Fermer

juillet 1, 2020

Répondre aux demandes de droits d'auteur pour l'ACCP et au-delà


Ce blog est co-écrit par Andy Teichholz et Gino Vicari.

Le 1er juillet 2020 marque le début de l'application de la California Consumer Privacy Act (CCPA). COVID-19 n'a pas fait grand-chose pour persuader le procureur général de Californie de retarder l'application de la loi, mais les résidents de Californie (consommateurs) se sont vu rappeler leurs droits et ont même donné des conseils sur la façon de rester en sécurité en ligne en ces temps difficiles.

prend effet le 1er janvier 2020 et accorde, entre autres, aux consommateurs des droits spécifiques de contrôler la façon dont les entreprises traitent leurs informations personnelles. Si vous êtes une entreprise à but lucratif qui collecte et contrôle les informations personnelles d'un consommateur californien et atteint les seuils définis, vous devrez vous conformer et répondre aux demandes spécifiques relatives à l'une des trois catégories: accéder, supprimer et ne pas vendre (refus de partager ou de vendre leurs informations.)

Pour compliquer encore les choses, la California Privacy Rights Act a été certifiée et figurera sur le bulletin de novembre 2020. Si elle est adoptée, la loi étendra les droits des consommateurs et offrira un plus grand contrôle sur l'utilisation de leurs informations personnelles – faisant avancer la loi californienne sur la protection de la vie privée dans le sens du règlement général de l'UE sur la protection des données (RGPD).

Les demandes de droits à la vie privée augmentent

En vertu de la plupart des réglementations sur la confidentialité des données, les individus ont le droit de savoir quelles données une organisation collecte à leur sujet, pourquoi l'organisation est en possession de ces données et à qui leurs informations sont divulguées.

Les coûts prévus devraient être sévères

La préparation et la conformité au RGPD ont déjà été le domaine critique le plus critique pour la conformité à la confidentialité des données de l'ACCP et les autres lois sur la confidentialité des données. s'est avéré être un énorme défi et un fardeau financier. Les processus de réponse aux demandes d'accès des personnes concernées (DSAR) ont été très manuels, lents et sujets aux erreurs, entraînant souvent une non-conformité. Selon un sondage Gartner les organisations dépensent en moyenne 1 406 $ par demande d'accès par sujet, et les deux tiers des répondants ont indiqué qu'il fallait deux semaines ou plus pour répondre à une seule demande. Avec des sanctions d'application de l'ACCP allant de 2 500 $ à 7 500 $ par infraction, le non-respect des demandes d'accès pourrait avoir un impact financier stupéfiant pour les entreprises couvertes. Pour réduire les coûts de mise en conformité, les entreprises à risque devront agir rapidement pour évaluer leur capacité à répondre aux activités et obligations de traitement des demandes des consommateurs.

Atteindre la conformité grâce à la technologie

Souvent, lors de l'examen de la manière dont la technologie peut prendre en charge la conformité de la confidentialité, la priorité est sur les principes de sécurité et de gouvernance des données. Cependant, lorsqu'il s'agit de savoir comment répondre avec précision aux demandes de droits des consommateurs ou des sujets tout en garantissant des frais généraux et des coûts minimaux, le mot qui revient constamment est automatisation . Plus précisément, l'automatisation du processus de réponse autant que possible peut raccourcir les délais, réduire considérablement le risque d'erreur humaine et minimiser les coûts.

Dans le contexte des demandes d'accès, voici les cinq principes clés pour automatiser votre processus de réponse: [19659012] Gestion des cas: Une première étape critique consiste à créer un cas dans un logiciel de gestion des cas pour la demande entrante. Dans ce cas, des actions (entièrement automatisées si possible) seront prises pour répondre à la demande d'accès. La centralisation de tout ce qui concerne la demande, comme les données personnelles partagées, toutes les activités effectuées, les entrées d'audit, les approbations et les participants permet un suivi et une préparation à l'audit faciles.

  1. Numérisation: Toutes les informations personnelles n'existent pas au format numérique . Pour automatiser l'ensemble du processus de réponse, il est nécessaire de numériser les actifs physiques, tels que le papier, lorsqu'ils contiennent des données ou des informations personnelles.
  1. Découverte et collecte d'informations: La plupart des organisations ont déployé des efforts substantiels pour identifier, protéger et classer les données personnelles qui résident dans leurs applications commerciales principales (par exemple, RH, marketing, finances). Mais les données personnelles résidant sur des partages de fichiers, à l'intérieur de sites SharePoint, sur les disques durs de personnes ou dans des e-mails peuvent également faire l'objet de demandes d'accès. Pour garantir l'exhaustivité de la réponse, des outils de découverte de données peuvent être utilisés pour analyser des sources de données non contrôlées. Un outil de découverte identifiera les informations personnelles et aidera à les collecter, afin qu'elles puissent être automatiquement ajoutées à la réponse.
  1. Rédaction automatisée: La suppression d'informations qui ne devraient pas être incluses dans la réponse nécessite un effort manuel substantiel. Pour minimiser cet effort, envisagez d'utiliser l'analyse de texte pour détecter et supprimer automatiquement les termes et expressions de la réponse. Cela nécessite toujours une étape de révision manuelle, mais une première passe automatisée permet une rédaction beaucoup plus rapide et précise des informations sensibles.
  1. Partage sécurisé: Lors de l'envoi de la réponse, utilisez un outil qui minimise le risque de violation des données , comme un lien protégé par mot de passe pointant vers un emplacement sécurisé avec des téléchargements suivis et une expiration de l'accès (par exemple, après 10 jours).

Le processus de traitement des demandes de droits des sujets et des droits des consommateurs est coûteux, prend du temps et est difficile à gérer sans l'automatisation et de solides technologies de gestion des données ancrées dans la gouvernance de l'information Tirer parti de la technologie pour automatiser et rationaliser le cycle de vie et le flux de travail des demandes permettra non seulement de réduire les coûts opérationnels et les risques de non-conformité, mais contribuera également à maintenir la confiance des individus qui cherchent à respecter leurs droits en matière de confidentialité.

Découvrez comment OpenText Privacy Management peut aider les entreprises à automatiser le processus de réponse des droits des consommateurs et des sujets et à intégrer les processus de confidentialité d'une organisation pour favoriser la conformité.

Pour des conseils supplémentaires sur les meilleures pratiques pour soutenir les activités de préparation et de conformité de l'ACCP, vous pouvez également consulter 5 choses les organisations intelligentes peuvent faire pour se préparer à l'ACCP. expert en solutions de confidentialité et certifié en tant que délégué à la protection des données, Gino Vicari travaille avec plusieurs clients, partenaires et l'organisation OpenText pour répondre aux diffe louer des sujets de gestion de la confidentialité et de respect de la confidentialité. En tant que professionnel de l'informatique avec plus de 20 ans d'expérience en ECM et EIM, Gino a aidé des organisations de nombreux secteurs, notamment les services financiers, le secteur public, l'énergie et l'ingénierie et les sciences de la vie à concevoir et à mettre en œuvre leurs solutions essentielles de gestion de contenu et d'informations. Ayant rencontré de nombreux domaines d'activité et technologies différents, Gino travaille maintenant en tant qu'Expert Solution couvrant le territoire européen, conseillant les clients OpenText et se concentrant principalement sur l'industrie réglementée et la conformité.




Source link