11/10/2021 07:00:00

O que é Privacy by Design, uma solução para se adequar à LPGD

Privacidade em primeiro lugar. Entenda como o Privacy by Design funciona para implementá-lo com sucesso na sua empresa

Desde que entrou em vigor em 2020, a Lei Geral de Proteção de Dados (LGPD) tem dado bastante trabalho para cientistas de dados, programados, advogados e demais profissionais do Direito. Além de terem que conhecer a legislação, eles precisam buscar soluções para que empresas, órgãos públicos e entidades sem fins lucrativos se adequem às novas regras.

A implementação da LGPD ainda está no começo e muitos aspectos relacionados à fiscalização e punição ainda estão sendo discutidos pela comunidade jurídica e pela Autoridade Nacional de Proteção de Dados (ANPD). Mas já existe uma solução disponível que orienta boas práticas de uso e armazenamento de dados: Privacy by Design.

Se você trabalha na área de tecnologia ou no meio jurídico, precisa conhecer esse conceito. Nos próximos parágrafos, você aprenderá o essencial sobre o que é Privacy by Design e como ele o ajudará a se adequar à LGPD.

🟣 Quer aprender mais sobre LGPD, Direito Digital e segurança da informação com quem é referência internacional no assunto? Garanta sua vaga no curso Direito 4.0: Direito Digital, Proteção de Dados e Cibersegurança da Pós PUCPR Digital.

Quero fazer a pós em Direito 4.0

O que é Privacy by Design

O Privacy by Design é um framework de concepção de produtos ou serviços que coloca a proteção da privacidade em todas as etapas do processo, além de servir como baliza ética. Na prática, a organização deve garantir que a privacidade seja incorporada ao sistema em todo o ciclo de desenvolvimento, inclusive permitindo que o usuário decida se irá fornecer seus dados ou não. Caso ele opte por não dar as informações, ele deve conseguir utilizar o produto ou serviço da mesma maneira.

Aqui, quando falamos em dados, estamos nos referindo a informações como nome, e-mail, CPF, localização, número de cartão de crédito, localização, formação, renda familiar, comportamentos de gastos e consumo... Detalhes mais sensíveis como orientação política e condições de saúde também entram na lista.

O conceito de Privacy By Design foi desenvolvido em 1990 pela canadense Ann Cavoukian, comissária para Informação e Privacidade de Ontário entre 1997 e 2014. O framework foi adotado como padrão internacional em outubro de 2010, na 32ª International Conference of Data Protection and Privacy Commissioners. Hoje ele inspira a General Data Protection Regulation (GDPR), na Europa, e a LGPD, no Brasil.

É importante lembrar que o debate sobre a privacidade é anterior ao Privacy by Design no meio jurídico. Em 1950, a seção 8 da European Convention of Human Rights já previa que "todos têm o direito ao respeito à privacidade e vida familiar, à sua casa e correspondência".

Os 7 princípios do Privacy by Design

Ann Cavoukian sistematizou seus estudos sobre privacidade em 2009 e publicou uma lista de princípios norteadores que é usada até hoje. Confira os 7 princípios do Privacy by Design:

1. Proatividade

A entidade responsável pela coleta, manipulação e manutenção dos dados deve ter uma postura positiva e ativa para garantir a privacidade. A lógica do Privacy by Design é preventiva, ou seja, a empresa não deve esperar acontecer um vazamento para agir. Ela precisa desenvolver ferramentas que evitem que isso aconteça.

2. Privacidade como padrão

A privacidade é um princípio e deve ser padrão. A exceção é aberta somente pelo usuário, que deve manifestar de forma objetiva sua decisão.

3. Privacidade do começo ao fim do design

A proteção da privacidade deve estar prevista em todas as etapas de planejamento e execução de um projeto, do desenho dos sistemas até um eventual descarte.

4. Funcionalidade plena

Na equação privacidade x eficiência, não deve existir uma relação de soma zero. Ou seja, o investimento em uma não deve levar à diminuição da outra. Em sua lista de princípio do Privacy by Design, Ann Cavoukian explica que deve ser criada uma relação de soma positiva, em que o aprimoramento de uma parte leve ao do outro.

5. Segurança do começo ao fim

A proteção dos dados deve estar garantida durante todo o ciclo de vida de um projeto: coleta, armazenamento, uso, manutenção e descarte.

6. Transparência

Todas as etapas do processo devem ser acessíveis para quem quiser acessá-las, em especial para fins de fiscalização. Isso inclui códigos-fonte, algoritmos e critérios para tomada de decisão pela Inteligência Artificial (IA).

7. Respeito ao usuário como valor fundamental

A privacidade do cidadão é a prioridade absoluta no Privacy by Design. Todo o projeto é centrado no usuário.

Privacy by Design e Privacy by Default: qual a diferença?

É comum haver certa confusão entre os dois conceitos. A principal diferença entre eles está na personalização. O framework de Privacy by Default recorre a padrões automáticos de proteção de dados, de forma uniforme e de prateleira. Já o Privacy by Design é uma solução mais customizada para a coleta, armazenamento e uso das informações, sendo adaptado ao contexto de cada empresa e a situações específicas.

Quem é Ann Cavoukian, inventora do conceito de Privacy by Design

Ann Cavoukian desenvolveu o conceito de Privacy by Design a partir de sua experiência no Comissariado para Informação e Privacidade de Ontário. Ela entrou no departamento em 1987, após coordenar pesquisas para o procurador geral da província e concluir um mestrado e um doutorado em Psicologia na Universidade de Toronto, onde também se especializou em criminologia e Direito.

Em 1997, Ann Cavoukian foi indicada para o cargo de comissária, que ocupou por três mandatos seguidos. Neste período, elaborou divulgou o conceito de Privacy by Design, além de escrever dois livros em coautoria:

  • "Who Knows: Safeguarding Your Privacy in a Networked World" (1997), com Don Tapscott;
  • "The Privacy Payoff: How Successful Businesses Build Customer Trust" (2002), com Tyler Hamilton.

Atualmente ela é professora da Ryerson University e consultora no Innovate Cities, iniciativa canadense voltada desenvolvimento de cidades mais sustentáveis e inclusivas. Ann Cavoukian também é professora convidada dos cursos Direito 4.0: Direito Digital, Proteção de Dados e Cibersegurança e Jurimetria, Legal Hacking e Inteligência Artificial da Pós PUCPR Digital.

Cavoukian ministra a disciplina "Privacy by Design e by Default: a ciência de dados guiada pela privacidade", área em que é referência internacional.

Como funciona a LGPD

A LGPD é um conjunto de normas que define como os dados pessoais dos usuários devem ser armazenados, protegidos e usados por empresas, pessoas e órgãos públicos. A legislação é válida em todo o território nacional e garante a privacidade da população, ao impedir que bases de contatos circulem livremente entre entidades privadas.

A lei protege o direito do cidadão de escolher como suas informações pessoais serão tratadas. É preciso ressaltar que a LGPD não proíbe cadastro ou armazenagem de dados, mas lista direitos e deveres que precisam ser cumpridos por pessoas físicas e jurídicas.

Saiba o que muda com a LGPD e no que você precisa ficar atento.

A relação entre o Privacy by Design e a LGPD

Apesar de não ser diretamente mencionado, o Privacy by Design é uma solução para organizações que precisam se adequar à LGPD. Lembrando que adotar o framework por si só não configura um requisito de conformidade.

O Privacy by Design é bastante útil para se adequar aos artigos 46 e 47 da lei:

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

[...]

§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.

Em outras palavras, ao seguir os princípios do Privacy by Design, a empresa estará garantindo a proteção dos dados desde a concepção do projeto, como previsto na LGPD.

Como implementar o Privacy by Design

Depois de ler tudo isso, você deve estar se perguntando por onde começar. Um bom caminho de como implementar o Privacy by Design são os 7 passos indicados pela Autoridade de Proteção de Dados da Noruega.

Se você quiser se aprofundar ainda mais sobre o assunto, o ideal é buscar uma pós-graduação em direito digital que aborde outros aspectos relacionados à privacidade, segurança da informação e legislação. Lembramos que você não precisa ter bacharelado em Direito para se especializar na área.

Confira a seguir os 7 passos para implementar o Privacy by Design na sua empresa.

1. Treinamento dos colaboradores

Colaboradores, gestores e executivos devem participar de treinamentos sobre segurança de dados. Toda a organização deve estar ciente da importância da privacidade do usuário.

É nos treinamentos que as equipes conhecerão os métodos e rotinas que devem seguir para estar de acordo com a LGPD, além de boas práticas de cibersegurança.

Não existe uma forma única de executar este primeiro passo de implementação do Privacy by Design, mas a Autoridade de Proteção de Dados da Noruega indica que os requisitos internos e externos que são exigidos da organização sejam abordados.

Os requisitos internos são:

  • Proteção de dados;
  • Segurança da informação;
  • Controle interno;
  • Gestão de recursos;
  • Análise de riscos;
  • Exigências referentes a documentação.

Já os requisitos externos são:

  • Leis e regulamentações de proteção de dados, como a LGPD.
  • Regulamentações específicas para o setor em que a empresa atua;
  • A importância dos princípios da proteção de dados;
  • Direitos dos indivíduos detentores dos dados.

Os treinamentos devem ser planejados de acordo com a realidade de cada empresa, considerando seu segmento, porte e produto/serviço oferecido ao público. Geralmente, eles são organizados em parceria entre o departamento jurídico e a área de TI. A Autoridade de Proteção de Dados da Noruega recomenda que os treinamentos sejam incluídos na rotina de onboarding e sejam reforçados toda vez que a empresa iniciar um projeto novo.

2. Requisitos

Departamento jurídico e equipe de desenvolvimento devem, juntos, fazer um levantamento dos requisitos necessários de configuração para proteção de dados e segurança da informação. Neste momento, ter um especialista em Direito Digital na equipe é fundamental, pois ele apontará quais leis, diretrizes e códigos de condutas são aplicáveis ao projeto. Essas informações que determinam quais requisitos o produto/serviço deve incorporar.

Confira o checklist de requisitos de Privacy by Design desenvolvido pela Autoridade de Proteção de Dados da Noruega.

3. Design

É neste momento da implementação do Privacy by Design que os requisitos definidos no passo anterior serão incluídos no desenvolvimento. Também é preciso fazer um levantamento de possíveis ameaças de cibersegurança e planejar o que será feito para evitar vazamentos.

A etapa de design é dividida em duas categorias de requisitos. A primeira é de design orientados a dados, que prevê:

  1. Minimização do limite: a quantidade de dados coletada e processada deve estar limitada ao que é estritamente necessário.
  2. Ocultamento e proteção: dados dos usuários não devem ser comunicados, processados nem armazenados à vista. A criptografia é uma forma de esconder essas informações.
  3. Segmentação: não processe ou armazene os dados de um mesmo usuário em um único ambiente. Assim você diminui as chances de criar um perfil completo dos clientes, protegendo a privacidade deles.
  4. Agregação: os dados devem ser colhidos e processados com o maior nível de agregação possível. Isso significa reduzir o nível de detalhamento das informações particulares e remover o que é desnecessário para o negócio.
  5. Proteção de dados como padrão: todas as configurações devem ser privacy-friendly, permitindo ao usuário decidir se irá ou não fornecer os dados dele.

A segunda é o design orientado a projetos, que inclui:

  1. Informação: o usuário deve ter informações suficientes sobre como seus dados serão processados ao utilizar o produto ou serviço.
  2. Controle: toda pessoa tem o direito de controlar seus dados pessoais, ou seja, ela deve conseguir acessar, atualizar e deletar as informações fornecidas.
  3. Transparência: o usuário deve ter acesso à documentação que explica como a empresa protege seus dados.
  4. Demonstração: a empresa deve documentar todos os processos que asseguram a privacidade e proteção dos dados.
  5. Redução de oportunidades de exploração de vulnerabilidades: a empresa deve revisar o design do ponto de vista do invasor, avaliando a comunicação dos dados, o fluxo de data e o input e o output das informações.

Confira o checklist de design da Autoridade de Proteção de Dados da Noruega.

4. Codificação

Hora da equipe de desenvolvimento colocar a mão na massa. A partir dos checklists de Privacy by Design das etapas anteriores, ela conseguirá escrever códigos que implementem os requisitos de privacidade e proteção de dados.

Neste momento, é importante prestar atenção em:

  • Aprovar previamente as ferramentas e frameworks;
  • Listar quais componentes de apoio e ferramentas são terceirizados;
  • Desabilitar funções e módulos não-seguros, como APIs e bibliotecas de terceiros;
  • Implementar verificações regulares de vulnerabilidade do código, incluindo análise estática;
  • Documentar todas as etapas de execução do projeto.

5. Testes

Depois da codificação, testes devem ser realizados para verificar se todos os requisitos de proteção de dados e segurança da informação foram implementados conforme planejado. A equipe também deve buscar vulnerabilidades, por meio de testes dinâmicos, de fuzzing e de penetração.

Confira o checklist de testes da Autoridade de Proteção de Dados da Noruega.

6. Lançamento

No Privacy by Design, o lançamento de um produto ou serviço é acompanhado pela elaboração de um plano de resposta a incidentes e de procedimentos de atualização. Ah! Antes de lançar algo para o mercado, vale fazer aquela última revisão de segurança.

Confira o checklist de lançamento da Autoridade de Proteção de Dados da Noruega.

7. Manutenção

O lançamento foi concluído, mas os processos de Privacy by Design continuam. É neste último passo que o plano de respostas a incidentes é colocado em prática, o que inclui manter um centro de atendimento preparado para auxiliar o usuário em casos de vazamento.

Confira o checklist de manutenção da Autoridade de Proteção de Dados da Noruega.

sobre o autor

Olívia Baldissera

Jornalista, historiadora e analista de conteúdo da Pós PUCPR Digital.

Comentários

Os comentários são de responsabilidade exclusiva de seus autores e não representam a opinião deste site.

Próximo conteúdo

Data lake, a fonte mágica de dados para sua estratégia de Big Data

Privacidade em primeiro lugar. Entenda como o Privacy by Design funciona para implementá-lo com sucesso na sua empresa

Tempo de leitura

8 min