Você sabe o que é Privacy by design?

Essa definição de privacy by design já existia antes mesmo da entrada da GPDR e consequência da LGP. Foi criado na década de 90 pela comissária de Informação e Privacidade de Ontário, Doutora Ann Cavoukian para garantir o avanço da tecnologia e a possibilidade da realização de coleta indiscriminada de informações pessoais.

Primeiro vamos entender o que é essa definição privacy by design: em tradução livre “Privacidade desde a Concepção”, é uma abordagem usada na Engenharia de Sistemas, a qual leva em conta a privacidade durante todo o processo de construção do software do início ao fim.

Os termos estão em evidência após a entrada da GPDR (General Data Protection Regulation) que foi uma das primeiras legislações a trazer princípios que passaram a ser relevantes na produção de aplicativos e serviços digitais dentro do contexto moderno de proteção de dados.
Privacy by Design pode ser dividido em 7 pilares, veja a seguir quais são eles:

1 – Ser proativo e não reativo: Prever e antecipar eventos que possam comprometer a privacidade antes que eles ocorram. A ocorrência de um evento significa que os dados pessoais já foram comprometidos.
O Privacy by Design não apresentará soluções para violações de privacidade após esses eventos terem ocorrido. Deve haver a prevenção desses incidentes com o monitoramento constante.

2 – Privacidade como configuração padrão: Por padrão, as configurações referentes à privacidade devem estar definidas considerando a máxima proteção possível da privacidade do usuário. Em outras palavras, o titular da informação não deve precisar ajustar nenhuma configuração para garantir o máximo de sua privacidade. Um exemplo simples de aplicação prática deste princípio pode ser a opção de compartilhamento de localização de seu smartphone. Para estar de acordo com este princípio, ele deveria, por padrão, vir configurado para não realizar este compartilhamento de nenhuma maneira.

3 – Privacidade incorporada ao projeto: A proteção dos dados pessoais deve ser pensada como parte essencial do projeto de arquitetura do sistema ou de prática de negócio, pensada desde sua concepção, com isso, a privacidade passa a ser parte da própria solução e não um adendo. A aplicação deste princípio é de extrema relevância, pois reduz esforço e até mesmo o custo do cumprimento de normas de proteção de dados.
Não deve haver alguma funcionalidade adicional ou vantagem ao usuário caso altere a configuração de privacidade. A proteção da privacidade precisa ser protegida.

4 – Funcionalidade total – “Soma-positiva” ao invés de soma-zero: Na teoria dos jogos, o jogo de soma-zero é aquele onde um jogador só ganha com o prejuízo do outro, diferentemente de um jogo de ganha-ganha (ou “soma-positiva”) onde todos podem ganhar de alguma forma.
Para a metodologia do Privacy by Design, este princípio visa garantir a proteção de dados pessoais em consonância com os legítimos interesses e objetivos daquele que utiliza estas informações, sem a necessidade de se fazer trocas desnecessárias como, por exemplo, renunciar à segurança para conseguir mais dados.
Atender este princípio pode, por exemplo, significar uma maior dedicação e criatividade dos desenvolvedores de um aplicativo, uma vez que a ideia é assegurar a privacidade do usuário sem prejudicar as funcionalidades ou objetivos da plataforma.

5 – Segurança de ponta a ponta: A segurança das informações pessoais deve ser garantida desde a coleta do dado até sua destruição ou compartilhamento com um terceiro.
Não é incomum que dados pessoais sejam “esquecidos” em dispositivos antigos ou que sua proteção seja relegada quando transferida para um terceiro. Podemos dizer que a polêmica envolvendo o Facebook e a Cambridge Analytica ocorreu devido a falta de garantia de proteção da informação durante uma das etapas de seu ciclo de vida, no caso, o compartilhamento.
A proteção da privacidade não se limita à configuração do produto ou serviço. Quando o usuário autorizar a coleta de algum dado, o tratamento desse dado deve ser de forma segura, desde a coleta até sua eliminação.

6 – Visibilidade e transparência: A transparência aqui abrange diversos aspectos, desde informar ao titular do dado quando e para qual finalidade suas informações estão sendo coletadas e para quem são transferidas, até a abertura da plataforma para que entidades independentes possam realizar auditorias e certificar-se que as informações pessoais estão de fato protegidas.
É necessário que a companhia possa comprovar que passou do discurso para a prática e que protege os dados dos usuários. Isso pode ser realizado de diversas formas e deve estar disponível às pessoas.

7 – Respeito pela privacidade do usuário: Toda a arquitetura e operacionalidade do sistema ou da prática de negócio devem ser centradas na privacidade do usuário, oferecendo medidas robustas de proteção de dados, notificando-o de forma clara e oportuna e tornando as configurações referentes à privacidade amigáveis.
Portanto, garantir a segurança dos dados do usuário envolve diretrizes de segurança da informação capazes de assegurar a confidencialidade, integridade e disponibilidade dos dados e informações durante todo seu ciclo de vida.

Devido à grande importância do tema privacy by design para atender a GDPR e agora LGPD, hoje existe uma certificação para isto, onde prova que a empresa atende aos itens da privacy by design. No Brasil ainda existem poucas empresas com esta certificação. 

Fonte: Bibliografia infamação da NBR ISO 27701:2019 – por Marcelo Creazzo – GRC Consultant.