Um dos tópicos mais quentes em gestão de privacidade de dados em 2020 é a automação — especificamente, a descoberta e classificação automatizada de dados.

No final de junho de 2020, dois grandes fornecedores de software de privacidade de dados anunciaram investimentos ou parcerias em tecnologia de descoberta de dados: OneTrust adquiriu a solução de software de descoberta e classificação de dados, Integris Software, enquanto TrustArc e BigID, uma empresa de descoberta e inteligência de grandes dados que utiliza aprendizado de máquina, anunciaram sua parceria oficial. Esses movimentos visam reforçar a descoberta e classificação automática de dados para software de gestão de programas de privacidade.

Fornecedores de privacidade de dados focam na automação

Os anúncios destacando a funcionalidade de automação desses fornecedores não foram surpreendentes após notícias de outras empresas de tecnologia de privacidade de dados fazendo grandes apostas na automação.

Em junho de 2020, Ethyca anunciou que levantou US$ 13,5 milhões em financiamento Série A para continuar a melhorar sua nova ferramenta de privacidade de dados automatizada de autoatendimento. No início do ano, em fevereiro de 2020, SECURITI.ai foi nomeada a "Startup Mais Inovadora" no renomado concurso de inovação RSA Conference Innovation Sandbox por seu produto de privacidade alimentado por IA, PRIVACI.ai, que automatiza a conformidade de privacidade de dados usando descoberta automática de dados e automação robótica através de seu produto Auti. Deve-se notar que BigID também já ganhou o prêmio de 2018 para proteção de privacidade e dados pessoais.

Empresas ainda não estão preparadas para o CCPA

Por que as empresas estão investindo em descoberta e classificação automatizada de dados e por que especificamente agora? Isso ocorre porque um número crescente de empresas está sendo responsabilizado por violações de privacidade relacionadas a dados sensíveis de usuários. Anteriormente, muitas grandes empresas só precisavam se preocupar em processar adequadamente os dados de residentes da União Europeia sob as regras do Regulamento Geral sobre a Proteção de Dados (GDPR) da UE, que entrou em vigor em 2018. Agora, muitas dessas empresas também devem lidar com a privacidade de dados dos americanos em relação à Lei de Privacidade do Consumidor da Califórnia (CCPA), a lei de privacidade do consumidor mais abrangente da Califórnia, que entrou em vigor em 1º de janeiro de 2020 e se tornou aplicável em 1º de julho de 2020.

O CCPA permite que os residentes da Califórnia tenham o direito de saber quais dados uma empresa coleta sobre eles, o direito de proibir a venda desses dados e o direito de excluir os dados, entre outros direitos. Em uma pesquisa conduzida em 2019 pela International Association of Privacy Professionals (IAPP) em conjunto com OneTrust, apenas cerca de metade dos entrevistados esperava estar pronta para o CCPA quando a lei entrou em vigor. Nos meses que antecederam o dia em que a lei se tornou aplicável, as empresas têm tentado se tornar compatíveis com a lei; é provável que muitas estejam se esforçando para localizar todos os dados em escopo após tentar compreender a amplitude dos dados que suas empresas retêm.

Descoberta de dados manual versus automatizada

Como as empresas encontram dados sensíveis em seus sistemas? Atualmente, existem três maneiras para as empresas realizarem descoberta de dados sensíveis — procurando manualmente, automatizando o processo ou uma combinação de ambos.

Esse processo pode ser tanto tedioso quanto trabalhoso, então alguns fornecedores de software de gestão de privacidade de dados oferecem modelos de pesquisa pré-construídos e ferramentas de fluxo de trabalho para administrar essa tarefa árdua. Um problema com esse método é que os resultados rapidamente ficam desatualizados; os resultados permanecem verdadeiros e relevantes apenas até a data em que essas pesquisas foram concluídas. Erro humano, incompletude devido ao conhecimento fragmentado do panorama de dados, incluindo quais terceiros usam os dados, e outros problemas podem impactar a integridade desse processo também.

Uma desvantagem desse método seria os armazenamentos de dados que não são facilmente conectados a essa ferramenta, como repositórios de dados não padronizados ou legados. Alguns fornecedores superam essa limitação construindo APIs personalizadas para se conectar aos aplicativos legados de uma empresa. O benefício é que, uma vez que essas conexões são configuradas, os resultados da descoberta automática de dados devem estar sempre atualizados, dinâmicos e facilmente capazes de automatizar o processo de solicitação de acesso do titular dos dados para acesso, exclusão ou portabilidade. Muitas dessas ferramentas podem encontrar tanto dados estruturados quanto não estruturados, bem como pesquisar em vários formatos de arquivo.

Mais realisticamente, uma empresa empregaria uma combinação de soluções orientadas por processos e orientadas por tecnologia para obter uma compreensão precisa de onde os dados sensíveis residem.

Descoberta de dados automatizada para ajudar na verificação de identidade do CCPA

Outra razão pela qual muitas empresas podem considerar o uso de descoberta de dados automatizada é para auxiliar no processo de verificação de identidade antes de responder a uma solicitação de acesso do titular dos dados ou solicitação do consumidor para acessar, portar ou excluir seus dados pessoais. Atualmente, muitas empresas usam ferramentas de verificação de identidade de terceiros para autenticar a identidade de um usuário, mas uma emenda mais recente ao Artigo 4 do CCPA sugere que as empresas podem usar seus próprios dados para validar a identidade do usuário.

“Sempre que viável, combine as informações de identificação fornecidas pelo consumidor com as informações pessoais do consumidor já mantidas pela empresa, ou use um serviço de verificação de identidade de terceiros que cumpra esta seção.” - CCPA, Artigo 4. Verificação de Solicitação, 999.323. B.1

O panorama da descoberta de dados manual versus automatizada

Em março de 2020, queríamos ver quais empresas estavam oferecendo descoberta automática de dados, descoberta manual de dados ou aquelas que não especificavam. Deve-se notar que alguns produtos oferecem ambas as funcionalidades de descoberta de dados manual e automatizada.

Dos 57 produtos que listamos na categoria de software de gestão de privacidade de dados em março de 2020, apenas 19 produtos ofereciam explicitamente descoberta automática de dados. Quando revisitamos a lista de produtos de Gestão de Privacidade de Dados em julho de 2020, adicionamos mais 10 produtos de software para um total de 67 soluções de software de gestão de privacidade de dados no site da G2. Desses 67 produtos, 27 agora oferecem descoberta automática de dados.

Para ajudar os compradores de software de gestão de privacidade de dados a determinar qual software seria melhor para eles — oferecendo descoberta de dados manual ou automatizada — adicionaremos uma caixa de seleção de atributos a essa categoria mostrando quais produtos oferecem qual funcionalidade. Esse atributo de descoberta de dados se tornará visível assim que a categoria tiver seis produtos no G2 Grid e cada um desses seis produtos tiver 10 ou mais avaliações para software de gestão de privacidade de dados, conforme a metodologia de pontuação do Grid da G2.

Conclusão: a automação veio para ficar

Para empresas cujos modelos de negócios dependem da utilização de dados sensíveis de consumidores, adicionar ferramentas de descoberta de dados automatizadas para encontrar seus dados sensíveis seria uma adição bem-vinda à sua mistura atual de SaaS, em vez de sobrecarregar seus profissionais de informação com pesquisas manuais e outras solicitações orientadas por processos. Dado o número de investimentos em descoberta e classificação automatizada de dados, juntamente com mapeamento de dados automatizado que vimos em 2020 até agora, acreditamos que a descoberta automatizada é o caminho do futuro a longo prazo.