Inscreva-se
imagem
PUCPR Logo

O que é Privacy by Design, uma solução para se adequar à LPGD

okleina • 11 de outubro de 2021

Lorem ipsum dolor sit amet, consectetur adipiscing elit

Acompanhe

    Desde que entrou em vigor em 2020, a Lei Geral de Proteção de Dados (LGPD) tem dado bastante trabalho para cientistas de dados, programados, advogados e demais profissionais do Direito. Além de terem que conhecer a legislação, eles precisam buscar soluções para que empresas, órgãos públicos e entidades sem fins lucrativos se adequem às novas regras.

    A implementação da LGPD ainda está no começo e muitos aspectos relacionados à fiscalização e punição ainda estão sendo discutidos pela comunidade jurídica e pela Autoridade Nacional de Proteção de Dados (ANPD). Mas já existe uma solução disponível que orienta boas práticas de uso e armazenamento de dados: Privacy by Design.

    Se você trabalha na área de tecnologia ou no meio jurídico, precisa conhecer esse conceito. Nos próximos parágrafos, você aprenderá o essencial sobre o que é Privacy by Design e como ele o ajudará a se adequar à LGPD.

    O que é Privacy by Design

    O Privacy by Design é um framework de concepção de produtos ou serviços que coloca a proteção da privacidade em todas as etapas do processo, além de servir como baliza ética. Na prática, a organização deve garantir que a privacidade seja incorporada ao sistema em todo o ciclo de desenvolvimento, inclusive permitindo que o usuário decida se irá fornecer seus dados ou não. Caso ele opte por não dar as informações, ele deve conseguir utilizar o produto ou serviço da mesma maneira.

    Aqui, quando falamos em dados, estamos nos referindo a informações como nome, e-mail, CPF, localização, número de cartão de crédito, localização, formação, renda familiar, comportamentos de gastos e consumo... Detalhes mais sensíveis como orientação política e condições de saúde também entram na lista.

    O conceito de Privacy By Design foi desenvolvido em 1990 pela canadense Ann Cavoukian, comissária para Informação e Privacidade de Ontário entre 1997 e 2014. O framework foi adotado como padrão internacional em outubro de 2010, na 32ª International Conference of Data Protection and Privacy Commissioners. Hoje ele inspira a General Data Protection Regulation (GDPR), na Europa, e a LGPD, no Brasil.

    É importante lembrar que o debate sobre a privacidade é anterior ao Privacy by Design no meio jurídico. Em 1950, a seção 8 da European Convention of Human Rights já previa que "todos têm o direito ao respeito à privacidade e vida familiar, à sua casa e correspondência".

    Os 7 princípios do Privacy by Design

    Ann Cavoukian sistematizou seus estudos sobre privacidade em 2009 e publicou uma lista de princípios norteadores que é usada até hoje. Confira os 7 princípios do Privacy by Design:

    1. Proatividade

    A entidade responsável pela coleta, manipulação e manutenção dos dados deve ter uma postura positiva e ativa para garantir a privacidade. A lógica do Privacy by Design é preventiva, ou seja, a empresa não deve esperar acontecer um vazamento para agir. Ela precisa desenvolver ferramentas que evitem que isso aconteça.

    2. Privacidade como padrão

    A privacidade é um princípio e deve ser padrão. A exceção é aberta somente pelo usuário, que deve manifestar de forma objetiva sua decisão.

    3. Privacidade do começo ao fim do design

    A proteção da privacidade deve estar prevista em todas as etapas de planejamento e execução de um projeto, do desenho dos sistemas até um eventual descarte.

    4. Funcionalidade plena

    Na equação privacidade x eficiência, não deve existir uma relação de soma zero. Ou seja, o investimento em uma não deve levar à diminuição da outra. Em sua lista de princípio do Privacy by Design, Ann Cavoukian explica que deve ser criada uma relação de soma positiva, em que o aprimoramento de uma parte leve ao do outro.

    5. Segurança do começo ao fim

    A proteção dos dados deve estar garantida durante todo o ciclo de vida de um projeto: coleta, armazenamento, uso, manutenção e descarte.

    6. Transparência

    Todas as etapas do processo devem ser acessíveis para quem quiser acessá-las, em especial para fins de fiscalização. Isso inclui códigos-fonte, algoritmos e critérios para tomada de decisão pela Inteligência Artificial (IA).

    7. Respeito ao usuário como valor fundamental

    A privacidade do cidadão é a prioridade absoluta no Privacy by Design. Todo o projeto é centrado no usuário.

    Privacy by Design e Privacy by Default: qual a diferença?

    É comum haver certa confusão entre os dois conceitos. A principal diferença entre eles está na personalização. O framework de Privacy by Default recorre a padrões automáticos de proteção de dados, de forma uniforme e de prateleira. Já o Privacy by Design é uma solução mais customizada para a coleta, armazenamento e uso das informações, sendo adaptado ao contexto de cada empresa e a situações específicas.

    Quem é Ann Cavoukian, inventora do conceito de Privacy by Design

    Ann Cavoukian desenvolveu o conceito de Privacy by Design a partir de sua experiência no Comissariado para Informação e Privacidade de Ontário. Ela entrou no departamento em 1987, após coordenar pesquisas para o procurador geral da província e concluir um mestrado e um doutorado em Psicologia na Universidade de Toronto, onde também se especializou em criminologia e Direito.

    Em 1997, Ann Cavoukian foi indicada para o cargo de comissária, que ocupou por três mandatos seguidos. Neste período, elaborou divulgou o conceito de Privacy by Design, além de escrever dois livros em coautoria:

    • "Who Knows: Safeguarding Your Privacy in a Networked World" (1997), com Don Tapscott;
    • "The Privacy Payoff: How Successful Businesses Build Customer Trust" (2002), com Tyler Hamilton.

    Atualmente ela é professora da Ryerson University e consultora no Innovate Cities, iniciativa canadense voltada desenvolvimento de cidades mais sustentáveis e inclusivas. Ann Cavoukian também é professora convidada dos cursos Direito 4.0: Direito Digital, Proteção de Dados e Cibersegurança e Jurimetria, Legal Hacking e Inteligência Artificial da Pós PUCPR Digital.

    Cavoukian ministra a disciplina "Privacy by Design e by Default: a ciência de dados guiada pela privacidade", área em que é referência internacional.

    Como funciona a LGPD

    A LGPD é um conjunto de normas que define como os dados pessoais dos usuários devem ser armazenados, protegidos e usados por empresas, pessoas e órgãos públicos. A legislação é válida em todo o território nacional e garante a privacidade da população, ao impedir que bases de contatos circulem livremente entre entidades privadas.

    A lei protege o direito do cidadão de escolher como suas informações pessoais serão tratadas. É preciso ressaltar que a LGPD não proíbe cadastro ou armazenagem de dados, mas lista direitos e deveres que precisam ser cumpridos por pessoas físicas e jurídicas.

    A relação entre o Privacy by Design e a LGPD

    Apesar de não ser diretamente mencionado, o Privacy by Design é uma solução para organizações que precisam se adequar à LGPD. Lembrando que adotar o framework por si só não configura um requisito de conformidade.

    O Privacy by Design é bastante útil para se adequar aos artigos 46 e 47 da lei :

    Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

    [...]

    § 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

    Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.

    Em outras palavras, ao seguir os princípios do Privacy by Design, a empresa estará garantindo a proteção dos dados desde a concepção do projeto, como previsto na LGPD.

    Como implementar o Privacy by Design

    Depois de ler tudo isso, você deve estar se perguntando por onde começar. Um bom caminho de como implementar o Privacy by Design são os 7 passos indicados pela Autoridade de Proteção de Dados da Noruega.

    Se você quiser se aprofundar ainda mais sobre o assunto, o ideal é buscar uma pós-graduação em direito digital que aborde outros aspectos relacionados à privacidade, segurança da informação e legislação. Lembramos que você não precisa ter bacharelado em Direito para se especializar na área.

    Confira a seguir os 7 passos para implementar o Privacy by Design na sua empresa.

    1. Treinamento dos colaboradores

    Colaboradores, gestores e executivos devem participar de treinamentos sobre segurança de dados. Toda a organização deve estar ciente da importância da privacidade do usuário.

    É nos treinamentos que as equipes conhecerão os métodos e rotinas que devem seguir para estar de acordo com a LGPD, além de boas práticas de cibersegurança.

    Não existe uma forma única de executar este primeiro passo de implementação do Privacy by Design, mas a Autoridade de Proteção de Dados da Noruega indica que os requisitos internos e externos que são exigidos da organização sejam abordados.

    Os requisitos internos são:

    • Proteção de dados;
    • Segurança da informação;
    • Controle interno;
    • Gestão de recursos;
    • Análise de riscos;
    • Exigências referentes a documentação.

    Já os requisitos externos são:

    • Leis e regulamentações de proteção de dados, como a LGPD.
    • Regulamentações específicas para o setor em que a empresa atua;
    • A importância dos princípios da proteção de dados;
    • Direitos dos indivíduos detentores dos dados.

    Os treinamentos devem ser planejados de acordo com a realidade de cada empresa, considerando seu segmento, porte e produto/serviço oferecido ao público. Geralmente, eles são organizados em parceria entre o departamento jurídico e a área de TI. A Autoridade de Proteção de Dados da Noruega recomenda que os treinamentos sejam incluídos na rotina de onboarding e sejam reforçados toda vez que a empresa iniciar um projeto novo.

    2. Requisitos

    Departamento jurídico e equipe de desenvolvimento devem, juntos, fazer um levantamento dos requisitos necessários de configuração para proteção de dados e segurança da informação. Neste momento, ter um especialista em Direito Digital na equipe é fundamental, pois ele apontará quais leis, diretrizes e códigos de condutas são aplicáveis ao projeto. Essas informações que determinam quais requisitos o produto/serviço deve incorporar.

    Confira o checklist de requisitos de Privacy by Design desenvolvido pela Autoridade de Proteção de Dados da Noruega.

    3. Design

    É neste momento da implementação do Privacy by Design que os requisitos definidos no passo anterior serão incluídos no desenvolvimento. Também é preciso fazer um levantamento de possíveis ameaças de cibersegurança e planejar o que será feito para evitar vazamentos.

    A etapa de design é dividida em duas categorias de requisitos. A primeira é de design orientados a dados, que prevê:

    1. Minimização do limite: a quantidade de dados coletada e processada deve estar limitada ao que é estritamente necessário.
    2. Ocultamento e proteção: dados dos usuários não devem ser comunicados, processados nem armazenados à vista. A criptografia é uma forma de esconder essas informações.
    3. Segmentação: não processe ou armazene os dados de um mesmo usuário em um único ambiente. Assim você diminui as chances de criar um perfil completo dos clientes, protegendo a privacidade deles.
    4. Agregação: os dados devem ser colhidos e processados com o maior nível de agregação possível. Isso significa reduzir o nível de detalhamento das informações particulares e remover o que é desnecessário para o negócio.
    5. Proteção de dados como padrão: todas as configurações devem ser privacy-friendly, permitindo ao usuário decidir se irá ou não fornecer os dados dele.

    A segunda é o design orientado a projetos, que inclui:

    1. Informação: o usuário deve ter informações suficientes sobre como seus dados serão processados ao utilizar o produto ou serviço.
    2. Controle: toda pessoa tem o direito de controlar seus dados pessoais, ou seja, ela deve conseguir acessar, atualizar e deletar as informações fornecidas.
    3. Transparência: o usuário deve ter acesso à documentação que explica como a empresa protege seus dados.
    4. Demonstração: a empresa deve documentar todos os processos que asseguram a privacidade e proteção dos dados.
    5. Redução   de oportunidades de exploração de vulnerabilidades: a empresa deve revisar o design do ponto de vista do invasor, avaliando a comunicação dos dados, o fluxo de data e o input e o output das informações.

    Confira o checklist de design da Autoridade de Proteção de Dados da Noruega.

    4. Codificação

    Hora da equipe de desenvolvimento colocar a mão na massa. A partir dos checklists de Privacy by Design das etapas anteriores, ela conseguirá escrever códigos que implementem os requisitos de privacidade e proteção de dados.

    Neste momento, é importante prestar atenção em:

    • Aprovar previamente as ferramentas e frameworks;
    • Listar quais componentes de apoio e ferramentas são terceirizados;
    • Desabilitar funções e módulos não-seguros, como APIs e bibliotecas de terceiros;
    • Implementar verificações regulares de vulnerabilidade do código, incluindo análise estática;
    • Documentar todas as etapas de execução do projeto.

    5. Testes

    Depois da codificação, testes devem ser realizados para verificar se todos os requisitos de proteção de dados e segurança da informação foram implementados conforme planejado. A equipe também deve buscar vulnerabilidades, por meio de testes dinâmicos, de fuzzing e de penetração.

    Confira o checklist de testes da Autoridade de Proteção de Dados da Noruega.

    6. Lançamento

    No Privacy by Design, o lançamento de um produto ou serviço é acompanhado pela elaboração de um plano de resposta a incidentes e de procedimentos de atualização. Ah! Antes de lançar algo para o mercado, vale fazer aquela última revisão de segurança.

    Confira o checklist de lançamento da Autoridade de Proteção de Dados da Noruega.

    7. Manutenção

    O lançamento foi concluído, mas os processos de Privacy by Design continuam. É neste último passo que o plano de respostas a incidentes é colocado em prática, o que inclui manter um centro de atendimento preparado para auxiliar o usuário em casos de vazamento.

    Confira o checklist de manutenção da Autoridade de Proteção de Dados da Noruega.

    Por okleina

    Gostou deste conteúdo? Deixe seu comentário abaixo ou compartilhe com seus amigos!

    × Popup Image

     

    Assine a News da Pós para ficar por dentro das novidades


    Receba conteúdos sobre:


    • tendências de mercado
    • formas de escalar sua carreira
    • cursos para se manter competitivo.


    Quero receber

    Conteúdo Relacionado

    Share by: