Prazo para implementação da Lei Geral de Proteção de Dados

Estamos muito próximos do prazo 01 de agosto para implementação da Lei Geral de Proteção de Dados (LGPD) e como aplicar a metodologia PRIVACY BY DESIGN (Privacidade desde sua concepção)
Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Prazo para implementação da Lei Geral de Proteção de Dados
Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp

Desde 14 de setembro de 2018, quando a Lei Geral de Proteção de Dados (LGPD) foi sancionada, as empresas estavam aptas à revisão de seus processos e ao seu enquadramento. Ademais, foi amplamente divulgado que a Autoridade Nacional de Proteção de Dados exigirá seu cumprimento a partir do próximo dia 01 de agosto. Portanto, supõe-se que as empresas fizeram sua parte em implantar os mecanismos adequados de proteção de dados pessoais. Mas será que assim o fizeram? 

Estou bem segura em dizer que muitos ainda não sabem por onde começar, como mapear seus dados e avaliar os riscos em suas operações, não possuem o Encarregado ou Data Protection Officer, isto tudo quer seja na relação comercial regular ou até no e-commerce, independentemente do tamanho da empresa. 

Nestes últimos dias foram tantos incidentes e vazamentos noticiados na imprensa: sequestro (ransomware) de dados na JBS e nos sistemas de acesso aos exames do Laboratório Fleury, e até recente cyber-ataque no site e app do Hospital Sírio Libanês. 

E, desta forma, a segurança de dados continuará cada vez mais vulnerável se as empresas não agirem rapidamente para a garantia dos processos adequados e uma política sólida de Governança em Privacidade de Dados. Por esta razão, devem as empresas buscar os meios e sistemas para evitar que não ocorram tentativas ou situações indevidas e/ou acidentais de perda, alteração, compartilhamento ou qualquer outro tipo de tratamento inadequado com os dados. Para garantir isso, os agentes de tratamento devem tomar medidas técnicas e administrativas. 

O artigo de hoje destaca que esses cuidados devem ser levados em consideração não apenas durante a execução da implementação da Governança de Dados, mas desde a fase de concepção do produto ou serviço, ou até mesmo de um novo projeto ou modelo de negócios. 

Portanto, vamos tratar do conceito de  Privacy by Design, em que a privacidade e a segurança de dados são parte integrante do desenvolvimento do produto. Este modelo é também adotado pelo General Data Protection Regulation (GDPR) ou Regulamento Europeu de Proteção de Dados. O GDPR incorporou o conceito de privacidade desde a concepção, atribuindo ao controlador a responsabilidade de implementar medidas técnicas e organizacionais apropriadas no projeto e operação de sistemas e infraestrutura. 

Privacidade desde a concepção do projeto significa que a privacidade já está integrada à tecnologia, sistemas de TI, serviços e produtos para garantir a proteção de dados. 

Desta forma, com base na GDPR o conceito Privacy by Design está baseado em 7 (sete) princípios que auxiliam os agentes de tratamento no cumprimento e implementação desta legislação, de forma a integrar as salvaguardas necessárias no processamento dos dados pessoais que venham a circular na empresa e sejam resguardados com segurança para a proteção dos direitos dos titulares.

7 princípios que auxiliam na implementação da Lei Geral de Proteção de Dados

1. Ser Proativo e Preventivo (não corretivo): a privacidade por definição não se determina por meio das consequências dos riscos à privacidade e não oferece soluções após a ocorrência dos incidentes. Incorporar privacidade desde o projeto implica tomar medidas proativas e preventivas antes mesmo de ocorrer qualquer risco de privacidade. De forma que se deve:

  • Demonstrar um compromisso forte e claro com os mais altos padrões de sistemas – quer sejam os padrões estabelecidos por leis e regulamentos;
  • Mostrar compromisso com a privacidade que é compartilhada por toda a organização e com as principais partes interessadas;
  • Definir métodos que ajudem a reconhecer projetos de privacidade deficientes e prevenir efeitos negativos antes que ocorram de forma a assegurar uma melhoria inovadora e sistemática. 

2. Privacidade como configuração padrão: significa que nenhuma ação é necessária por parte do indivíduo para proteger sua privacidade – também conhecida como Privacidade padrão. Ou seja: A privacidade é integrada ao sistema e protege os dados pessoais por padrão e requer: (i) Especificação da finalidade – comunicar as finalidades da coleta, uso, retenção e divulgação dos dados pessoais antes que as informações sejam coletadas ou no momento da coleta; (ii) Limitação de coleta – limitar a coleta de dados pessoais ao necessário para os fins especificados; (iii) Minimização de dados – reduzir ao mínimo a coleta de dados pessoais. O design de programas, tecnologias e sistemas deve sempre começar com interações e transações não identificáveis ​​como padrão e (iv) Limitação de uso, retenção e divulgação, buscando determinar somente aqueles dados pessoais para fins relevantes nos quais o indivíduo consentiu (exceto se foi exigido o consentimento de outra forma nos termos da lei). 

3. Privacidade incorporada ao design: significa que a privacidade é o componente essencial da funcionalidade ou da tecnologia que está será utilizada. (i) Adote uma abordagem sistêmica e baseada em princípios para incorporar a privacidade que utilize estruturas e padrões que podem ser ajustados e atualizados por meio de auditorias e análises externas; (ii) Realize avaliações de impacto e risco de privacidade sempre que possível e documente os riscos de privacidade e todas as medidas tomadas para mitigar esses riscos e (iii) Minimize o impacto da tecnologia, suas operações ou estrutura de TI, se necessário. 

4. Adote a privacidade com base na tecnologiasistema ou processos o máximo possível, sem prejudicar sua funcionalidade. Assim, a privacidade desde a concepção do projeto não competirá com outros interesses, objetivos e capacidades técnicas legítimas. Documentar todos os objetivos, definir as funções desejadas, as métricas aplicadas e os pontos rejeitados como desnecessários, promove uma solução de multifuncionalidade. 

5. Segurança de ponta a ponta – Proteção total do ciclo de vida dos dados. Proteger os dados do ponto de coleta até a exclusão completa destes é essencial para manter a privacidade. Desta forma, a privacidade desde o projeto garante um ciclo de vida seguro dos dados pessoais. Com isso, os padrões de segurança devem garantir a confidencialidade, integridade e disponibilidade de dados pessoais em todo o seu ciclo de vida, incluindo exclusão de dados, criptografia apropriada, controle de acesso e métodos de registro. 

6. Visibilidade e Transparência. A privacidade desde o projeto garante que a práticas comerciais em conjunto com a tecnologia envolvida estão operando de acordo com as regras e objetivos estabelecidos e podem sujeitar-se a verificação independente. Atue visando:

  • Responsabilidade – ao coletar dados pessoais, você também é obrigado a garantir sua proteção. Todas as atividades relacionadas a procedimentos e políticas de privacidade devem ser documentadas, bem como devem estar disponíveis para conhecimento dos titulares;
  • Conformidade – estabeleça mecanismos de reclamação e reparação, bem como de comunicação destas informações aos titulares ou membros da equipe. Monitore e avalie a conformidade com as políticas e procedimentos de privacidade estabelecidos pela organização. 

7. Respeite a privacidade centrada no usuário: Os interesses e necessidades dos indivíduos devem estar no centro da privacidade desde o início, e os melhores resultados são alcançados quando os indivíduos podem ter um papel ativo na gestão de seus próprios dados pessoais. A privacidade do indivíduo é apoiada por:

  • Consentimento – o indivíduo dá consentimento para o tratamento de dados pessoais para um ou mais fins específicos e pode retirar posteriormente;
  • Exatidão – os dados pessoais devem ser mantidos atualizados, precisos e completos;
  • Acesso – permita que os indivíduos acessem informações sobre os dados pessoais que a organização está processando sobre eles;
  • Conformidade – as organizações precisam comunicar informações sobre o processamento de dados pessoais e fornecer instruções sobre como apresentar uma reclamação e meios de resposta com transparência e responsabilidade. 

Estes são, portanto, os princípios norteadores da metodologia “privacy by design” (privacidade desde sua concepção). Ficando claro que, se já há processos de privacidade existentes na empresa, esta metodologia é plenamente aplicável por meio destes princípios norteadores e muito auxiliará na reavaliação das operações e transações com dados pessoais já em andamento. 

A cultura da proteção de dados tem um papel importante neste momento, pois todos tem que contribuir para que o ecossistema esteja em equilíbrio. Time técnico das organizações provendo o serviço, automação em segurança e a conscientização necessária; colaboradores preparados; a alta direção comprometida- ou seja – a organização atua em conformidade com as ferramentas e processos necessários para o cumprimento da Lei Geral de Proteção de Dados.  

Não é rápido e requer uma atenção da organização, mas a implementação trará maior respeitabilidade e garantirá sólida reputação institucional.  

Por Thais Carloni
Crédito da foto: Divulgação

Leia outras notícias no portal Mundo Agro Brasil

Relacionadas

Leia também