Desde 14 de setembro de 2018, quando a Lei Geral de Proteção de Dados (LGPD) foi sancionada, as empresas estavam aptas à revisão de seus processos e ao seu enquadramento. Ademais, foi amplamente divulgado que a Autoridade Nacional de Proteção de Dados exigirá seu cumprimento a partir do próximo dia 01 de agosto. Portanto, supõe-se que as empresas fizeram sua parte em implantar os mecanismos adequados de proteção de dados pessoais. Mas será que assim o fizeram?
Estou bem segura em dizer que muitos ainda não sabem por onde começar, como mapear seus dados e avaliar os riscos em suas operações, não possuem o Encarregado ou Data Protection Officer, isto tudo quer seja na relação comercial regular ou até no e-commerce, independentemente do tamanho da empresa.
Nestes últimos dias foram tantos incidentes e vazamentos noticiados na imprensa: sequestro (ransomware) de dados na JBS e nos sistemas de acesso aos exames do Laboratório Fleury, e até recente cyber-ataque no site e app do Hospital Sírio Libanês.
E, desta forma, a segurança de dados continuará cada vez mais vulnerável se as empresas não agirem rapidamente para a garantia dos processos adequados e uma política sólida de Governança em Privacidade de Dados. Por esta razão, devem as empresas buscar os meios e sistemas para evitar que não ocorram tentativas ou situações indevidas e/ou acidentais de perda, alteração, compartilhamento ou qualquer outro tipo de tratamento inadequado com os dados. Para garantir isso, os agentes de tratamento devem tomar medidas técnicas e administrativas.
O artigo de hoje destaca que esses cuidados devem ser levados em consideração não apenas durante a execução da implementação da Governança de Dados, mas desde a fase de concepção do produto ou serviço, ou até mesmo de um novo projeto ou modelo de negócios.
Portanto, vamos tratar do conceito de Privacy by Design, em que a privacidade e a segurança de dados são parte integrante do desenvolvimento do produto. Este modelo é também adotado pelo General Data Protection Regulation (GDPR) ou Regulamento Europeu de Proteção de Dados. O GDPR incorporou o conceito de privacidade desde a concepção, atribuindo ao controlador a responsabilidade de implementar medidas técnicas e organizacionais apropriadas no projeto e operação de sistemas e infraestrutura.
Privacidade desde a concepção do projeto significa que a privacidade já está integrada à tecnologia, sistemas de TI, serviços e produtos para garantir a proteção de dados.
Desta forma, com base na GDPR o conceito Privacy by Design está baseado em 7 (sete) princípios que auxiliam os agentes de tratamento no cumprimento e implementação desta legislação, de forma a integrar as salvaguardas necessárias no processamento dos dados pessoais que venham a circular na empresa e sejam resguardados com segurança para a proteção dos direitos dos titulares.
7 princípios que auxiliam na implementação da Lei Geral de Proteção de Dados
1. Ser Proativo e Preventivo (não corretivo): a privacidade por definição não se determina por meio das consequências dos riscos à privacidade e não oferece soluções após a ocorrência dos incidentes. Incorporar privacidade desde o projeto implica tomar medidas proativas e preventivas antes mesmo de ocorrer qualquer risco de privacidade. De forma que se deve:
- Demonstrar um compromisso forte e claro com os mais altos padrões de sistemas – quer sejam os padrões estabelecidos por leis e regulamentos;
- Mostrar compromisso com a privacidade que é compartilhada por toda a organização e com as principais partes interessadas;
- Definir métodos que ajudem a reconhecer projetos de privacidade deficientes e prevenir efeitos negativos antes que ocorram de forma a assegurar uma melhoria inovadora e sistemática.
2. Privacidade como configuração padrão: significa que nenhuma ação é necessária por parte do indivíduo para proteger sua privacidade – também conhecida como Privacidade padrão. Ou seja: A privacidade é integrada ao sistema e protege os dados pessoais por padrão e requer: (i) Especificação da finalidade – comunicar as finalidades da coleta, uso, retenção e divulgação dos dados pessoais antes que as informações sejam coletadas ou no momento da coleta; (ii) Limitação de coleta – limitar a coleta de dados pessoais ao necessário para os fins especificados; (iii) Minimização de dados – reduzir ao mínimo a coleta de dados pessoais. O design de programas, tecnologias e sistemas deve sempre começar com interações e transações não identificáveis como padrão e (iv) Limitação de uso, retenção e divulgação, buscando determinar somente aqueles dados pessoais para fins relevantes nos quais o indivíduo consentiu (exceto se foi exigido o consentimento de outra forma nos termos da lei).
3. Privacidade incorporada ao design: significa que a privacidade é o componente essencial da funcionalidade ou da tecnologia que está será utilizada. (i) Adote uma abordagem sistêmica e baseada em princípios para incorporar a privacidade que utilize estruturas e padrões que podem ser ajustados e atualizados por meio de auditorias e análises externas; (ii) Realize avaliações de impacto e risco de privacidade sempre que possível e documente os riscos de privacidade e todas as medidas tomadas para mitigar esses riscos e (iii) Minimize o impacto da tecnologia, suas operações ou estrutura de TI, se necessário.
4. Adote a privacidade com base na tecnologia, sistema ou processos o máximo possível, sem prejudicar sua funcionalidade. Assim, a privacidade desde a concepção do projeto não competirá com outros interesses, objetivos e capacidades técnicas legítimas. Documentar todos os objetivos, definir as funções desejadas, as métricas aplicadas e os pontos rejeitados como desnecessários, promove uma solução de multifuncionalidade.
5. Segurança de ponta a ponta – Proteção total do ciclo de vida dos dados. Proteger os dados do ponto de coleta até a exclusão completa destes é essencial para manter a privacidade. Desta forma, a privacidade desde o projeto garante um ciclo de vida seguro dos dados pessoais. Com isso, os padrões de segurança devem garantir a confidencialidade, integridade e disponibilidade de dados pessoais em todo o seu ciclo de vida, incluindo exclusão de dados, criptografia apropriada, controle de acesso e métodos de registro.
6. Visibilidade e Transparência. A privacidade desde o projeto garante que a práticas comerciais em conjunto com a tecnologia envolvida estão operando de acordo com as regras e objetivos estabelecidos e podem sujeitar-se a verificação independente. Atue visando:
- Responsabilidade – ao coletar dados pessoais, você também é obrigado a garantir sua proteção. Todas as atividades relacionadas a procedimentos e políticas de privacidade devem ser documentadas, bem como devem estar disponíveis para conhecimento dos titulares;
- Conformidade – estabeleça mecanismos de reclamação e reparação, bem como de comunicação destas informações aos titulares ou membros da equipe. Monitore e avalie a conformidade com as políticas e procedimentos de privacidade estabelecidos pela organização.
7. Respeite a privacidade centrada no usuário: Os interesses e necessidades dos indivíduos devem estar no centro da privacidade desde o início, e os melhores resultados são alcançados quando os indivíduos podem ter um papel ativo na gestão de seus próprios dados pessoais. A privacidade do indivíduo é apoiada por:
- Consentimento – o indivíduo dá consentimento para o tratamento de dados pessoais para um ou mais fins específicos e pode retirar posteriormente;
- Exatidão – os dados pessoais devem ser mantidos atualizados, precisos e completos;
- Acesso – permita que os indivíduos acessem informações sobre os dados pessoais que a organização está processando sobre eles;
- Conformidade – as organizações precisam comunicar informações sobre o processamento de dados pessoais e fornecer instruções sobre como apresentar uma reclamação e meios de resposta com transparência e responsabilidade.
Estes são, portanto, os princípios norteadores da metodologia “privacy by design” (privacidade desde sua concepção). Ficando claro que, se já há processos de privacidade existentes na empresa, esta metodologia é plenamente aplicável por meio destes princípios norteadores e muito auxiliará na reavaliação das operações e transações com dados pessoais já em andamento.
A cultura da proteção de dados tem um papel importante neste momento, pois todos tem que contribuir para que o ecossistema esteja em equilíbrio. Time técnico das organizações provendo o serviço, automação em segurança e a conscientização necessária; colaboradores preparados; a alta direção comprometida- ou seja – a organização atua em conformidade com as ferramentas e processos necessários para o cumprimento da Lei Geral de Proteção de Dados.
Não é rápido e requer uma atenção da organização, mas a implementação trará maior respeitabilidade e garantirá sólida reputação institucional.
Por Thais Carloni
Crédito da foto: Divulgação
Leia outras notícias no portal Mundo Agro Brasil
