A adequação à Lei Geral de Proteção de Dados (LGPD) vai muito além de cumprir requisitos legais — ela exige uma transformação na forma como os produtos e serviços são projetados, colocando a privacidade e a segurança de dados pessoais no centro das operações.
Nesse sentido, o Privacy by Design é uma solução que integra a proteção de dados desde a concepção até o descarte de informações, com soluções que priorizam os direitos dos usuários.
Neste artigo, explicaremos o que é o Privacy by Design e como ele se relaciona com as obrigações da LGPD. Vamos esmiuçar os sete princípios que fundamentam essa metodologia e listar os cinco passos indispensáveis para sua implementação.
Além disso, destacamos como as boas práticas podem ajudar a sua organização a mitigar riscos, construir confiança e transformar a proteção de dados em uma vantagem estratégica no mercado.
Boa leitura!
A LGPD exige a implantação do Privacy by Design, que nada mais é do que a adoção de medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais, desde a fase de concepção do produto ou do serviço até a sua execução.
Nesse sentido, a LGPD dispõe que os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança, aos princípios gerais e às demais normas regulamentares.
Como se vê, a proteção de dados pessoais impõe às organizações o desenvolvimento de produtos, sistemas e softwares que resguardem e considerem, sobretudo, os direitos dos titulares de dados pessoais, o que, evidentemente, só pode ser feito por meio do framework do Privacy by Design.
No final das contas, o que se almeja com o Privacy by Design é, justamente, a concepção de produtos ou serviços nos quais os usuários possam confiar e se sentir seguros.
De acordo com pesquisa realizada e consolidada pelo relatório da Consumer Pulse 2019, “mais de 75% dos consumidores não estão confortáveis com a coleta de dados via microfone ou assistente de voz e 51% dizem que o número de anúncios invasivos está crescendo”.
Além disso, segundo pesquisa feita pela Febraban “quase um terço dos consumidores conhece alguma marca que foi ‘longe demais’ e 69% deles deixariam de fazer negócios ou repensar seu relacionamento com uma marca por causa disso.
Não é demais lembrar, também, que recentemente a Autoridade Nacional de Proteção de Dados Pessoais divulgou orientações aos usuários sobre a nova política de privacidade do Whatsapp, em razão, principalmente, da falta de transparência e da disponibilização simplificada aos titulares para o exercício dos seus direitos.
Podemos citar, também, as novas regras da Apple, que passaram a possibilitar a exclusão de contas dos usuários de uma maneira muito mais acessível e intuitiva, com o objetivo, justamente, de possibilitar um maior controle dos dados pessoais por parte de seus titulares.
Por esses motivos, não há dúvidas de que as boas práticas do Privacy by Design se apresentam como recurso essencial para as organizações, especialmente aquelas que desenvolvem produtos, sistemas e softwares.
Como falamos anteriormente, o Privacy by Design é mais do que uma boa prática ou diretrizes: ele é a ponte entre as exigências legais da LGPD e a criação de produtos que respeitam a privacidade dos titulares de dados.
Enquanto a LGPD trabalha com princípios como transparência, segurança e responsabilidade, o Privacy by Design traz uma metodologia para implementar, de fato, essas diretrizes em todas as etapas do ciclo de vida de um produto ou serviço.
De acordo com o artigo 46 da LGPD, é obrigação das organizações implementar medidas técnicas e administrativas aptas a proteger os dados pessoais.
Sendo assim, desde a criação de um sistema, aplicativo ou processo, as empresas devem aplicar métodos que reduzam riscos e garantam a segurança dos dados. Nesse sentido, o privacy by design não apenas atende às demandas legais, mas também contribui para a construção de produtos mais seguros.
Agora que você já sabe a relação do Privacy by Design com LGPD, está na hora de mostrarmos as suas ligações com a ISO 27001.
Afinal, essa norma define os padrões para implementação de um Sistema de Gestão de Segurança da Informação (SGSI), reforçando a necessidade de controle a fim de proteger dados pessoais.
Quando integrados, é possível:
Com origem em meados da década de 1990 e desenvolvido por Ann Cavoukian, ex-comissária de informações e privacidade de Ontário – Canadá, o framework do Privacy by Design (PbD) exige que a proteção de dados pessoais seja incorporada em todo o ciclo de vida do produto, desde o estágio inicial de concepção até a implantação, utilização e descarte final.
De acordo com a Dra. Cavoukian, 7 princípios fundamentais sustentam o Privacy by Design. São eles:
Princípio 1: Proativo, Não Reativo; Preventivo, não corretivo
A privacidade deve estar prevista em qualquer produto, serviço, sistema ou processo. Os requisitos de privacidade devem apoiar o direcionamento do projeto (design), e não o contrário (o projeto causar violações de privacidade).
Princípio 2: Privacidade como padrão
As pessoas não deveriam ter que proteger sua privacidade por conta e risco; a configuração padrão dos sistemas e produtos deve preservar naturalmente a privacidade das pessoas. Qualquer atividade que exceda o contexto esperado da privacidade, deve exigir o consentimento informado dos indivíduos.
Princípio 3: Privacidade Incorporada ao Design
A privacidade deve estar tão enraizada no projeto (design), que o sistema ou processo não deve operar sem a funcionalidade de preservação de privacidade.
Princípio 4: Funcionalidade Completa – Soma Positiva, Não Soma Zero
A Privacidade e outros requisitos de projeto não devem ser tratados como uma troca. Os projetistas devem desenvolver soluções criativas em que todos ganham.
Princípio 5: Segurança de ponta a ponta – Proteção completa do ciclo de vida
Do berço ao túmulo, a segurança das informações pessoais deve ser considerada em todas as etapas do ciclo de vida da informação: coleta, processamento, armazenamento, compartilhamento e exclusão.
Princípio 6: Visibilidade e Transparência
A divulgação sobre o tratamento de dados pessoais não deve ser confusa ou vaga, e a publicidade sobre esse uso deve considerar as necessidades e a capacidade de compreensão dos respectivos públicos.
Princípio 7: Respeito à Privacidade do Usuário; mantenha-a centrado no usuário
O indivíduo é o principal beneficiário da privacidade e o principal afetado quando essa privacidade é violada; portanto, suas necessidades e riscos devem estar em primeiro plano na mente dos designers e projetistas de sistemas.
A implementação dos princípios de Privacy by Design requer uma metodologia adequada para alcançar os resultados almejados – a proteção da privacidade incorporada no projeto dos sistemas de informação, considerando de maneira realista o escopo, prazos, custos e as funcionalidades que o sistema precisa atender.
Para isso, apresentamos a seguir 5 passos essenciais para implementação do Privacy by Design, considerando as melhores práticas de mercado, bem como as recomendações contidas no Guidelines 4/21 on Article 25 – Data Protection by Design and by Default e as orientações da Autoridade Norueguesa de Proteção de Dados, Autoridade Espanhola de Proteção de Dados e da ENISA
Como já tivemos a oportunidade de descrever sobre a implementação da LGPD, é essencial que as empresas entendam o contexto da organização e o desenvolvimento dos produtos.
É importante considerar que as providências e as ações que as organizações deverão adotar serão, diretamente, influenciadas pelo tipo de produto ou serviço oferecido, o setor de atuação, bem como o contexto regulatório inserido.
A título exemplificativo, mencionamos a Resolução CMN n. 4.893/2021, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.
No referido normativo é exigido, entre outras medidas, que as empresas desenvolvedoras de serviços de processamento e armazenamento de dados e de computação em nuvem, adotem procedimentos que contemplem:
Como se percebe, é muito importante que as empresas que desenvolvem software realizem uma avaliação preliminar acerca de como seus sistemas e suas metodologias de desenvolvimento atendem aos requisitos de proteção de dados e segurança da informação, tomando por base, por exemplo, as melhores práticas do mercado, tais como as normas da “Família ISO 27.000”, os controles previstos na SOC 2 ou na Nist Privacy Framework.
Além disso, é fortemente recomendável que as equipes responsáveis pelo desenvolvimento de sistemas, sejam devidamente capacitadas acerca dos temas de proteção e privacidade de dados pessoais, bem como, segurança da informação.
O treinamento, tanto para colaboradores quanto gestores, é essencial para garantir que todos entendam a importância da proteção e segurança de dados. Os colaboradores precisam saber quais os requisitos necessários para assegurar a privacidade de dados, quais pontos devem ser avaliados e como garantir a proteção de dados em um produto ou serviço.
As empresas devem definir os requisitos relevantes para a proteção de dados e segurança da informação que o produto ou serviço ofertado deverá atender. Além disso, é importante definir também os níveis de tolerância, os impactos da proteção de dados e os riscos de segurança existentes.
Quando tais pontos são identificados previamente, as equipes de desenvolvimento poderão definir quais requisitos devem ser estabelecidos e atendidos, e assim, como mitigar ou eliminar as ameaças relacionadas à proteção e segurança de dados em todo o ciclo de vida do software, produto ou serviço.
Com essas informações, a empresa pode determinar quais leis, regras, diretrizes e códigos de conduta são aplicáveis e, assim, quais requisitos de configuração devem ser implementados.
Também é fundamental executar uma análise de risco de segurança da informação para identificar quais dados estão vulneráveis, e quais são as ameaças a que estão sujeitos. Assim, é possível prever os riscos e preveni-los antes que se concretizem.
Neste passo, as empresas devem implementar os requisitos de proteção de dados no design ou projeto do produto ou serviço, o qual deve incluir os requisitos identificados no passo anterior, considerando funcionalidades para a segurança e a privacidade dos dados pessoais.
Para isso, temos 5 dicas:
As recomendações acima podem, por exemplo, ser traduzidas nas seguintes ações:
Implementar “Não Rastrear” – os sistemas devem permitir o bloqueio do rastreamento de atividades entre aplicativos e sites de outras empresas.
É necessário realizar testes para verificar se todos os requisitos previamente definidos foram implementados. Também é importante averiguar se há vulnerabilidades e se as ameaças detectadas nos passos anteriores foram solucionadas. Isso pode ser feito através de testes como:
Teste de Segurança
Testagem Dinâmica
Teste de Fuzzing
Logo após o lançamento do produto, do software ou do sistema, é preciso garantir que eles continuem a seguir a metodologia Privacy by Design. Para isso é imperativo estabelecer um plano para gerenciar incidentes que possam vir a ocorrer, bem como, estabelecer indicadores de melhoria contínua e realizar auditorias regulares.
Aos que chegaram até aqui, puderam notar que o processo de implementação dos princípios do Privacy by Design, de acordo com os requisitos da LGPD é complexo e há uma necessidade grande de uma equipe que tenha a real expertise para realizar os processos necessários.
Até porque, quanto maior a organização e seus riscos, maior o cuidado na hora de implementar, de fato, cada um dos passos listados neste artigo.
Por isso, a GEP – Soluções em compliance existe: para ser a expertise que você precisa na hora de implementar o Privacy by Design e seguir os requisitos de proteção de dados e privacidade.
Dentre as soluções, temos a Assessoria, com:
Consultoria:
Auditoria:
Acesse o nosso site e seja referência em privacidade e proteção de dados com a GEP!
Entre em contato com nossos especialistas que vamos te ajudar!
Acesse, em primeira mão, as nossas principais notícias diretamente em seu e-mail
Contatos
R. Ferreira Lima, 238, 2º Andar, Centro, Florianópolis - SC, 88015-420
Nossas Atuações
Consultoria
Assessoria
Auditoria
GEP Soluções em Compliance © 2024 - Anfi Consulting