As empresas hoje têm uma oportunidade significativa de utilizar dados de maneira inovadora. No entanto, devem considerar cuidadosamente quais dados reter e como utilizá-los para evitar possíveis desafios legais. Apesar do crescimento da IA generativa, as organizações enfrentam o desafio de proteger dados pessoais e gerenciar estrategicamente a eliminação de informações desatualizadas que apresentam mais riscos do que valor comercial.
A Forrester projeta que os dados não estruturados dobrem até 2024, impulsionados pelos avanços da IA. Diante do cenário de dados em mudança e do aumento dos custos com violações de dados e privacidade, as organizações precisam avaliar criticamente suas estratégias de retenção e exclusão de dados.
A Ameaça Crescente das Violações de Dados
Com o aumento dos volumes de dados, crescem também os custos associados a violações de dados e de privacidade. Ataques de ransomware têm como alvo bancos de dados sensíveis, incluindo os de entidades proeminentes como 23andMe, Infosys e Boeing. Segundo a IBM, o custo médio total de uma violação atingiu US$ 4,45 milhões em 2023, um aumento de 15% desde 2020.
Para mitigar esses riscos, as organizações precisam de políticas robustas para a exclusão de dados obsoletos. Embora a IA generativa possa gerar dúvidas sobre a necessidade de exclusão de dados, a retenção prolongada aumenta a exposição a violações e possíveis penalidades por infringir leis de privacidade. O primeiro passo para reduzir esse risco é avaliar minuciosamente como uma empresa utiliza seus dados, examinando tanto as considerações sutis quanto os benefícios tangíveis de uma estratégia sólida de retenção de dados.
Por Que Eliminar Dados Obsoletos?
Muitas organizações precisam excluir dados desatualizados devido a obrigações legais decorrentes das leis de proteção de dados. As regulamentações geralmente exigem a retenção de dados pessoais somente pelo tempo necessário, levando as empresas a estabelecer períodos de retenção variados em diferentes áreas de negócios. Além de minimizar responsabilidades legais, a remoção de dados obsoletos pode gerar economias significativas em armazenamento.
Identificando Dados Obsoletos
Para determinar quais dados estão desatualizados e quais possuem valor comercial contínuo, as empresas devem desenvolver um mapeamento de dados que detalhe fontes de dados, tipos, sistemas de armazenamento e finalidades de processamento. Esse mapeamento abrangente garante que as empresas compreendam onde residem os dados pessoais, quais tipos de dados são processados e as leis de privacidade aplicáveis em diferentes regiões. Um inventário e classificação de dados completos são essenciais para um programa eficaz de privacidade, oferecendo a rastreabilidade necessária para acompanhar o fluxo de dados dentro da organização.
Uma vez estabelecido um mapa de dados, as equipes jurídica e técnica podem colaborar com as partes interessadas do negócio para avaliar o valor de dados específicos, restrições regulatórias aplicáveis e os riscos associados a vazamentos ou à retenção desnecessária de dados.
O Desafio da Exclusão de Dados
Partes interessadas frequentemente hesitam em excluir dados, preocupadas com tecnologias emergentes. As discussões sobre retenção de dados devem se concentrar na utilidade comercial. Por exemplo, a equipe de análise de dados de uma instituição financeira pode querer treinar modelos de elegibilidade de crédito em grandes conjuntos de dados. No entanto, confiar em dados desatualizados pode contrabalançar as leis de proteção de dados. Dados de 20 anos atrás podem não refletir com precisão os comportamentos modernos do consumidor, especialmente em uma economia em rápida mudança.
O setor de imóveis comerciais exemplifica esse problema. Muitos modelos de previsão de riscos baseados em dados pré-pandemia podem levar a previsões imprecisas diante das mudanças em direção ao comércio online e ao trabalho remoto. Educar as partes interessadas sobre como os dados podem se tornar obsoletos e como isso impacta a tomada de decisões é crucial.
Estratégias para Lidar com Dados Obsoletos: Determinar, Excluir ou Desidentificar
Ao decidir por quanto tempo reter dados, considere as obrigações legais em torno de registros financeiros e regulamentações específicas do setor. Consulte prazos legais para determinar os períodos de retenção necessários para possíveis defesas em litígios, mantendo apenas os dados pessoais essenciais, como registros de transações ou de consentimento dos usuários.
Quando chega a hora de descartar dados menos valiosos, as organizações podem excluí-los manualmente, conforme cronogramas de retenção predefinidos. Automatizar o processo por meio de uma política de exclusão aumenta a confiabilidade. Alternativamente, as organizações podem optar pela desidentificação, que remove dados identificáveis, embora isso apresente seus próprios desafios.
A desidentificação adequada geralmente se enquadra em isenções nas leis de proteção de dados, mas para alcançá-la é necessário reduzir significativamente a quantidade de dados, potencialmente perdendo insights valiosos. Por exemplo, para cumprir os padrões de abrigo seguro do HIPAA, uma entidade deve eliminar 18 identificadores específicos. Embora essa abordagem possa ser útil para análises e modelos de IA, é essencial avaliar os prós e contras junto às partes interessadas.
Evitando Armadilhas Comuns
Um dos maiores erros que as empresas cometem ao lidar com dados obsoletos é apressar o processo e negligenciar discussões abrangentes. É crucial envolver equipes legais, de privacidade e segurança, bem como líderes empresariais, para reunir perspectivas diversas sobre a retenção de dados essenciais. As empresas devem estar preparadas para reduzir gradualmente os períodos de retenção, já que, uma vez que os dados são excluídos, a recuperação é frequentemente impossível.
Para navegar nas complexidades da exclusão de dados, as empresas devem priorizar um mapeamento detalhado e análise da linhagem de dados, definir critérios de retenção claramente e implementar essas políticas de forma eficiente. Ao compreender as implicações legais, de cibersegurança e financeiras, as organizações podem elaborar uma estratégia robusta de retenção de dados que não apenas esteja em conformidade com regulamentações, mas também proteja efetivamente seus ativos digitais.
Classificação
