No 5º Aniversário do GDPR, a Segurança de Dados Baseada em IA Oferece um Caminho para a Conformidade

Existe alguma lei de privacidade que tenha criado mais conscientização sobre privacidade de dados do que o GDPR? O Regulamento Geral de Proteção de Dados se aplica a todos os estados-membros da União Europeia (UE). Seu objetivo é estabelecer um alto padrão de proteção de dados e fornecer um conjunto único de regras de proteção de dados para toda a UE.

Os 99 artigos do GDPR estabelecem diversos direitos fundamentais de proteção de dados, incluindo:

• direito de ser informado
• direito de acesso
• direito de retificação
• direito ao apagamento/de ser esquecido
• direito de restringir o processamento
• direito à portabilidade de dados
• direito de objeção
• direitos em relação à tomada de decisão automatizada e criação de perfis
  

O GDPR não introduziu nenhuma regra fundamentalmente nova. Ele modernizou os princípios da Diretiva de Proteção de Dados da UE de 1995. Nos últimos 5 anos, ameaças de fiscalização rigorosa têm sido manchete. Empresas que violam o GDPR correm o risco de multas de até 20 milhões de euros ou 4% de seu faturamento anual global. A Comissão de Proteção de Dados (DPC) da Irlanda aplicou à Meta a maior multa já registrada sob o GDPR. A transferência ilegal de dados pessoais para os EUA resultou em uma multa de € 1,2 bilhão (£ 1 bilhão).

Temos visto um número crescente de ações de fiscalização. Isso não é surpreendente. A conformidade com aspectos-chave do regulamento continua sendo um pesadelo operacional. As empresas lutam para manter a conformidade enquanto possibilitam a inovação. O maior obstáculo é o Capítulo 5, que regulamenta a transferência de dados pessoais da UE para fora da UE.

Por que esse aspecto do GDPR é tão complicado para empresas dos EUA? Gerenciar transferências de dados não é novidade. Mas é quase impossível para o país receptorEUA garantir direitos de privacidade adequados aos cidadãos da UE. Além disso, os EUA têm uma lei pouco conhecida chamada Lei de Vigilância de Inteligência Estrangeira de 1978 (FISA). Isso permite que o governo conduza vigilância direcionada sobre cidadãos não americanos localizados fora dos EUA. "Solicitações FISA" podem obrigar empresas dos EUA a fornecer informações sobre seus usuários. Isso levou os tribunais da UE a decidir que o governo dos EUA não fornece proteções de privacidade adequadas aos cidadãos da UE.

O privacy shield ou as cláusulas contratuais padrão ("SCCs") eram usados para simplificar solicitações de dados. Esses contratos tentavam garantir um alto nível de proteção para dados pessoais. Mas faltavam detalhes sobre controles técnicos. Portanto, não é surpresa que o governo obrigue empresas a divulgar dados pessoais.

Hoje, as empresas dos EUA estão em um ponto de inflexão. As autoridades de proteção de dados da UE reafirmaram que as transferências de dados para os EUA representam um risco à privacidade dos cidadãos da UE. As CCPs sozinhas não são suficientes para garantir a proteção da privacidade. Os reguladores prometeram às empresas dos EUA uma nova Estrutura de Privacidade de Dados UE-EUA. Isso deve facilitar as transferências legais de dados entre os dois países. Mas, ainda não está claro se essa estrutura será aceita. Também não está claro quais proteções operacionais de privacidade podem permanecer sob responsabilidade da empresa.

Isso levanta uma questão. Como uma empresa dos EUA pode implementar os controles apropriados para reduzir o risco de transferências de dados pessoais entre a UE e os EUA?

A Cyera oferece visibilidade e controle sobre onde e como as empresas gerenciam dados

A Cyera descobre, classifica e protege dados automaticamente em toda a sua paisagem de dados multinuvem.

Isso vai muito além da descoberta e classificação básicas. Modelos de linguagem grandes (LLMs) identificam e diferenciam entre informações pessoais e não pessoais. Eles também destacam quando uma ou mais classes são identificáveis. A extração de tópicos também nos permite determinar a localização de onde os dados se originam. Isso permite que os clientes entendam quais dados estão no escopo do GDPR. Também mostra como estão sendo gerenciados, quem pode acessá-los e as violações de políticas de segurança e conformidade que existem. Isso facilita a remediação - para dados em repouso e conforme estão sendo manipulados em tempo real.

O Policy Engine detecta e valida criptografia, mascaramento, zoneamento de dados, acesso e muito mais. Por exemplo, as regras de zoneamento garantem que os dados de cidadãos da UE permaneçam em datastores ou regiões aprovadas. Data Security Posture Management (DSPM) destaca onde os dados em repouso violam os mandatos do GDPR. Data Detection and Response (DDR) sinaliza quando os dados se desviam em tempo real.

Dezenas de políticas prontas para uso detectam e remediam exposições de dados de cidadãos da UE. Elas capacitam os clientes a medir e atestar facilmente os controles de segurança e privacidade. E isso garante que você possa provar aos reguladores que leva a privacidade dos cidadãos da UE a sério.

Se você está procurando uma solução de segurança projetada e construída para as complexidades que as arquiteturas modernas introduziram, não procure mais. Inscreva-se para uma Avaliação de Risco de Dados gratuita e vamos começar a construir a base para uma proteção de dados holística. Estamos ajudando dezenas de empresas a resolver exposições do GDPR que afetam milhões de registros. Neste aniversário de 5 anos da aplicação do GDPR, estamos prontos para ajudá-lo também.