Insights > Blog

Você sabe o que é Privacy by design?

Essa definição de privacy by design já existia antes mesmo da entrada da GPDR e consequência da LGP. Foi criado na década de 90 pela comissária de Informação e Privacidade de Ontário, Doutora Ann Cavoukian para garantir o avanço da tecnologia e a possibilidade da realização de coleta indiscriminada de informações pessoais.

Primeiro vamos entender o que é essa definição privacy by design: em tradução livre “Privacidade desde a Concepção”, é uma abordagem usada na Engenharia de Sistemas, a qual leva em conta a privacidade durante todo o processo de construção do software do início ao fim.

Os termos estão em evidência após a entrada da GPDR (General Data Protection Regulation) que foi uma das primeiras legislações a trazer princípios que passaram a ser relevantes na produção de aplicativos e serviços digitais dentro do contexto moderno de proteção de dados.
Privacy by Design pode ser dividido em 7 pilares, veja a seguir quais são eles:

1 – Ser proativo e não reativo: Prever e antecipar eventos que possam comprometer a privacidade antes que eles ocorram. A ocorrência de um evento significa que os dados pessoais já foram comprometidos.
O Privacy by Design não apresentará soluções para violações de privacidade após esses eventos terem ocorrido. Deve haver a prevenção desses incidentes com o monitoramento constante.

2 – Privacidade como configuração padrão: Por padrão, as configurações referentes à privacidade devem estar definidas considerando a máxima proteção possível da privacidade do usuário. Em outras palavras, o titular da informação não deve precisar ajustar nenhuma configuração para garantir o máximo de sua privacidade. Um exemplo simples de aplicação prática deste princípio pode ser a opção de compartilhamento de localização de seu smartphone. Para estar de acordo com este princípio, ele deveria, por padrão, vir configurado para não realizar este compartilhamento de nenhuma maneira.

3 – Privacidade incorporada ao projeto: A proteção dos dados pessoais deve ser pensada como parte essencial do projeto de arquitetura do sistema ou de prática de negócio, pensada desde sua concepção, com isso, a privacidade passa a ser parte da própria solução e não um adendo. A aplicação deste princípio é de extrema relevância, pois reduz esforço e até mesmo o custo do cumprimento de normas de proteção de dados.
Não deve haver alguma funcionalidade adicional ou vantagem ao usuário caso altere a configuração de privacidade. A proteção da privacidade precisa ser protegida.

4 – Funcionalidade total – “Soma-positiva” ao invés de soma-zero: Na teoria dos jogos, o jogo de soma-zero é aquele onde um jogador só ganha com o prejuízo do outro, diferentemente de um jogo de ganha-ganha (ou “soma-positiva”) onde todos podem ganhar de alguma forma.
Para a metodologia do Privacy by Design, este princípio visa garantir a proteção de dados pessoais em consonância com os legítimos interesses e objetivos daquele que utiliza estas informações, sem a necessidade de se fazer trocas desnecessárias como, por exemplo, renunciar à segurança para conseguir mais dados.
Atender este princípio pode, por exemplo, significar uma maior dedicação e criatividade dos desenvolvedores de um aplicativo, uma vez que a ideia é assegurar a privacidade do usuário sem prejudicar as funcionalidades ou objetivos da plataforma.

5 – Segurança de ponta a ponta: A segurança das informações pessoais deve ser garantida desde a coleta do dado até sua destruição ou compartilhamento com um terceiro.
Não é incomum que dados pessoais sejam “esquecidos” em dispositivos antigos ou que sua proteção seja relegada quando transferida para um terceiro. Podemos dizer que a polêmica envolvendo o Facebook e a Cambridge Analytica ocorreu devido a falta de garantia de proteção da informação durante uma das etapas de seu ciclo de vida, no caso, o compartilhamento.
A proteção da privacidade não se limita à configuração do produto ou serviço. Quando o usuário autorizar a coleta de algum dado, o tratamento desse dado deve ser de forma segura, desde a coleta até sua eliminação.

6 – Visibilidade e transparência: A transparência aqui abrange diversos aspectos, desde informar ao titular do dado quando e para qual finalidade suas informações estão sendo coletadas e para quem são transferidas, até a abertura da plataforma para que entidades independentes possam realizar auditorias e certificar-se que as informações pessoais estão de fato protegidas.
É necessário que a companhia possa comprovar que passou do discurso para a prática e que protege os dados dos usuários. Isso pode ser realizado de diversas formas e deve estar disponível às pessoas.

7 – Respeito pela privacidade do usuário: Toda a arquitetura e operacionalidade do sistema ou da prática de negócio devem ser centradas na privacidade do usuário, oferecendo medidas robustas de proteção de dados, notificando-o de forma clara e oportuna e tornando as configurações referentes à privacidade amigáveis.
Portanto, garantir a segurança dos dados do usuário envolve diretrizes de segurança da informação capazes de assegurar a confidencialidade, integridade e disponibilidade dos dados e informações durante todo seu ciclo de vida.

Devido à grande importância do tema privacy by design para atender a GDPR e agora LGPD, hoje existe uma certificação para isto, onde prova que a empresa atende aos itens da privacy by design. No Brasil ainda existem poucas empresas com esta certificação.

Fonte: Bibliografia infamação da NBR ISO 27701:2019 – por Marcelo Creazzo – GRC Consultant.

2 Comments

Patricia on 5 de April de 2021 at 10:11

Olá, bom dia! Por favor, qual é a certificação que prova que a empresa atende aos itens de privacy by design? Achei que poderia ter essa complementação na última frase. Muito obrigada!
Reply
- Cipher Marketing on 24 de June de 2021 at 12:07
  
  Olá, tudo bem?
  Por gentileza, entre em contato conosco através do e-mail [email protected] para maiores informações.
  Att., Equipe Cipher
  Reply

Submit a Comment Cancel reply

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

• Whitepapers
• E-books
• Checklists
• Self-Assessments
• Webcasts
• Infographics

Cookie	Duração	Descrição
__hssrc	sessão	O Hubspot define este cookie cada vez que o cookie da sessão muda. O cookie __hssrc ajustado a 1 indica que o utilizador reiniciou o navegador, e se o cookie não existir, assume-se que se trata de uma nova sessão.
_GRECAPTCHA	5 meses 27 dias	Este cookie é definido pelo Google. Além de certos cookies padrão do Google, o reCAPTCHA define um cookie necessário (_GRECAPTCHA) quando executado com o objetivo de fornecer sua análise de risco.
viewed_cookie_policy	1 ano	Este cookie é definido pelo suplemento de consentimento de cookies da GDPR e é utilizado para armazenar se o utilizador consentiu ou não na utilização de cookies. Não armazena quaisquer dados pessoais.

Cookie	Duração	Descrição
AnalyticsSyncHistory	1 mês	Sem descrição
li_gc	2 anos	Não há descrição disponível.
UserMatchHistory	1 mês	Linkedin - Usado para localizar visitantes em múltiplos sítios web, a fim de apresentar anúncios relevantes com base nas preferências dos visitantes.

Cookie	Duração	Descrição
bscookie	2 anos	Este cookie é um cookie de identificação do navegador definido por Botões de partilha Linked e etiquetas de anúncios.
IDE	1 ano 24 dias	Os cookies IDE Google DoubleClick são utilizados para armazenar informação sobre a forma como o utilizador utiliza o sítio web a fim de apresentar ao utilizador anúncios relevantes e direccionados.
test_cookie	15 minutos	O cookie test_cookie é definido por doubleclick.net e é utilizado para determinar se o navegador do utilizador suporta cookies.
VISITOR_INFO1_LIVE	5 meses 27 dias	Um cookie definido pelo Youtube para medir a largura de banda que determina se o utilizador recebe a nova ou a antiga interface do leitor.
YSC	sessão	O cookie do YSC é definido pelo YouTube e é utilizado para acompanhar as visualizações de vídeos incorporados nas páginas do YouTube.
yt-remote-connected-devices	nunca expira	O YouTube define este cookie para armazenar as preferências de vídeo do utilizador que utiliza o vídeo do YouTube incorporado.
yt-remote-device-id	nunca expira	O YouTube define este cookie para armazenar as preferências de vídeo do utilizador utilizando o vídeo do YouTube incorporado.

Cookie	Duração	Descrição
__hstc	1 ano 24 dias	Este é o cookie principal criado pelo Hubspot, para rastreio de visitantes. Contém o domínio, o carimbo temporal inicial (primeira visita), o último carimbo temporal (última visita), o carimbo temporal actual (esta visita) e o número de sessão (incrementado para cada sessão subsequente).
_ga	2 anos	O cookie _ga, definido pelo Google Analytics, calcula os dados do visitante, da sessão e da campanha e também rastreia a utilização do site para relatórios de análise do site. O cookie armazena informação anonimamente e atribui um número gerado aleatoriamente para reconhecer visitantes únicos.
_gat_gtag_UA_86671402_1	1 minuto	Este cookie é definido pelo Google e é utilizado para distinguir os utilizadores.
_gcl_au	3 meses	Fornecido pelo Google Tag Manager para testar a eficácia da publicidade dos sítios web que utilizam os seus serviços.
_gid	1 dia	Definido pelo Google Analytics, o cookie _gid armazena informações sobre como os visitantes utilizam um sítio web, enquanto cria um relatório analítico do desempenho do sítio. Alguns dos dados recolhidos incluem o número de visitantes, de onde provêm e as páginas que visitam anonimamente.
CONSENT	16 anos 3 meses 14 dias 7 horas	Estes cookies são definidos através de vídeos YouTube incorporados. Gravam dados estatísticos anónimos sobre, por exemplo, o número de vezes que o vídeo é visto e as definições utilizadas para a reprodução. Os dados sensíveis não são recolhidos a menos que esteja ligado à sua conta Google, caso em que as suas escolhas estão ligadas à sua conta, por exemplo, se clicar em "gostar" num vídeo.
hubspotutk	1 ano 24 dias	Este cookie é utilizado pela HubSpot para localizar os visitantes do website. Este cookie é passado ao Hubspot em formulários e é utilizado quando se deduplicam contactos.

Cookie	Duração	Descrição
__cf_bm	30 minutos	Este cookie, definido pelo Cloudflare, é utilizado para apoiar a Gestão de Botões Cloudflare.
__hssc	30 minutos	HubSpot define este cookie para acompanhar as sessões e para determinar se o HubSpot deve aumentar o número de sessões e os carimbos temporais no cookie __hstc.
bcookie	2 anos	O LinkedIn define este cookie de botões de partilha e etiquetas de anúncios do LinkedIn para reconhecer o ID do navegador.
lang	sessão	Este cookie é utilizado para armazenar as preferências linguísticas de um utilizador, a fim de exibir o conteúdo nessa língua armazenada na próxima vez que o utilizador visitar o website.
lidc	1 dia	O cookie lidc é colocado pelo LinkedIn para facilitar a selecção do centro de dados.

Insights > Blog

Você sabe o que é Privacy by design?

2 Comments

Submit a Comment Cancel reply

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

Social Media

LinkedIn

Powered by Juicer

LinkedIn

Social Media

Twitter

Twitter feed is not available at the moment.

Social Media

Facebook

Insights

Whitepaper

Dig into the details of cybersecurity and regulations by reading our exclusive white papers. Each paper is written by an expert at Cipher and full of insight and advice.

Saber mais