LGPD – Entendendo e descomplicando o termo “Privacy by Design (Privacidade desde a concepção)”

O conceito de privacidade desde sua concepção, foi desenvolvido nos anos 90 pela especialista em privacidade de dados, Ann Cavoukian, sendo que em 2009, ela estabeleceu os 7 princípios fundamentais que devem servir de guia na implementação das medidas de boas práticas em privacidade para sua empresa.

O termo “Privacy by Design” começou a ser conhecido no mundo nos anos 2010, pela adoção do documento pela International Assembly of Privacy Commissioners and Data Protection Authorities.

A partir deste momento, foi cada vez mais difundido e utilizado pelas empresas como uma abordagem focada na proteção da privacidade das pessoas, ganhando destaque internacional com a GDPR (Regulamento de proteção de dados da União Europeia), logo podemos aqui fazer uma relação com a LGPD (Lei Geral de Proteção de Dados), que trata da proteção e privacidade dos dados pessoais e sensíveis.

 

Mas o que é Privacy by Design?

Podemos dizer que é uma metodologia de boas práticas, um norte de como guiar e incorporar a proteção, a segurança e a privacidade de dados pessoais em todo um ecossistema, seja nos serviços, projetos, processos, práticas, tecnologias e infraestruturas desenvolvidas ou implementadas em uma empresa desde o seu início, ou seja, desde a sua concepção.

Vamos aos 7 princípios do Privacy by Design!


1. Proativo, não reativo; preventivo, não corretivo

O Privacy by Design visa adotarmos uma postura proativa, em vez de reativa, ou seja, antecipar e se prevenir de incidentes de privacidade antes que eles possam ocorrer e não tentar remediar depois de ocorrido.

Assim, de maneira geral, independentemente de onde for aplicado, inicia-se através do reconhecimento implícito do valor e dos benefícios de adotar práticas fortes de privacidade de forma proativa e consistente, seja em um novo projeto de desenvolvimento, design de tela ou na implementação de uma nova tecnologia.

Isso exige um comprometimento com padrões e cuidados elevados de privacidade, muitas vezes mais rigorosos do que os impostos pelas próprias regulamentações de proteção de dados, como a GDPR e LGPD.

 

2. Privacidade como padrão (Privacy by Default)

Um ponto fundamental do Privacy by Design é que a privacidade deve ser sempre a configuração padrão em qualquer sistema ou prática de negócio, não exigindo qualquer configuração ou interação por parte do usuário final.

Dessa forma, o indivíduo não precisa fazer nada para que sua privacidade permaneça restrita. Ela faz parte do sistema, produto ou tecnologia por padrão.

É importante ter em mente alguns pontos para se implementar esse princípio:


Especificação do propósito

O propósito para a coleta, tratamento, uso e transferência dos dados deve ser específico, claro, limitado a sua finalidade e comunicado ao indivíduo no momento da coleta.


Limitação da coleta

Deve ser coletado somente os dados realmente necessários para cumprir o propósito do tratamento e deve ser feita de maneira legal e transparente.


Minimização dos dados

Por padrão, deve se coletar o mínimo possível de dados pessoais, quanto menos melhor, minimizando ao máximo o risco de uso de dados não necessários, seja no projeto de desenvolvimento, design de tela ou na implementação de tecnologias.

 

Limitação no uso, retenção e divulgação

O uso, retenção e divulgação de dados deve ser limitado e restrito ao necessário para cumprir o propósito informado ou atender uma obrigação legal, sendo que depois deve ser previsto a possibilidade de descarte definitivo ou em alguns casos, a salva de forma anonimizada de forma irreversível.

 

3. Privacidade incorporada ao design

Este princípio deve ser incorporado ao design e na arquitetura de desenvolvimento de sistema ou na prática de negócios ou quaisquer produtos e serviços desenhados na empresa. Ou seja, a privacidade é um componente essencial do sistema, sem diminuir sua funcionalidade.


Isso exige uma abordagem que seja:


– Holística, sempre considerando contextos mais amplos;

– Integrada, porque todos as partes interessadas devem ser consultadas;

– Criativa, já que muitas vezes será preciso se reinventar para adotar práticas que de fato respeitem os princípios da privacidade.


4. Funcionalidade total (soma positiva, não soma-zero)

A metodologia do Privacy by Design também procura evitar a existência de falsos dilemas, como privacidade versus otimização. O objetivo principal é somar e permitir a funcionalidade total do sistema ou projeto, trazendo benefícios e resultados para todos e não apenas os relacionados a privacidade.

Isso inclui:

– Incorporar a privacidade em tecnologias, processos e sistemas sem que isso prejudique sua funcionalidade total e, na medida do possível, que todos os requisitos sejam otimizados;

– Incorporar outros objetivos que não somente relacionados à privacidade de maneira positiva, que agregue e não diminua;


Documentar todos os interesses e objetivos e buscar através da criatividade e inovação, soluções que permitam a multifuncionalidade, sem que seja preciso abrir mão de um ou outro objetivo.

 

5. Segurança de ponta a ponta (proteção durante todo o ciclo de vida)

Outro princípio essencial do Privacy by Design prevê a adoção de medidas robustas de segurança de ponta a ponta, protegendo continuamente os dados coletados durante todo seu ciclo de vida. Ou seja, da coleta, uso, acesso, armazenamento até o seu descarte.

Aqui neste princípio, fica claro que, sem segurança, não existe privacidade. Portanto, é preciso que as empresas assumam a responsabilidade pela segurança dos dados pessoais através de padrões desenvolvidos e reconhecidos pelo mercado.

Os padrões de segurança aplicados devem assegurar a confidencialidade, a integridade e a disponibilidade dos dados pessoais ao longo de todo o ciclo de vida, incluindo métodos de deleção segura, criptografia e controle rígido de acessos e alterações.

 

6. Visibilidade e transparência

O Privacy by Design visa garantir a transparência, seja nas práticas de negócios ou na tecnologia envolvida, ou seja, se de fato está operando de acordo com o que foi prometido/acordado, tanto que está sujeita a auditorias externas e independentes.

A visibilidade e transparência é essencial para estabelecer responsabilidades e confiança.

– Responsabilidade: toda a coleta de dados pessoais relacionados à privacidade deve ser documentada e comunicada de forma apropriada. Lembre-se que a coleta de dados pessoais traz consigo a responsabilidade de proteger a informação;

– Abertura e transparência: informações sobre políticas e práticas de privacidade relacionadas a dados pessoais devem estar disponíveis aos usuários;

– Compliance: é preciso estabelecer mecanismos de conformidade que permitam monitorar, avaliar e verificar o cumprimento de políticas e procedimentos de privacidade.

 

7. Respeito pela privacidade do usuário

O Privacy by Design acima de tudo foca no respeito pela privacidade do usuário. É preciso sempre manter os interesses do usuário acima de tudo, oferecendo configurações fortes de privacidade, informações claras e opções amigáveis de configurações e uso.

Neste ponto, Cavoukian destaca que, normalmente, os melhores resultados de Privacy by Design ocorrem quando os projetos são concebidos conscientemente em torno dos usuários em relação aos seus interesses e necessidades de segurança e privacidade.

Para a pesquisadora, a ação mais efetiva contra abusos de privacidade e mau uso de dados é justamente empoderar os indivíduos para que eles tenham papel ativo no gerenciamento dos seus próprios dados.

Neste sentido, é preciso sempre levar em conta pontos como:


– Consentimento: O consentimento deve ser do usuário para a coleta, uso ou divulgação de dados pessoais, exceto onde for permitido por lei. Quanto maior a sensibilidade dos dados, mais clara e específica deverá ser a qualidade do consentimento exigido. O consentimento poderá ser retirado posteriormente.

– Precisão: Os dados pessoais devem ser precisos, completos e atualizados quando necessário para que se possa cumprir os objetivos específicos.

– Acesso: Os usuários devem ter acesso aos seus dados pessoais, além de serem informados de seu uso, tratamento e divulgação. Os usuários devem ser capazes de confirmar a precisão e integridade dos dados e alterá-los sempre que necessário.

– Conformidade: As empresas devem estabelecer canais e mecanismos de atendimento aos usuários, onde possam solicitar correções, informações e/ou comunicar informações sobre eles ao público, incluindo como acessar o próximo nível de recurso.

Veja mais

Acompanhe as tendências de mercado

Preencha o formulário abaixo e receba as atualizações do momento