Empresas & Indústrias

Entenda o conceito de Privacy by Design e sua relação com a LGPD

Termo cada vez mais comum no vocabulário de empresas, em especial startups, o Privacy by Design é uma abordagem focada na proteção da privacidade dos indivíduos.

O conceito foi desenvolvido nos anos 90 e ganhou reconhecimento internacional desde então, sendo abarcado pelo GDPR, o regulamento de proteção de dados da União Europeia.

A lógica do Privacy by Design também vem inserida na LGPD (Lei Geral de Proteção de Dados), e é uma grande aliada na adequação à legislação, pois configura uma boa prática nas operações de tratamento de dados pessoais.

 

O que é Privacy by Design

Basicamente, o Privacy by Design é um framework que tem como proposta central incorporar a privacidade e a proteção de dados pessoais em todos os projetos desenvolvidos por uma organização, desde a sua concepção.

Ele integra considerações sobre a privacidade desde o início do desenvolvimento de produtos, serviços, projetos, processos, práticas, tecnologias e infraestruturas.

O conceito foi desenvolvido na década de 90 por uma especialista em privacidade de dados, a Ph.D. canadense Ann Cavoukian. Posteriormente, ela criou um grupo de 7 princípios básicos que compõem a essência da metodologia.

O objetivo do Privacy by Design é garantir privacidade e permitir que os indivíduos tenham controle sobre seus dados pessoais, o que consequentemente dá uma vantagem competitiva às organizações que adotam a metodologia.

Na prática, os princípios do Privacy by Design podem ser aplicados a todo o ecossistema de informação, incluindo tecnologias específicas, operações de negócios, arquiteturas físicas e infraestruturas de rede.

 

7 princípios da metodologia Privacy by Design

 

1. Proativo, e não reativo; preventivo, e não corretivo

A metodologia Privacy by Design implica adotar uma postura proativa, em vez de reativa. A ideia é prever e prevenir incidentes de privacidade antes que eles ocorram.

Na prática, uma atuação baseada em Privacy by Design não espera que os riscos se concretizem nem tenta remediá-los depois que ocorrem; ela ocorre de forma a impedir que os incidentes aconteçam.

Assim, viabiliza-se um novo projeto garantindo-se a privacidade desde a sua concepção, impedindo esforços e gastos exacerbados de última hora.

De maneira geral, isso exige um comprometimento com padrões elevados de privacidade, muitas vezes mais rigorosos do que os impostos pelas próprias regulamentações de proteção de dados, como a LGPD.

Para colocar em prática esse princípio, também é necessário desenvolver métodos para identificar pontos fracos e prever práticas, riscos e resultados que possam afetar a privacidade de dados. O objetivo é corrigi-los antecipadamente, de forma sistemática.

 

2. Privacidade como padrão (Privacy by Default)

Um ponto fundamental do Privacy by Design é que a privacidade deve ser sempre a configuração padrão em qualquer sistema ou mesmo prática de negócio, não exigindo qualquer interação ou configuração por parte do usuário.

Ou seja, o indivíduo não precisa agir para adotar configurações de privacidade mais restritas: elas já vêm embutidas de forma padrão no produto, tecnologia ou serviço.

Para implementar esse princípio, é importante ter em mente alguns pontos:

  • O propósito para o tratamento de dados deve ser específico, claro, limitado e relevante às circunstâncias;
  • A coleta de dados deve ser feita de maneira legal e limitada ao necessário para cumprir o propósito do tratamento;
  • Por padrão, os sistemas devem priorizar a coleta de dados não identificáveis, minimizando ao máximo a coleta de dados pessoais;
  • O uso, retenção e divulgação de dados deve ser restrito ao necessário para cumprir o propósito informado ou atender uma obrigação legal, sendo que depois o dado deve ser descartado de forma segura.

 

3. Privacidade incorporada ao design

Este princípio coloca a privacidade como incorporada ao design e à arquitetura de sistemas de TI e práticas de negócio. Ou seja, a privacidade é um componente essencial do sistema, sem diminuir sua funcionalidade.

Isso exige uma abordagem que seja:

  • Holística, sempre considerando contextos mais amplos;
  • Integrativa, porque todos os envolvidos e partes interessadas devem ser consultados;
  • E criativa, já que muitas vezes será preciso se reinventar para adotar práticas que de fato respeitem os princípios do Privacy by Design.

 

4. Funcionalidade total (soma positiva, não soma-zero)

A metodologia do Privacy by Design também procura evitar a existência de falsos dilemas, como privacidade versus otimização. A ideia é acomodar todos os interesses e objetivos legítimos da organização, e não apenas os relacionados à privacidade.

O objetivo principal é somar e permitir a funcionalidade total do sistema ou projeto, trazendo benefícios e resultados para todos.

Isso inclui:

  • Incorporar a privacidade em tecnologias, processos e sistemas sem que isso prejudique sua funcionalidade total;
  • Abarcar objetivos não relacionados à privacidade e acomodá-los de maneira positiva, que agregue e não diminua;
  • Documentar todos os interesses e objetivos e buscar soluções que permitam a multifuncionalidade, sem que seja preciso abrir mão de um ou outro objetivo.

 

5. Segurança de ponta a ponta

Outro princípio essencial do Privacy by Design prevê a adoção de medidas robustas de segurança de ponta a ponta, protegendo os dados coletados durante todo seu ciclo de vida. Ou seja, da coleta, uso, acesso e armazenamento até o seu descarte.

Este princípio parte do pressuposto de que, sem segurança adequada, não existe privacidade. Portanto, é preciso que as organizações assumam de fato a responsabilidade pela segurança dos dados pessoais.

Um ponto importante é que os padrões de segurança adotados devem assegurar a confidencialidade, a integridade e a disponibilidade do dado.

Além disso, as organizações devem prever métodos seguros de descarte e destruição do dado; controle de acesso; e criptografia adequada.

 

6. Visibilidade e transparência

Um dos objetivos da metodologia Privacy by Design é garantir que a organização, tecnologia ou negócio de fato opera segundo o que promete.

A transparência é, portanto, um ponto fundamental do PbD, e permite estabelecer responsabilidades e confiança.

Não à toa, a entidade que se compromete com o Privacy by Design está sujeita a auditorias independentes.

Para garantir o atendimento a esse princípio, a organização deve ficar atenta a alguns pontos em especial:

  • Responsabilização: todas as políticas e procedimentos relacionados à privacidade devem ser documentados e comunicados de forma apropriada. Lembre-se que a coleta de dados pessoais traz consigo a responsabilidade de proteger a informação;
  • Abertura e transparência: informações sobre políticas e práticas de privacidade relacionadas a dados pessoais devem estar disponíveis aos usuários;
  • Compliance: é preciso adotar mecanismos de compliance que permitam monitorar, avaliar e verificar o cumprimento de políticas de privacidade.

 

7. Respeito pela privacidade do usuário

Por fim, o último princípio do Privacy by Design foca no respeito pela privacidade do usuário. É preciso sempre manter os interesses do usuário acima de tudo, oferecendo configurações fortes de privacidade, informações claras e opções user-friendly.

Neste ponto, Cavoukian destaca que, normalmente, os melhores resultados de Privacy by Design ocorrem quando as medidas são conscientemente desenhadas em torno dos interesses e necessidades dos usuários individuais.

Para a pesquisadora, a ação mais efetiva contra abusos de privacidade e mau uso de dados é justamente empoderar os indivíduos para que eles tenham papel ativo no gerenciamento dos seus próprios dados.

Neste sentido, é preciso sempre levar em conta pontos como:

  • O consentimento do usuário;
  • A exatidão dos dados tratados;
  • O acesso dos usuários aos seus próprios dados;
  • A adoção de mecanismos de compliance.

 

Qual a relação de Privacy by Design com a LGPD

A metodologia Privacy by Design não é mencionada nominalmente na LGPD e não configura, por si só, um requisito de conformidade. No entanto, ela facilita a adequação à lei, e tem especial relevância para um artigo específico:

“Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

(…)

§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.”

Quando se adota o Privacy by Design, a meta é justamente garantir a proteção dos dados desde a concepção do projeto, como determina o artigo 46 da LGPD.

Além disso, a metodologia é uma ferramenta importante para reduzir custos com a adequação à lei. Afinal, ela permite começar um projeto, serviço ou tecnologia já de forma aderente à LGPD, mesmo com poucos recursos.

Na maioria das vezes, adotar a proteção de dados desde o início sai muito mais barato do que arcar com a adequação posterior. Da mesma maneira, também evita multas e prejuízos causados por incidentes de privacidade.

No entanto, uma das maiores vantagens do Privacy by Design é justamente o diferencial competitivo que ele possibilita. Colocar a privacidade em primeiro lugar reforça positivamente a marca, destacando o compromisso da empresa perante o usuário.

Fonte: Get Privacy

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *