Privacy by design: saiba como adequar o seu produto à LGPD.

A adequação à Lei Geral de Proteção de Dados (LGPD) vai muito além de cumprir requisitos legais — ela exige uma transformação na forma como os produtos e serviços são projetados, colocando a privacidade e a segurança de dados pessoais no centro das operações. 

Nesse sentido, o Privacy by Design é uma solução que integra a proteção de dados desde a concepção até o descarte de informações, com soluções que priorizam os direitos dos usuários.

Neste artigo, explicaremos o que é o Privacy by Design e como ele se relaciona com as obrigações da LGPD. Vamos esmiuçar os sete princípios que fundamentam essa metodologia e listar os cinco passos indispensáveis para sua implementação.

Além disso, destacamos como as boas práticas podem ajudar a sua organização a mitigar riscos, construir confiança e transformar a proteção de dados em uma vantagem estratégica no mercado. 

Boa leitura!

O que é Privacy by Design? 

A LGPD exige a implantação do Privacy by Design, que nada mais é do que a adoção de medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais, desde a fase de concepção do produto ou do serviço até a sua execução.

Nesse sentido, a LGPD dispõe que os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança, aos princípios gerais e às demais normas regulamentares.

Como se vê, a proteção de dados pessoais impõe às organizações o desenvolvimento de produtos, sistemas e softwares que resguardem e considerem, sobretudo, os direitos dos titulares de dados pessoais, o que, evidentemente, só pode ser feito por meio do framework do Privacy by Design.

No final das contas, o que se almeja com o Privacy by Design é, justamente, a concepção de produtos ou serviços nos quais os usuários possam confiar e se sentir seguros.

De acordo com pesquisa realizada e consolidada pelo relatório da Consumer Pulse 2019, “mais de 75% dos consumidores não estão confortáveis com a coleta de dados via microfone ou assistente de voz e 51% dizem que o número de anúncios invasivos está crescendo”. 

Além disso, segundo pesquisa feita pela Febraban “quase um terço dos consumidores conhece alguma marca que foi ‘longe demais’ e 69% deles deixariam de fazer negócios ou repensar seu relacionamento com uma marca por causa disso.

Não é demais lembrar, também, que recentemente a Autoridade Nacional de Proteção de Dados Pessoais divulgou orientações aos usuários sobre a nova política de privacidade do Whatsapp, em razão, principalmente, da falta de transparência e da disponibilização simplificada aos titulares para o exercício dos seus direitos.

Podemos citar, também, as novas regras da Apple, que passaram a possibilitar a exclusão de contas dos usuários de uma maneira muito mais acessível e intuitiva, com o objetivo, justamente, de possibilitar um maior controle dos dados pessoais por parte de seus titulares.

Por esses motivos, não há dúvidas de que as boas práticas do Privacy by Design se apresentam como recurso essencial para as organizações, especialmente aquelas que desenvolvem produtos, sistemas e softwares.

Qual a relação com a LGPD?

Como falamos anteriormente, o Privacy by Design é mais do que uma boa prática ou diretrizes: ele é a ponte entre as exigências legais da LGPD e a criação de produtos que respeitam a privacidade dos titulares de dados. 

Enquanto a LGPD trabalha com princípios como transparência, segurança e responsabilidade, o Privacy by Design traz uma metodologia para implementar, de fato, essas diretrizes em todas as etapas do ciclo de vida de um produto ou serviço.

De acordo com o artigo 46 da LGPD, é obrigação das organizações implementar medidas técnicas e administrativas aptas a proteger os dados pessoais. 

Sendo assim, desde a criação de um sistema, aplicativo ou processo, as empresas devem aplicar métodos que reduzam riscos e garantam a segurança dos dados. Nesse sentido, o privacy by design não apenas atende às demandas legais, mas também contribui para a construção de produtos mais seguros. 

Privacy by Design e ISO 27001: como eles se relacionam na proteção de dados?

Agora que você já sabe a relação do Privacy by Design com LGPD, está na hora de mostrarmos as suas ligações com a ISO 27001. 

Afinal, essa norma define os padrões para implementação de um Sistema de Gestão de Segurança da Informação (SGSI), reforçando a necessidade de controle a fim de proteger dados pessoais.

Quando integrados, é possível:

• Identificar riscos associados no tratamento de dados ainda na fase de planejamento, atuando a caráter de prevenção;
• Investir em criptografia, controle de acessos e auditorias periódicas, que são fundamentais para a conformidade com a LGPD;
• Implementar a cultura de melhoria contínua, revisitando as práticas adotadas e abrindo espaço para adaptar às novas exigências – e ameaças. 

07 princípios do Privacy by Design

Com origem em meados da década de 1990 e desenvolvido por Ann Cavoukian, ex-comissária de informações e privacidade de Ontário – Canadá, o framework do Privacy by Design (PbD) exige que a proteção de dados pessoais seja incorporada em todo o ciclo de vida do produto, desde o estágio inicial de concepção até a implantação, utilização e descarte final.

De acordo com a Dra. Cavoukian, 7 princípios fundamentais sustentam o Privacy by Design. São eles:

Princípio 1: Proativo, Não Reativo; Preventivo, não corretivo

A privacidade deve estar prevista em qualquer produto, serviço, sistema ou processo. Os requisitos de privacidade devem apoiar o direcionamento do projeto (design), e não o contrário (o projeto causar violações de privacidade).

Princípio 2: Privacidade como padrão

As pessoas não deveriam ter que proteger sua privacidade por conta e risco; a configuração padrão dos sistemas e produtos deve preservar naturalmente a privacidade das pessoas. Qualquer atividade que exceda o contexto esperado da privacidade, deve exigir o consentimento informado dos indivíduos.

Princípio 3: Privacidade Incorporada ao Design

A privacidade deve estar tão enraizada no projeto (design), que o sistema ou processo não deve operar sem a funcionalidade de preservação de privacidade.

Princípio 4: Funcionalidade Completa – Soma Positiva, Não Soma Zero

A Privacidade e outros requisitos de projeto não devem ser tratados como uma troca. Os projetistas devem desenvolver soluções criativas em que todos ganham.

Princípio 5: Segurança de ponta a ponta – Proteção completa do ciclo de vida

Do berço ao túmulo, a segurança das informações pessoais deve ser considerada em todas as etapas do ciclo de vida da informação: coleta, processamento, armazenamento, compartilhamento e exclusão.

Princípio 6: Visibilidade e Transparência

A divulgação sobre o tratamento de dados pessoais não deve ser confusa ou vaga, e a publicidade sobre esse uso deve considerar as necessidades e a capacidade de compreensão dos respectivos públicos.

Princípio 7: Respeito à Privacidade do Usuário; mantenha-a centrado no usuário

O indivíduo é o principal beneficiário da privacidade e o principal afetado quando essa privacidade é violada; portanto, suas necessidades e riscos devem estar em primeiro plano na mente dos designers e projetistas de sistemas.

05 passos para implementar o Privacy by Design

A implementação dos princípios de Privacy by Design requer uma metodologia adequada para alcançar os resultados almejados – a proteção da privacidade incorporada no projeto dos sistemas de informação, considerando de maneira realista o escopo, prazos, custos e as funcionalidades que o sistema precisa atender.

Para isso, apresentamos a seguir 5 passos essenciais para implementação do Privacy by Design, considerando as melhores práticas de mercado, bem como as recomendações contidas no Guidelines 4/21 on Article 25 – Data Protection by Design and by Default e as orientações da  Autoridade Norueguesa de Proteção de Dados, Autoridade Espanhola de Proteção de Dados e da ENISA

1º: entenda o negócio por completo;

Como já tivemos a oportunidade de descrever sobre a implementação da LGPD, é essencial que as empresas entendam o contexto da organização e o desenvolvimento dos produtos.

É importante considerar que as providências e as ações que as organizações deverão adotar serão, diretamente, influenciadas pelo tipo de produto ou serviço oferecido, o setor de atuação, bem como o contexto regulatório inserido.

A título exemplificativo, mencionamos a Resolução CMN n. 4.893/2021, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.

No referido normativo é exigido, entre outras medidas, que as empresas desenvolvedoras de serviços de processamento e armazenamento de dados e de computação em nuvem, adotem procedimentos que contemplem:

• a adoção de práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas; e
• a possibilidade de acesso da instituição bancária aos dados e às informações a serem processados ou armazenados pelo prestador de serviço;
• a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço;
• a identificação e a segregação dos dados dos clientes da instituição por meio de controles físicos ou lógicos; e
• a qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes da instituição.

Como se percebe, é muito importante que as empresas que desenvolvem software realizem uma avaliação preliminar acerca de como seus sistemas e suas metodologias de desenvolvimento atendem aos requisitos de proteção de dados e segurança da informação, tomando por base, por exemplo, as melhores práticas do mercado, tais como as normas da “Família ISO 27.000”, os controles previstos na SOC 2 ou na Nist Privacy Framework.

Além disso, é fortemente recomendável que as equipes responsáveis pelo desenvolvimento de sistemas, sejam devidamente capacitadas acerca dos temas de proteção e privacidade de dados pessoais, bem como, segurança da informação.

O treinamento, tanto para colaboradores quanto gestores, é essencial para garantir que todos entendam a importância da proteção e segurança de dados. Os colaboradores precisam saber quais os requisitos necessários para assegurar a privacidade de dados, quais pontos devem ser avaliados e como garantir a proteção de dados em um produto ou serviço.

2º: realize um gap assessment e identifique os principais riscos de privacidade;

As empresas devem definir os requisitos relevantes para a proteção de dados e segurança da informação que o produto ou serviço ofertado deverá atender. Além disso, é importante definir também os níveis de tolerância, os impactos da proteção de dados e os riscos de segurança existentes.

Quando tais pontos são identificados previamente, as equipes de desenvolvimento poderão definir quais requisitos devem ser estabelecidos e atendidos, e assim, como mitigar ou eliminar as ameaças relacionadas à proteção e segurança de dados em todo o ciclo de vida do software, produto ou serviço.

Com essas informações, a empresa pode determinar quais leis, regras, diretrizes e códigos de conduta são aplicáveis e, assim, quais requisitos de configuração devem ser implementados.

Também é fundamental executar uma análise de risco de segurança da informação para identificar quais dados estão vulneráveis, e quais são as ameaças a que estão sujeitos. Assim, é possível prever os riscos e preveni-los antes que se concretizem.

3°: implemente o Privacy by design;

Neste passo, as empresas devem implementar os requisitos de proteção de dados no design ou projeto do produto ou serviço, o qual deve incluir os requisitos identificados no passo anterior, considerando funcionalidades para a segurança e a privacidade dos dados pessoais.

Para isso, temos 5 dicas: 

As recomendações acima podem, por exemplo, ser traduzidas nas seguintes ações:

• Segurança de Aplicações e Desenvolvimento Seguro

Implementar “Não Rastrear” – os sistemas devem permitir o bloqueio do rastreamento de atividades entre aplicativos e sites de outras empresas.

• Controle de Acesso

• • Implementar MFA – os sistemas devem implementar recursos de Múltiplo Fator de Autenticação.
  • Implementar Privilégio Mínimo – os sistemas devem implementar o princípio do Privilégio Mínimo (estratégia de segurança, que se baseia em conceder apenas as autorizações mínimas necessárias para o desempenho de uma atividade específica).
  • Gestão de senhas – os sistemas devem determinar a utilização de parâmetros para a geração e utilização de senhas fortes pelos usuários.

• Anonimização e Agregação de Dados

• • Utilizar a anonimização/pseudonimização para a proteção de dados sensíveis.
  • Coletar e processar dados estatísticos de forma agregada e dissociada do usuário – não utilizar dados reais no processo de desenvolvimento – homologação/teste.

• Minimização de Dados e Privacidade por Padrão

• • Disponibilizar o sistema com as configurações e controles máximos de privacidade por padrão.
  • Definir a finalidade da coleta de dados pessoais e coletar somente o mínimo de dados necessários.

• Transparência, Notificação e Consentimento

• • Publicar Políticas de Privacidades e os Termos e Condições de Uso utilizando linguagem de fácil compreensão.
  • Utilizar, sempre que possível, ícones, figuras ou outros recursos visuais que facilitem a compreensão.

• Geração de Dados Fictícios ou Sintéticos

• • Empregar dados artificiais que podem substituir ou simular dados reais em qualidade, semelhança e representatividade estatística em um conjunto real de dados.

• Virtualização de Serviços

• • Utilizar ambientes segregados para os usuários que necessitem de realizar o tratamento de dados pessoais em um ambiente controlado e com níveis de segurança.

4°: realize testes periódicos;

É necessário realizar testes para verificar se todos os requisitos previamente definidos foram implementados. Também é importante averiguar se há vulnerabilidades e se as ameaças detectadas nos passos anteriores foram solucionadas. Isso pode ser feito através de testes como:

Teste de Segurança

• Realizar testes dos sistemas de ponta a ponta para encontrar vulnerabilidades.
• Garantir que os códigos assegurem proteção adequada aos dados pessoais.

Testagem Dinâmica

• Analisar como os softwares se comportam em relação às diferentes permissões de usuário.
• Avaliar casos de falhas críticas de segurança.
• Garantir que os usuários terão acesso somente às informações e funcionalidades para as quais têm autorização.

Teste de Fuzzing

• Induzir os softwares intencionalmente ao erro.
• Utilizar ferramentas que enviam dados aleatórios ou incorretos a todos os possíveis campos do programa.

5°: promova melhoria contínua.

Logo após o lançamento do produto, do software ou do sistema, é preciso garantir que eles continuem a seguir a metodologia Privacy by Design. Para isso é imperativo estabelecer um plano para gerenciar incidentes que possam vir a ocorrer, bem como, estabelecer indicadores de melhoria contínua e realizar auditorias regulares.

Não improvise no Privacy by Design! Conte com a GEP 

Aos que chegaram até aqui, puderam notar que o processo de implementação dos princípios do Privacy by Design, de acordo com os requisitos da LGPD é complexo e há uma necessidade grande de uma equipe que tenha a real expertise para realizar os processos necessários. 

Até porque, quanto maior a organização e seus riscos, maior o cuidado na hora de implementar, de fato, cada um dos passos listados neste artigo.

Por isso, a GEP – Soluções em compliance existe: para ser a expertise que você precisa na hora de implementar o Privacy by Design e seguir os requisitos de proteção de dados e privacidade. 

Dentre as soluções, temos a Assessoria, com:

• DPO as a service;
• Implementação de Normativos de Privacidade e Proteção de Dados
• Assessoria em Privacidade e Proteção de Dados

Consultoria:

• Programa de Adequação à LGPD
• Certificações ISO 27001 e ISO 27701
• NIST 800-53 e CIS V8
• Certificação ISO 42001

Auditoria:

• Auditoria Interna em Boas Práticas, Selos e Normativos de Privacidade e Proteção de Dados
• Diagnóstico em Boas Práticas de Privacidade e Proteção de Dados
• Pré-Auditoria e Auditoria Interna Terceirizada (ISO 27001, ISO 27701 e ISO 42001)

Acesse o nosso site e seja referência em privacidade e proteção de dados com a GEP!