EY: ¿Cómo reducir los riesgos corporativos mediante la eliminación de datos?
La "Ley de Ciberseguridad de la República Popular China" que entró en vigor en junio de 2007 establece requisitos para la protección de la información personal. De 2017 a 2020, el GB/T 35273-2020 "Estándar de seguridad de la información personal" fue revisado tres veces y el estándar nacional estandarizó las recomendaciones para la protección y el procesamiento de la información personal. El 21 de enero de 2020, el Comité de Asuntos Jurídicos de la Asamblea Popular Nacional también solicitó públicamente opiniones sobre la "Ley de Protección de Información Personal (proyecto)". Para garantizar el cumplimiento, además de cómo proteger la información confidencial, cómo manejar la información confidencial también se ha convertido en una de las tareas importantes que las empresas deben considerar.
La eliminación de datos es un término general que se utiliza para ayudar a las empresas a adoptar diferentes métodos para eliminar datos confidenciales. Estos métodos de eliminación son consistentes con las leyes y regulaciones, los sistemas de retención de datos, los requisitos del consumidor u otras necesidades comerciales. Para establecer un programa de procesamiento de datos eficiente, las empresas deben desarrollar asociaciones con unidades de negocios para comprender el ciclo de vida y el flujo de datos y conectar todos los niveles de seguridad de los datos.
Las soluciones de eliminación de datos ejecutables suelen utilizar uno o dos de los tres métodos siguientes según las necesidades empresariales y los casos de uso de datos.
01. Eliminación
La eliminación se refiere a la eliminación permanente y completa de datos personales en el sistema existente (como reescribir y eliminar registros). Los beneficios de la eliminación son que minimiza el almacenamiento de datos y reduce los riesgos regulatorios, pero los datos ya no se pueden utilizar para análisis u otras necesidades comerciales, y las empresas necesitan conservar registros de las eliminaciones.
02. Desidentificación
La desidentificación se refiere a la desidentificación de información personal, como la anonimización. La ventaja es que se puede eliminar la información de identificación personal y conservar los datos relevantes, mientras que se puede seguir analizando la información no identificada; sin embargo, el desafío de este enfoque es volver a identificar los datos confidenciales en función de otros campos y diccionarios y diccionarios de datos eficientes; Los marcos de procesamiento de datos también son indispensables.
03. Agregación
La agregación se refiere a la agregación de datos personales, como resúmenes e intervalos. La ventaja de la agregación es que se puede analizar y dar sentido a grandes conjuntos de datos sin retener los datos confidenciales subyacentes, pero puede eliminar contenido importante de la información personal y puede no satisfacer las necesidades del análisis empresarial cuando las necesidades cambian.
Con el advenimiento de la era digital, el desarrollo empresarial y la innovación se enfrentan a enormes oportunidades, pero también van acompañados de muchos desafíos difíciles, uno de los cuales es el procesamiento de datos. A muchas empresas les resulta difícil mantenerse al día con el ritmo del ciclo de vida de sus datos (es decir, recopilación, almacenamiento, retención y eliminación de datos). Los desafíos comunes para implementar un programa de eliminación de datos eficiente incluyen la expansión de los programas regulatorios y los requisitos de cumplimiento emergentes, el procesamiento de datos en la nube o en las instalaciones, la explosión en el almacenamiento y el uso, la recopilación y el almacenamiento de datos confidenciales históricos más allá de los períodos de retención, las operaciones limitadas, la integración y la propiedad. falta de capacidades de gobernanza de datos e incapacidad para gestionar el ciclo de vida de los datos.
Dados los desafíos que enfrentan los clientes con el procesamiento de datos, EY se centra en ofrecer soluciones sostenibles que garanticen el cumplimiento y los requisitos de protección de datos mientras mantienen la disponibilidad de los datos. Las soluciones de procesamiento de datos de EY se centran en las personas y están impulsadas por procesos, y están habilitadas por una plataforma tecnológica patentada. Los datos pasan por diferentes etapas en el programa de procesamiento de datos:
01 Estrategia y alcance
02 Desarrollo del framework
03. >
p>
04. Mejora continua
El esquema de eliminación de datos de EY brinda flexibilidad para cumplir con las obligaciones de privacidad y seguridad, y se pueden lograr los máximos beneficios combinando dos métodos de eliminación de datos en el esquema. Una son las medidas preventivas. Las empresas toman medidas proactivas para deshacerse de los datos personales mediante la eliminación, la desidentificación o la agregación antes de que se transfieran a todos los sistemas.
El segundo tipo es la eliminación bajo demanda, donde el departamento comercial realiza una solicitud o tiene obligaciones de protección de la privacidad. Por ejemplo, si un consumidor solicita la eliminación de datos personales basándose en el derecho al olvido, la empresa debe iniciar el proceso de eliminación y responder a la solicitud dentro de un tiempo específico.
Los beneficios que se pueden obtener a través de las opciones de eliminación de datos incluyen la reducción de riesgos, la gestión de datos, la optimización de costos, la simplificación de la privacidad y los requisitos de gobierno corporativo. Las empresas pueden reducir los riesgos generales de privacidad y seguridad de los datos mediante la eliminación, la desidentificación y la agregación, mientras que la eliminación de datos puede gestionar y racionalizar los datos más importantes de la empresa, priorizando aún más los datos y reduciendo la duplicación, y permitiendo que se respeten los derechos de las personas y las organizaciones. Incluye clasificación de bases de datos, controles de privacidad, reglas comerciales y desidentificación.
La disposición de datos permite a las empresas identificar los datos más confidenciales que deben identificarse primero, con muchos menos pasos de los que normalmente se requieren para mantener segura la información personal. Finalmente, confirme que todos los métodos de eliminación de datos se implementen de acuerdo con los sistemas, estándares y regulaciones empresariales existentes relacionados con la retención y eliminación de datos mediante la creación/actualización de procesos y protocolos.
01. Definir datos y marco de datos: entrevistar a los propietarios de datos y a los líderes empresariales para determinar los tipos de datos, los elementos de datos y los sistemas utilizados en los procesos comerciales de la empresa.
02. Comprender cómo utilizar los datos: a través de la cooperación con gente de negocios, comprender cómo crear, extraer, mejorar, almacenar y disfrutar de los datos durante los procesos comerciales y el análisis de datos.
03. Identificar interdependencias de datos: identificar asociaciones y referencias cruzadas de elementos de datos para comprender el linaje de datos y el impacto del cambio de datos en la empresa.
04. Los datos deben conservarse de acuerdo con la ley y en relación con el plan de retención: Los datos deben conservarse de acuerdo con los requisitos de las leyes y regulaciones y se debe desarrollar un plan de retención correspondiente para garantizar que sea estratégico. Los requisitos cumplen con el período mínimo de retención.
05. Diseñar soluciones de desidentificación y procesamiento de datos: Diseñar métodos de desidentificación o procesamiento de datos (eliminación, cifrado, anonimato, etc.). ) para lograr el desarrollo empresarial y cumplir con los requisitos de retención y procesamiento.
06. Desarrollar e implementar un plan de eliminación de datos: Desarrollar un proyecto para implementar procedimientos, controles y soluciones de eliminación de datos para cumplir con los requisitos de retención y procesamiento de datos.
07. Desarrollar una hoja de ruta de implementación del plan: priorizar la implementación de proyectos de procesamiento de datos, estimar los costos de implementación y de estado estacionario, y determinar los planes de implementación del proyecto.
Para maximizar la eficacia de la eliminación de datos empresariales, debe ser coherente con la estrategia general de protección de datos y la estrategia empresarial. Los puntos clave incluyen la integración de la disposición de datos en la gobernanza, la gestión y la transformación de datos, así como la gestión de metadatos, la privacidad de los datos, la protección de datos y más. Para comprender mejor el alcance de las necesidades de eliminación de datos de una empresa y desarrollar las mejores estrategias para identificar y mitigar los riesgos clave, cada proceso, como el descubrimiento de datos, debe respaldar el mantenimiento y la gestión continuos de los datos. Estos puntos ayudan a respaldar y definir estrategias de protección de datos para reducir el riesgo de los datos sin interrumpir las funciones comerciales.
Las empresas pueden repensar sus métodos de retención de datos y controles para la protección y eliminación de datos, y gestionar y reducir el riesgo mediante:
Los factores de éxito incluyen:
Hacer Para que los procedimientos de procesamiento de datos sean más efectivos, las empresas deben comprender la relación entre los procedimientos y otras medidas de protección de datos y privacidad. Los equipos de EY se basan en nuestra experiencia de servicio central en protección de datos y privacidad para ayudar a los clientes a establecer estratégicamente procedimientos de procesamiento de datos que cumplan con los conceptos de seguridad y privacidad. Ayudamos a las empresas a adoptar este enfoque holístico y comprender las implicaciones para la privacidad y la protección de datos más amplia, para que puedan controlar y mitigar con éxito los riesgos clave.
01. Estrategia y Transformación de Protección de Datos: Servicios para evaluar, diseñar y mejorar los planes estratégicos generales de protección de datos y su gobernanza.
02. Evaluar y mejorar los procedimientos de protección de la privacidad: Este servicio apoya la determinación de políticas de privacidad de datos y apoya a los clientes en el proceso de transformación de la privacidad.
03. Protección de Activos de Información de Alto Valor (HVIA): Servicios para diseñar e implementar planes de protección de HVIA, incluyendo la identificación, clasificación, gobernanza, protección y eliminación de información de alto valor.
04. Soporte técnico de protección de datos: ayudar a los clientes a seleccionar e implementar soluciones técnicas para soluciones clave de protección de datos y privacidad.
05. Servicios de gestión: Servicios que ayudan a los clientes a continuar operando e implementando procesos de protección de datos y privacidad.
06. Estrategia y Transformación de Protección de Datos: Servicios que ayudan a los clientes a desarrollar e implementar soluciones de cifrado para procesar y proteger la información.
Este artículo está destinado a proporcionar información general y no pretende ser un asesoramiento contable, fiscal, legal o profesional confiable. Solicite asesoramiento específico a su asesor.