Falar em Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.709/2018 já não é mais novidade e, desde a vigência da Lei, em setembro de 2020, esse é um dos temas mais comentados no mundo dos negócios. O ponto de dificuldade é encontrado na hora de aplicar a teoria à prática. Clientes enviam os mais diversos questionamentos, diariamente, e para muitas das perguntas ainda não há respostas exatas ou tão simples como se vende no mercado. Um dos tópicos mais interessantes é a tal da Privacy by Design: o que é e como aplicá-la em determinadas atividades. Essa foi uma pergunta real de um cliente, durante uma reunião sobre LGPD. Privacy by Design, de forma objetiva, é utilizar a privacidade desde a concepção do projeto, produto ou serviço, integrá-la desde a criação (a mantendo posteriormente, durante a execução). Para executá-la, a realização de um PIA (Privacy Impact Assessment), que é um processo que ajuda as organizações a identificar e gerenciar os riscos de privacidade decorrentes de novos projetos, iniciativas, sistemas, processos, estratégias, políticas, relações de negócios, se torna uma facilitadora. O objetivo é analisar, antes de qualquer tomada de decisão, se o novo projeto, produto ou serviço não irá de encontro ao que dispõe as leis vigentes de privacidade. No Brasil e na LGPD, não se encontra referência ao PIA, no entanto, ele pode ser utilizado como boa prática, se adequando ao que dispõe os artigos 46 e 50 da LGPD, que tratam de medidas de segurança e boas práticas. Com base no que estabelece a autoridade nacional francesa, o CNIL (Comission Nationale de L’Informatique et des Libertés), o Privacy Impact Assessment se pautaem: (i) princípios e direitos fundamentais não negociáveis, estabelecidos em leis que devem ser respeitados e não podem ser alterados, independentemente da natureza, gravidade, ou avaliação de riscos; e (ii) gerenciamento dos riscos à privacidade dos titulares, os quais determinam as medidas de controle, técnicas e administrativas, à proteção dos dados pessoais. O Privacy Impact Assessment tem um foco direcionado para a privacidade, envolvendo proteção de dados pessoais e segurança da informação, e geralmente é realizado quando há a criação de um novo produto/serviço ou a aquisição de uma nova empresa. Inclusive, é uma avaliação utiliza quando da aquisição de novos sistemas, por exemplo. Quando da ocorrência do assessment, alguns pontos são relevantes, para que o PIA atinja seu objetivo: quais atividades necessitam de PIA, ter informações sobre o projeto, produto ou serviço, saber a forma que os dados são coletados, transferidos, armazenados e descartados, quais as medidas de segurança existentes, se há utilização de cookies, dentre outros. A sugestão para estrutura é criação do PIA, preenchimento do PIA, análise do PIA, validação final e acompanhamento do projeto, produto ou serviço. Ainda que haja diversas ferramentas, apoio tecnológico e inovador, a privacidade tem que partir sim, de dentro para fora da organização. Mesmo que não seja uma obrigação legal, adotar melhores práticas coopera para um ambiente seguro. A conscientização de todos os envolvidos no tratamento de dados pessoais e privacidade, bem como ter uma consultoria jurídica especializada em proteção de dados pessoais, já colabora para que o caminho seja mais tranquilo. Executar, avaliar e evidenciar a prevenção é essencial, não apenas para o cumprimento das legislações vigentes, mas também para evitar prejuízos financeiros e fortalecer a relação de confiança e transparência entre as empresas e consumidores. Uma vez criado o regulamento de dados pessoais, a lei europeia GDPR, a proteção e privacidade de dados se tornou algo importante, incorporando então alguns conceitos como o Privacy by Design, por exemplo. Apesar de criado na década de 90, no Canadá, o Privacy by Design tem relação direta com o GDPR e também com a Lei brasileira, a LGPD. Esse conceito tem influência na forma como os dados são tratados. O que é Privacy by Design?Privacy by Design, também conhecida como PbD, é uma metodologia criada pela Dra. Ann Cavoukian que tem como objetivo manter a privacidade de informações pessoais coletadas por empresas. Apesar de criado antes dos anos 2000, vale pontuar que este conceito começou a ser divulgado e aplicado a partir do ano de 2010, tanto na Europa como nos Estados Unidos. É possível entender o que é este conceito por meio da tradução de Privacy by Design que, de acordo com especialistas nesta área, significa privacidade desde a concepção. Em outras palavras, a intenção é que empresas que trabalham com dados de clientes garantam a privacidade e a proteção como pontos fundamentais. De tal maneira, estes se tornam bases para qualquer produto ou serviço que for desenvolvido e disponibilizado pela empresa. Por isso, podemos entender que existe uma proteção de dados by design, ou seja, desde a idealização do projeto, atuando dentro dos parâmetros necessários para garantir a proteção. Assim, este conceito se torna presente nos valores daquela empresa, o que faz com que ocorra uma banalização dessa conduta eticamente correta conforme a lei. Existe aqui uma relação com a adequação necessária para a Lei Geral de Proteção de Dados. Sendo assim, esta metodologia se torna um fator crucial para empresas que oferecem produtos e serviços e captam os dados pessoais de usuários. Afinal, uma vez seguido este ponto, existe um grande caminho já percorrido na trajetória de adequação com a Lei como um todo, evitando possíveis problemas. Estes, por sua vez, vão desde manchar a imagem da empresa, o que dificulta para adquirir novos clientes, até pagar multas em um valor máximo de R$50 milhões. Como implementar esta metodologia em uma empresa?Para colocar em prática as ideias deste conceito, é necessário entender os pilares que o sustentam. Afinal, esta é uma metodologia que irá, entre outros fatores, mudar a forma como uma empresa idealiza os projetos que serão feitos. Sendo assim, existem sete fundamentos que são essenciais para saber aplicar, sendo eles os principais fundamentos do Privacy by Design:
De tal forma, é possível entender que o foco de todas as ações da empresa deve ser justamente o cliente. Sendo assim, deve ser garantido pela empresa que os dados estão protegidos e totalmente seguros. Afinal, caso isso não ocorra, a empresa pode sofrer uma série de sanções e o usuário é altamente impactado uma vez que seus dados podem ser roubados ou tratados sem a devida permissão. E quanto às áreas que podem ter esse conceito aplicado por parte da empresa, podemos citar:
No entanto, a forma de pensar na privacidade é alinhando-a com o projeto, e não vendo como algo a parte. Qual é a relação com a LGPD?Apesar de constar a Privacy by Design no GDPR, o caso não é o mesmo quando falamos da LGPD, a legislação brasileira. Contudo, mesmo sem possuir princípios como o Privacy by Design ou Privacy by Default de maneira explícita, é válido pontuar que a legislação brasileira possui conceitos parecidos. Estes, por sua vez, possuem ligação com a proteção dos dados, ditando então como deve ser garantida a segurança por parte das empresas. Sendo assim, apesar de ambos possuírem a mesma finalidade, não existe uma relação entre o PbD e a Lei Geral de Proteção de Dados. É válido pontuar que não existe um requerimento de que todas as empresas façam uso desta metodologia, mas não existe nada que impeça que este seja aplicado. Afinal, o objetivo deste tipo de ação por parte de uma empresa é justamente o de oferecer mais segurança e privacidade aos dados do usuário. Dessa forma, a transparência sobre o motivo e período de uso destes também é algo que é colocado em prática. Além de ser algo recomendado por profissionais do ramo e considerado como uma fase de adequação à LGPD, esta é uma boa forma de agir. Outro ponto é que, através desta metodologia, o usuário se torna o principal moderador dos seus dados. Sendo assim, ele se ganha o controle sobre quais dados serão fornecidos e quais não, limitando-se apenas aqueles que são obrigatórios para uma finalidade declarada explicitamente pelo controlador. Quer se tornar um especialista em LGPD certificado pela EXIN? Acesse a página de cursos do Certifiquei e confira nosso curso Privacy & Data Protection – Essentials! Diferença entre Privacy by Design e Privacy by DefaultUma vez que entendemos o que é este primeiro conceito, existe um outro ponto importante o qual iremos esclarecer. Ele diz respeito justamente a diferença existente entre Privacy by Design e Privacy by Default, duas metodologias similares. O primeiro dita principalmente a maneira como o projeto deve ser desenvolvido através dos pilares que citamos anteriormente. Dessa maneira, se torna necessário que exista a segurança e privacidade de dados em qualquer projeto que envolva informações de clientes. Aqui podemos citar tanto produtos como softwares e sistemas de TI desenvolvidos por uma empresa para que exista sempre a antecipação de problemas, diminuindo riscos de roubos e vazamentos de dados. Sendo assim, os projetos gerados através deste conceito são proativos e oferecem controle para que o usuário altere configurações padrão do sistema, optando por fornecer os dados ou não, e utilizar o produto ou serviço livremente. Agora, quando falamos nesta segunda metodologia, é preciso entender que ele significa que assim que o produto ou serviço é lançado ao público, as configurações mais seguras são aplicadas por padrão. Em outras palavras, o usuário não precisa entrar e escolher pela configuração de privacidade e proteção uma vez que estas já vem de fábrica, por assim dizer. Todas as informações pessoais cedidas pelo usuário são coletadas apenas para que seja feita a entrega do serviço ou produto. Porém, ainda assim todos os dados necessários devem ser informados para o usuário, bem como qual a finalidade de cada um deles. Ao falar sobre o tempo de armazenamento destas, é válido pontuar que elas são mantidas apenas pelo período o qual serão utilizadas para aquele projeto. Apesar de não estar requisitado pela legislação brasileira, ambos os conceitos possuem ligação tanto com a LGPD como com o GDPR, garantindo segurança aos dados dos clientes. Portanto, é possível entender que a segunda é uma consequência da primeira. Ambas são duas boas estratégias que, quando desempenhadas corretamente, garantem a privacidade, ponto fundamental atualmente. Como este conceito se aplica dentro das certificações de DPO?Para desempenhar o papel de encarregado de dados, ou DPO, dentro de uma empresa, existem três certificações necessárias para credenciar o profissional:
Uma vez conquistadas os certificados nestas três áreas, além da expansão de conhecimento sobre o negócio que atua e os seus respectivos processos, ele possuirá bagagem suficiente para ser um Data Protection Officer. Contudo, a dúvida que fica é sobre o papel da metodologia Privacy by Design nas certificações necessárias. De tal maneira, seja antes ou depois de tiradas as certificações, é necessário que o profissional conheça o PbD. Afinal, tendo em vista que o DPO é um profissional responsável pela proteção e privacidade dos dados, este conceito terá aplicação dentro da empresa. E, dessa forma, todas as mudanças propostas pelo DPO devem girar em torno do cuidado com privacidade e segurança de dados. É válido pontuar que, apesar de possuir relação direta com a profissão, este não é um ponto cobrado em provas para qualquer uma dos três certificados. O importante, no entanto, é justamente possuir o conhecimento nesta área. Isso se dá uma vez que todas as estratégias adotadas por uma empresa devem, necessariamente, possuir alinhamento com esse conceito. Dessa forma, o DPO é o responsável direto por propagar essa metodologia a fim de mudar a cultura e futuros projetos da empresa para colocar a privacidade em primeiro lugar. Podemos entender então que, mesmo não sendo obrigatória para a LGPD, a Privacy by Design é importante para empresas que trabalham com dados pessoais de usuários. Qual o objetivo do Privacy by Design?O Privacy by Design conta com 7 princípios básicos, cujo objetivo é: garantir aos usuários o controle à privacidade de seus dados através de boas práticas que são seguidas desde a concepção do projeto, favorecendo, inclusive, a adequação às regulamentações de cada país.
Quais os princípios de Privacy by Design?O privacy by design se baseia em 7 princípios:. Proativo, e não reativo; preventivo, e não corretivo. ... . Privacidade como padrão. ... . Privacidade incorporada ao design. ... . Funcionalidade total. ... . Segurança de ponta a ponta. ... . Visibilidade e transparência. ... . Respeito pela privacidade do usuário.. Para que serve a Privacy?Privacy é uma rede social de compartilhamento de conteúdo no modelo de assinatura, em que usuários do serviço devem pagar para acessar publicações exclusivas de criadores. O site funciona de maneira similar ao OnlyFans para 18+, que ficou popular no Brasil em 2020 com a venda de nudes.
Quanto à aplicação do Privacy by Design é correto dizer?A alternativa correta quanto ao Privacy by Design é: "O Privacy by Design permite a antecipação dos problemas, proporcionando a diminuição do risco de incidentes de segurança da informação".
|