É difícil não reconhecer o valor da privacidade em uma sociedade cada vez mais dependente de tecnologias digitais e que vive online durante uma parte significativa de seu tempo.

O crescente número de leis que objetivam a preservação da privacidade dos titulares de dados pessoais e, para tanto, condicionam o tratamento de dados pessoais por pessoas jurídicas é uma prova de que as autoridades governamentais já estão tomando consciência disso. Segundo a Conferência das Nações Unidas para o Comércio e Desenvolvimento (UNCTAD), até o momento, 107 países já adotaram legislações para garantir a proteção de dados e privacidade, com algumas variações no tocante à regulação e à execução. Além desse número, mais 13 países têm seus projetos de lei em fase de aprovação.

No Brasil, a Lei Geral de Proteção de Dados (LGPD), modelada com base no Regulamento Geral de Proteção de Dados da União Europeia (GDPR), entrará em vigor em 15 de agosto de 2020 e se aplicará a todas as organizações que lidam com informações pessoais de residentes no Brasil, estejam esses dados fisicamente localizados no país ou não.

A LGPD obriga as empresas a adotarem medidas de segurança, técnicas e administrativas capazes de proteger dados pessoais contra acesso não autorizado, levando em consideração o estado atual da tecnologia, ou enfrentar multas por infração que podem chegar, dependendo da violação, a 2% do faturamento da empresa em seu último exercício fiscal, limitadas a R$ 50 milhões. Some-se a isso os danos colaterais que uma violação de dados pode causar à reputação de uma organização.

Um diferencial competitivo

O processo de adequação do mercado à LGPD está promovendo um fenômeno em cadeia, uma vez que as organizações já alinhadas aos requisitos da lei estão buscando fornecedores que também cumpram as exigências legais.

É lógico pensar que se uma empresa investiu recursos financeiros, pessoais e materiais para adequar-se à LGPD, quando for contratar outra empresa, estará assumindo um risco muito grande se o seu fornecedor não estiver em conformidade também. É bem provável que, em pouco tempo, as empresas mais responsáveis só contratarão fornecedores que também estejam em conformidade com a lei, considerando a linha de responsabilização solidária em decorrência de eventos de lesão aos direitos dos titulares dos dados pessoais.

Quando entrar em vigor, as empresas já adequadas à lei terão um grande diferencial competitivo.

Privacy by Design

O termo “Privacy by Design”, em tradução livre “Privacidade desde a Concepção”  significa nada mais que “proteção de dados por meio de design de tecnologia”. Por trás disso, está o pensamento de que a proteção de dados nos procedimentos de coleta, armazenamento, utilização e descarte de dados é mais efetiva quando já está integrada na tecnologia desde sua criação.

Os princípios, filosofia e metodologia do Privacy by Design visam apresentar uma estrutura de referência para o desenvolvimento e a criação de produtos e serviços que contenham medidas de privacidade desde a sua concepção, por padrão.

O conceito está sendo reconhecido mundialmente como valioso auxílio para o cumprimento das exigências legais sobre privacidade de dados, considerando que são diretrizes gerais que devem nortear o processo de adequação específico de cada empresa.

Os sete princípios da Privacidade by Design

Ann Cavoukian, autora do conceito, definiu os princípios da Privacidade por Design no documento “Privacy by Design: The 7 Foundational Principles”, considerando que há um entendimento crescente de que inovação, criatividade e competitividade devem ser abordadas a partir de uma perspectiva de “design thinking”, ou seja, uma maneira de ver o mundo e superar suas restrições, que são ao mesmo tempo holísticas, interdisciplinares, integradoras, inovadoras e inspiradoras.

Resumidamente, os sete princípios são:

1. Proativo e não reativo. Preventivo e não corretivo

Essa abordagem antecipa e evita violações da privacidade antes que elas aconteçam. Como a privacidade foi integrada ao produto, a segurança é uma prioridade desde o início do processo de design. A Privacidade por Design protege as organizações de problemas de privacidade que podem prejudicar sua reputação.

2. Privacidade como padrão (Privacy by Default)

Esse conceito recomenda que os dados pessoais sejam protegidos automaticamente em qualquer sistema ou processo comercial. Os indivíduos não precisam se preocupar em proteger sua própria privacidade, porque o sistema foi criado para ser seguro. Se quiserem, as pessoas podem tomar medidas para proteger seus próprios dados, mas não precisam fazer isso quando a privacidade é considerada um padrão.

3. Privacidade incorporada ao design

O sistema funcionará melhor se a privacidade for incorporada na fase do design, em vez de tentar adicioná-la posteriormente. A privacidade deve ser integrada ao sistema sem diminuir sua funcionalidade, pois piorar a experiência do usuário para atender questões de privacidade não é uma opção. A privacidade deve ser integrada de maneira holística e criativa.

4. Funcionalidade total

Exceções não devem ser feitas para acomodar dilemas entre a privacidade e a funcionalidade. É fácil ser vítima de falsas dicotomias, como “privacidade x segurança”, entre outras. Se o sistema exigir acomodações quanto a isso, é provável que não seja tão eficaz ou amigável quanto deveria ser.

5. Segurança de ponta a ponta

A Privacidade por Design considera a segurança do início ao fim. Isso significa que as informações são seguras e protegidas em todo o seu ciclo de vida, desde quando entram no sistema, são retidas e processadas com segurança e depois destruídas adequadamente.

6. Visibilidade e Transparência

Ao permitir que usuários e outras partes envolvidas vejam como as informações se movem pelo seu sistema, o sistema melhora. Responsabilidade, transparência e conformidade são necessárias para um sistema eficaz e seguro. Ser claro sobre o seu sistema e o nível de segurança que ele fornece, cria confiança e responsabilidade em sua organização.

7. Respeito à privacidade do usuário

É preciso tornar a privacidade do usuário a principal preocupação. Se sua empresa está lidando com informações pessoais sensíveis, o risco de deixá-las cair em mãos erradas é muito alto. De maneira mais geral, os sistemas devem ser adequados para atender aos seus usuários e todas as suas necessidades.

Como implementar a privacidade por design

A Privacidade por Design é um meio para as organizações reduzirem os custos relacionados com a conformidade da LGPD e outras normas legais de proteção de dados, como a GDPR, Resolução Bacen 4.658, ISO 27001, HIPPA, PCI-DSS, SOX, BASILÉIA II e outras.

Em novos sistemas, a Privacidade por Design começa enfatizando a privacidade e a segurança durante todo o processo de design. Isso fará com que a privacidade esteja perfeitamente integrada ao sistema, permitindo que ele funcione de maneira suave e segura desde o início.

A implementação da Privacidade por Design em um sistema existente é mais difícil e demorada, pois é necessário desconstruir e analisar completamente o sistema que sua organização já possui. Inicialmente, é preciso fazer uma auditoria de privacidade no sistema em toda a sua extensão, do início ao fim. Observe como a privacidade foi incorporada ao seu sistema atual, identifique pontos fracos e crie novas soluções, sempre pensando no usuário.

Conclusão

No Brasil, a Privacy by Design está começando a ser adotada como referência para adequação de sistemas. O ponto central a ser observado, seja do ponto de vista das normas brasileiras ou internacionais, se relaciona com a governança que as empresas precisam possuir. Em todas as etapas, desde o desenvolvimento do produto ou serviço, será necessário se preocupar com a privacidade do usuário.

A governança com base no Privacy by Design precisa do envolvimento e engajamento de todos os setores da empresa, para assegurar que os dados do usuário sejam protegidos e tratados de forma segura em todos os processos.

A definição do que é segurança evoluirá com o tempo, assim como evoluirão as práticas e processos da empresa. A governança a que nos referimos neste texto se relaciona com a mentalidade corporativa de proteção e cuidado.

Em qual estágio de adequação sua empresa está? Para qualquer que seja o estágio em que se encontre, a Leadcomm desenvolveu uma Consultoria Especializada que otimiza o processo de adequação à LGPD e auxilia sua organização a ficar totalmente em conformidade de forma sistemática, eficiente e com baixo investimento.

Que saber mais sobre como funciona cada etapa de nossa consultoria? Clique  aqui.  e agende uma demonstração.