Una Eina, Tres Marcs
Un equip de privacitat processa arxius de clients de la UE sota el RGPD el dilluns. Registres sanitaris sota la HIPAA el dimarts. Dades de consumidors de Califòrnia sota la CCPA el dimecres.
Cada llei té normes diferents. Cada document necessita una configuració diferent.
Canviar entre tres conjunts de normes cada dia genera errors. La configuració incorrecta en l'arxiu incorrecte provoca un incompliment o pèrdua de dades.
Els perfils de compliment amb nom solucionen això. Una configuració desada per cada llei. Sense reconfiguració manual.
RGPD -- Què Cobreix
El RGPD cobreix totes les dades personals. S'aplica a qualsevol persona de la UE que pugui ser identificada. No hi ha una llista fixa del que compta. Qualsevol informació relacionada amb una persona està inclosa.
Les categories especials -- dades de salut, creences religioses, opinions polítiques -- reben protecció addicional en virtut de l'article 9.
Tipus d'entitats comuns per al treball amb documents: noms, adreces, identificadors nacionals, correus electrònics, números de telèfon, adreces IP, targetes de crèdit.
La decisió correcta depèn del context. El RGPD no té una llista fixa.
HIPAA -- Què Cobreix
HIPAA Safe Harbor defineix exactament 18 tipus d'identificadors. Tots 18 han d'eliminar-se dels registres sanitaris.
Dues normes sorprenen els equips:
- Les dates es redueixen a només l'any. El mes i el dia s'eliminen. L'any es conserva.
- Les àrees geogràfiques més petites que un estat han d'eliminar-se.
Aquestes normes s'apliquen només a les entitats cobertes i als seus socis comercials.
CCPA -- Què Cobreix
La CCPA cobreix la informació personal vinculada als residents de Califòrnia. L'àmbit és ampli. Inclou identificadors directes, activitat a internet, històric de compres, dades de geolocalització, dades biomètriques i inferències de perfil.
Per al treball amb documents, centra't en els identificadors directes: noms, números de la Seguretat Social, permisos de conduir, números de passaport, correus electrònics, números de compte, adreces IP, identificadors de dispositiu.
L'històric de compres i els registres de navegació rarament apareixen com a text pla en un document.
Per Què Falla el Canvi Manual
El canvi manual genera errors. Un arxiu RGPD executat amb una configuració HIPAA recull regles de dates que el RGPD no necessita. Un arxiu HIPAA executat amb una configuració RGPD omete les regles geogràfiques que requereix Safe Harbor.
Els estudis mostren que els canvis manuals de marc produeixen errors aproximadament el 15% de les vegades. Cada error és un incompliment o un esdeveniment de pèrdua de dades.
El personal ha de tenir presents tres conjunts de normes i aplicar el correcte cada vegada. Això no és un procés. És una conjectura que es fa diariament.
Tres Configuracions amb Nom
"RGPD Estàndard -- Clients UE"
Detecta: noms, adreces, identificadors nacionals, correus electrònics, números de telèfon, adreces IP, targetes de crèdit.
Mètode: Redact.
Exclou les dates llevat que el data de naixement estigui en l'àmbit. Inclou adreces IP per al treball amb dades en línia.
"HIPAA Safe Harbor -- Sanitat"
Detecta: noms de persones, dates, localitzacions sub-estatals, telèfon, fax, correu electrònic, SSN, números d'història clínica, identificadors de plans de salut, números de compte, números de certificat, identificadors de vehicles, identificadors de dispositiu, URLs, adreces IP, identificadors biomètrics. Això cobreix els 18 tipus Safe Harbor.
Mètode: Redact. Per a les dates: conserva l'any. Elimina el mes i el dia.
Afegeix un patró personalitzat per al format del número d'història clínica del teu centre.
"CCPA -- Consumidor de Califòrnia"
Detecta: noms, adreces, números de telèfon, correus electrònics, números de la Seguretat Social, permisos de conduir, números de passaport, targetes de crèdit, adreces IP, URLs, números de compte, identificadors de dispositiu.
Mètode: Replace (millor per a analítiques) o Redact.
Cada configuració desada fixa la decisió de compliment. L'operador tria el perfil que s'adapta al context legal del document. Sense llista d'entitats que construir. Sense mètode que triar.
Taxes d'Error Abans i Després
Abans dels perfils amb nom: El personal reconfigura manualment per a cada llei. La taxa d'error és propera al 15%. Les auditories anuals troben constatacions d'aplicació de marcs cada any.
Després dels perfils amb nom: El personal tria un perfil desat. La configuració està fixada. La taxa d'error cau per sota del 2%. Els errors restants provenen de triar el perfil incorrecte. La revisió d'assegurament de qualitat els detecta. Les auditories s'aproven sense constatacions.
El canvi clau: la decisió de compliment passa de l'execució diària a la creació del perfil. Un especialista decideix una vegada. Cada operador ho aplica sense haver de pensar.
Gestió d'un Equip Multi-Marc
Assigna la responsabilitat. Un responsable per llei. El responsable RGPD té el perfil RGPD. L'oficial HIPAA té la configuració HIPAA. Cada responsable revisa el seu perfil cada trimestre.
Enruta per origen. Les dades de clients de la UE utilitzen el perfil RGPD. Les dades sanitàries dels EUA utilitzen el perfil HIPAA. Les dades de consumidors de Califòrnia utilitzen el perfil CCPA.
Registra cada execució. Els registres de processament indiquen quin perfil s'ha utilitzat en cada lot. Quan un auditor pregunta com s'ha gestionat un arxiu, la resposta és un nom de perfil, una data i un registre de configuració.
Propaga les actualitzacions. Quan el EDPB publica noves directrius, el responsable RGPD actualitza la configuració compartida. Totes les execucions futures incorporen el canvi. No cal notificar a ningú.
Per aprofundir en la governànça de perfils i les proves d'auditoria, consulteu presets d'anonimització i consistència d'auditoria RGPD. Per als detalls de la cobertura d'entitats HIPAA Safe Harbor, consulteu desidentificació HIPAA Safe Harbor per a recerca sanitària.
Conclusió
Tres lleis. Tres perfils desats. Una eina.
La complexitat es troba al nivell de definició del perfil. No en el processament diari. Els operadors no necessiten coneixer les normes de dates de la HIPAA. Necessiten saber quin perfil s'adapta al document que tenen davant.
Les configuracions amb nom redueixen la càrrega cognitiva. Redueixen els errors. Fan el compliment demostrable.