Avaliações inteligentes no Gestão de privacidade

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 5 min. de leitura

    • A nova e aprimorada experiência de avaliação em Gestão de privacidade usa a aplicação Mecanismo de avaliação inteligente (SAE). O mecanismo de avaliação permite que você execute triagens de privacidade e avaliações de impacto na privacidade para coletar as informações necessárias para as equipes de privacidade.

    Em Gestão de privacidade, as avaliações desempenham um papel importante. Existem dois tipos de avaliações.
    • Avaliação de triagem de privacidade: uma avaliação de triagem de privacidade é uma avaliação preliminar usada para determinar se uma atividade de processamento envolve dados pessoais e se pode representar riscos à privacidade. É uma revisão de alto nível realizada para identificar se uma revisão de privacidade mais detalhada, como uma avaliação de impacto na privacidade (PIA), é necessária. Por exemplo, quando uma nova aplicação ou processo de negócios é criado, as equipes de privacidade devem entender se a aplicação ou o processo de negócios processa dados pessoais ou não. Para determinar isso, as avaliações de triagem são enviadas para a aplicação de negócios ou responsáveis pelo processo de negócios. Depois que a avaliação é aprovada pelo gerente de privacidade, uma atividade de processamento é criada.
    • Avaliação de impacto na privacidade: depois que uma avaliação de triagem é realizada, com base nas respostas, uma avaliação de impacto na privacidade pode ser gerada. Uma avaliação de impacto de privacidade é uma avaliação abrangente de como uma aplicação, sistema ou processo de negócios afeta a privacidade de dados pessoais. Ele avalia os riscos de privacidade associados às atividades de processamento e identifica medidas para reduzir esses riscos. Cada vez que uma avaliação de impacto na privacidade é realizada, os riscos são revisitados para determinar se a pontuação de risco foi alterada. Isso ajuda as equipes de privacidade a permanecerem vigilantes e a lidar com os riscos conforme necessário.
    Para executar essas avaliações, você pode usar a aplicação Mecanismo de avaliação inteligente. Esta aplicação oferece vários benefícios, como configuração de modelos, fluxos de trabalho, orientação para perguntas e revisão de resultados de avaliação com informações acionáveis. Para obter mais informações sobre a aplicação Mecanismo de avaliação inteligente, consulte Explorando Mecanismo de avaliação inteligente.
    Nota:
    Para usar Mecanismo de avaliação inteligente, você deve habilitar a propriedade sn_privacy.enable_smart_assessment, que está localizada nas propriedades do sistema.

    Benefícios de usar a nova experiência de avaliação

    A nova experiência de avaliação oferece os seguintes benefícios.
    • Capture todas as informações necessárias durante a avaliação, eliminando a necessidade de adicionar detalhes manualmente à atividade de processamento.
    • Capture a hierarquia ou o fluxo de dados e especifique de onde os dados vêm e para onde vão.
    • Colete a base jurídica de coleta e processamento de dados.
    • Criar várias seções para agrupamento lógico de perguntas
    • Migre as avaliações de sistemas mais antigos.
    • Forneça orientação em linha para perguntas.
    • Reatribua a avaliação ao respondente correto.
    • Crie modelos altamente configuráveis.

    Tipos de modelos de avaliação

    Para executar a triagem e as avaliações de impacto, você precisa de modelos de avaliação. Embora os modelos de avaliação sejam baseados em Mecanismo de avaliação inteligente, algumas configurações adicionais são fornecidas para os usuários de Gestão de privacidade. Por padrão, dois modelos de avaliação, Avaliação de triagem de privacidade [V3] e Avaliação de impacto de privacidade [V3], são fornecidos para executar avaliações inteligentes. Algumas diferenças importantes entre esses modelos e as configurações adicionais são explicadas da seguinte forma.
    Avaliação de triagem de privacidade
    Para um modelo de avaliação de triagem, há três seções:
    • Geral: nesta seção, você especifica a categoria de modelo de avaliação como categoria de privacidade e também especifica as metas de avaliação. Para uma avaliação de triagem, os destinos de avaliação são entidades e tarefas de privacidade.
    • Perguntas: esta seção contém perguntas para os respondentes da avaliação. Esta seção também contém elementos de dados que são unidades únicas de informações que representam um atributo ou característica específica sobre um assunto ou entidade de dados. Exemplos de elementos de dados são nome, endereço de e-mail, data de nascimento e assim por diante. Nesta seção, você também encontrará uma seção intitulada Fatores de criticidade e essas perguntas são usadas para calcular a pontuação de criticalidade.
    • Automações: nesta seção, você pode definir as regras que permitem a criação automática de atividades de processamento com base nas respostas às perguntas. Esta seção usa Workflow Studio. Essas automações são mapeadas para as perguntas relevantes. A automação simplifica vários processos, incluindo a aplicação de declarações de risco e objetivos de controle com base nas respostas do usuário. Quando os usuários selecionam respostas específicas durante uma avaliação, o sistema aplica automaticamente os riscos e controles apropriados aos registros relevantes. Por exemplo, considere uma política organizacional declarando que os dados pessoais só podem ser transferidos para fora da UE com consentimento explícito. Durante uma avaliação, se um usuário indicar que os dados estão sendo transferidos para fora da UE, o sistema aplicará automaticamente o risco de transferência de dados à atividade de processamento: Atribuir consentimento explícito como um controle para reduzir o risco identificado. Essa automação garante consistência, economiza tempo e reduz a probabilidade de erro humano na gestão de riscos e controles.
    Para obter informações detalhadas sobre como configurar um modelo de avaliação de triagem, consulte Configurar modelos de avaliação inteligente para avaliações de triagem.
    Figura 1. Avaliação de triagem de privacidade
    Página de avaliação de triagem de privacidade.
    Avaliação de impacto de privacidade
    Para um modelo de avaliação de impacto na privacidade, como o modelo de avaliação de triagem, você tem as seções Geral e Perguntas e, embora, por padrão, a seção Automações esteja presente, ela não contém automações predefinidas. Você pode adicionar automações se precisar delas. Para um modelo de avaliação de impacto, além do questionário, você pode adicionar os elementos de dados pessoais. Para obter informações detalhadas sobre como configurar um modelo de avaliação de impacto, consulte Configurar modelos de avaliação inteligente para avaliações de impacto.
    Figura 2. Tela de avaliação de impacto de privacidade
    Página principal da avaliação de impacto de privacidade.
    Nota:
    Somente modelos publicados estão disponíveis para avaliações.

    Revisão de uma avaliação

    Quando os analistas de privacidade recebem uma avaliação, eles revisam a avaliação. Durante a revisão, eles podem solicitar uma revisão da avaliação ou aprová-la diretamente. Durante o estado Revisão, os gerentes de privacidade podem exibir os seguintes itens:
    • Objetos de informação: a guia Objetos de informação exibe os objetos de informação identificados como parte da avaliação de triagem.
    • Hierarquia: a hierarquia de onde os dados vêm e para onde vão.
    • Resultados: a guia de resultados exibe a declaração de risco e os objetivos de controle associados à avaliação.
    A figura a seguir exibe os detalhes da avaliação.Página de avaliação do analista de privacidade