a saber qué datos recopila una empresa sobre ellos, el derecho a prohibir la venta de esos datos y el derecho a eliminar los datos, entre otros derechos. En una encuesta realizada en 2019 por la Asociación Internacional de Profesionales de la Privacidad (IAPP) en conjunto con OneTrust, solo aproximadamente la mitad de los encuestados esperaban estar preparados para la CCPA cuando la ley entrara en vigor. En los meses previos al día en que la ley se hizo aplicable, las empresas han estado tratando de cumplir con la ley; es probable que muchas estén luchando por localizar realmente todos los datos en el ámbito después de tratar de comprender la amplitud de los datos que sus empresas retienen.
Descubrimiento de datos manual versus automatizado
¿Cómo proceden las empresas a encontrar datos sensibles en sus sistemas? Actualmente, hay tres formas para que las empresas realicen descubrimiento de datos sensibles: buscando manualmente, automatizando el proceso o una combinación de ambos.
Descubrimiento de datos manual
El método de descubrimiento de datos sensibles manual es un enfoque impulsado por procesos que requiere que los empleados de la empresa, típicamente empleados en el departamento de TI, completen manualmente encuestas o hojas de cálculo indicando dónde se almacenan los datos sensibles.
Este proceso puede ser tedioso y laborioso, por lo que algunos proveedores de software de gestión de privacidad de datos ofrecen plantillas de encuestas preconstruidas y herramientas de gestión de flujos de trabajo para administrar esta ardua tarea. Un problema con este método es que los resultados se desactualizan rápidamente; los resultados siguen siendo verdaderos y relevantes solo hasta la fecha en que se completaron estas encuestas. El error humano, la incompletitud debido al conocimiento fragmentado del panorama de datos, incluyendo qué terceros utilizan los datos, y otros problemas pueden afectar la integridad de este proceso también.
Descubrimiento de datos automatizado
El descubrimiento automatizado de datos sensibles es un enfoque impulsado por la tecnología que se conecta a las bases de datos, aplicaciones y otros repositorios de datos de una empresa para buscar, identificar y clasificar automáticamente los datos sensibles.
Una desventaja de este método serían los almacenes de datos que no se conectan fácilmente a esta herramienta, como repositorios de datos no estándar o heredados. Algunos proveedores superan esta limitación construyendo APIs personalizadas para conectarse a las aplicaciones heredadas de una empresa. El beneficio es que una vez que se establecen estas conexiones, los resultados del descubrimiento automático de datos deberían estar siempre actualizados, ser dinámicos y fácilmente capaces de automatizar el proceso de solicitud de acceso del sujeto de datos para acceso, eliminación o portabilidad. Muchas de estas herramientas pueden encontrar tanto datos estructurados como no estructurados, así como buscar en múltiples formatos de archivo.
Lo más realista es que una empresa emplearía una combinación de soluciones impulsadas por procesos y por tecnología para obtener una comprensión precisa de dónde residen los datos sensibles.
| Leer más: Una Guía Completa para la Gestión de Privacidad de Datos → |
Descubrimiento de datos automatizado para ayudar con la verificación de identidad de la CCPA
Otra razón por la que muchas empresas pueden considerar usar el descubrimiento automatizado de datos es para ayudar con su proceso de verificación de identidad antes de responder a una solicitud de acceso del sujeto de datos o solicitud del consumidor para acceder, portar o eliminar sus datos personales. Actualmente, muchas empresas utilizan herramientas de verificación de identidad de terceros para autenticar la identidad de un usuario, pero una enmienda más reciente al Artículo 4 de la CCPA sugiere que las empresas pueden usar sus propios datos para validar la identidad del usuario.
“Siempre que sea factible, haga coincidir la información de identificación proporcionada por el consumidor con la información personal del consumidor ya mantenida por la empresa, o use un servicio de verificación de identidad de terceros que cumpla con esta sección.” - CCPA, Artículo 4. Verificación de Solicitud, 999.323. B.1
El panorama del descubrimiento de datos manual versus automatizado
En marzo de 2020, queríamos ver qué empresas ofrecían descubrimiento automático de datos, descubrimiento manual de datos o aquellas que no especificaban. Cabe señalar que algunos productos ofrecen ambas funcionalidades de descubrimiento de datos manual y automatizado.
De los 57 productos que habíamos listado en la categoría de software de gestión de privacidad de datos en marzo de 2020, solo 19 productos ofrecían explícitamente descubrimiento automático de datos. Cuando revisamos la lista de productos de gestión de privacidad de datos en julio de 2020, habíamos agregado 10 productos de software más para un total de 67 soluciones de software de gestión de privacidad de datos en el sitio de G2. De esos 67 productos, 27 ahora ofrecen descubrimiento automático de datos.
Para ayudar a los compradores de software de gestión de privacidad de datos a determinar qué software sería mejor para ellos, ofreciendo descubrimiento de datos manual o automatizado, agregaremos una casilla de atributos a esa categoría que muestre qué productos ofrecen qué funcionalidad. Este atributo de descubrimiento de datos se hará visible una vez que la categoría tenga seis productos en el G2 Grid y cada uno de esos seis productos tenga 10 o más reseñas para software de gestión de privacidad de datos, según la metodología de puntuación de G2 Grid.
Conclusión: la automatización llegó para quedarse
Para las empresas cuyos modelos de negocio dependen de utilizar datos sensibles de consumidores, agregar herramientas de descubrimiento automático de datos para encontrar sus datos sensibles sería una adición bienvenida a su mezcla actual de SaaS, en lugar de sobrecargar a sus profesionales de la información con encuestas manuales y otras solicitudes impulsadas por procesos. Dada la cantidad de inversiones en descubrimiento y clasificación automatizados de datos, junto con el mapeo automatizado de datos que hemos visto en 2020 hasta ahora, creemos a largo plazo que el descubrimiento automatizado es el camino del futuro.
¿Quieres aprender más sobre Software de Gestión de Privacidad de Datos? Explora los productos de Gestión de la Privacidad de Datos.
Merry Marwig, CIPP/US
Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.
