Privacidade desde a concepção

Em artigo, Leonardo Lemes – diretor de Segurança Cibernética da Service IT, fala sobre projeções de atuação da Lei Brasileira de Proteção de Dados Pessoais (LPDP)

Por: - 5 meses atrás

*Por Leonardo Lemes

A Lei Brasileira de Proteção de Dados Pessoais (LPDP) e a General Data Protection Regulation (GDPR) determinam que as atividades de tratamento de dados pessoais devem observar, além da boa-fé, os seguintes princípios: a finalidade, a adequação, a necessidade, o livre acesso, a qualidade dos dados, a transparência, a segurança, a prevenção, a não discriminação e a responsabilização.

Privacy by Design (PbD) se refere a uma abordagem que visa a garantir a privacidade do usuário ao longo de todo o ciclo de vida de uma aplicação, serviço ou processo de negócio. O PbD incorpora medidas de proteção de dados pessoais desde a concepção e concede, ao titular dos dados, flexibilidade e poder para gerenciar o tratamento das informações pessoais. Essa abordagem considera os seguintes princípios:

Ser proativo, e não reativo

Antecipar e prevenir eventos que possam comprometer a privacidade antes que eles ocorram. Por meio desse princípio, os eventos que possam comprometer o direito fundamental à privacidade devem ser identificados, e as estratégias de tratamento, definidas.

Privacidade como configuração padrão

Garantir que os dados pessoais sejam automaticamente protegidos, ou seja, sem que o titular dos dados tenha de realizar configurações adicionais. As configurações referentes à privacidade devem estar definidas de maneira que o máximo de proteção seja refletido na configuração padrão.

Privacidade incorporada ao design

A proteção dos dados pessoais deve ser parte do projeto de arquitetura da aplicação, serviço ou prática de negócio, e não um componente opcional (add-ons). Esse princípio, reduz o esforço do usuário a fim de garantir a privacidade de seus dados.

Funcionalidade completa

Assegurar que a proteção de dados pessoais esteja alinhada com os interesses e objetivos legítimos de quem é responsável pelo tratamento dessas informações, sem abrir mão da segurança para obter mais dados. O princípio em questão estabelece uma relação de ganha-ganha entre o titular e os agentes de tratamento de dados.

Segurança de ponta a ponta

A proteção dos dados pessoais deve ser contemplada ao longo de todo o ciclo de vida, ou seja, da coleta até o descarte das informações, passando pelo transporte, processamento e armazenamento.

Visibilidade e transparência

Conceder visibilidade ao titular do dado quanto à finalidade da coleta e com quem estão sendo compartilhados esses dados e o porquê, bem como abertura para realização de auditorias para assegurar que as informações pessoais estejam sendo devidamente protegidas. É um princípio abrangente e, por isso mesmo, um dos mais desafiadores do PbD.

Respeite a privacidade do usuário

Manter os interesses do titular dos dados em primeiro lugar, isto é, disponibilizar controles robustos para proteção de dados, notificando-o de maneira clara e oportuna, ao mesmo tempo em que torna as configurações referentes à privacidade amigáveis.

Incorporar os princípios do PbD à prática de desenvolvimento de novos produtos e serviços, demanda investimentos para conscientizar e capacitar as partes envolvidas e assegura uma abordagem sistemática e integrada, cujos resultados vão além da conformidade com leis e normas de proteção de dados pessoais.

A proteção da privacidade impulsiona a criação de modelos de negócios, contribui para o desenvolvimento de novos meios para proteção de dados pessoais e precisa ser encarada pelas organizações como uma ferramenta que vem para viabilizar a transformação digital dos negócios.

*Leonardo Lemes diretor de Segurança Cibernética da Service IT, integradora de soluções e serviços de TI especializada em outsourcing e consultoria.