Privacy by Design e a LGPD
Click to rate this post!
[Total: 1 Average: 5]
Isso porque a General Data Protection Regulation (GDPR), que originou a LGPD, menciona a estratégia nominalmente e explica a importância dela para a proteção de dados pessoais.
O que é privacy by design?
O privacy by design é uma abordagem à engenharia de sistemas que, basicamente, diz que um produto ou sistema precisa ser pensado para proteger os dados dos usuários desde sua concepção.Ou seja, o sistema teria que ser criado já pensando em salvaguardas e funcionalidades para proteger os dados.
Para que isso seja feito de forma padronizada e para guiar os engenheiros de sistemas, existem os pilares do privacy by design:
- Proativo não reativo; preventiva não corretiva: No privacy by design, não existe a reação a problemas de privacidade e sim a antecipação dos problemas. Também conta com monitoração para identificar riscos e constantemente criar soluções antecipadamente;
- Privacidade incorporada ao design: O usuário terá o controle para alterar as configurações padrão e optar por fornecer ou não seus dados sem perder o acesso ao produto ou serviço;
- Funcionalidade completa: O produto ou serviço deve ser plenamente utilizável se o usuário não alterar as configurações de privacidade. Não pode haver vantagem ao usuário caso altere a configuração de privacidade.
- Segurança de ponta a ponta: Quando o usuário autorizar a coleta de algum dado, o tratamento deve ser de forma segura durante todo o ciclo de vida do dado;
- Visibilidade e transparência: O produto ou sistema precisa, obrigatoriamente, ser facilmente auditável por terceiros, como organizações de fiscalização. É preciso que a empresa tenha forma de apresentar evidências de seus esforços em proteger os dados pessoais;
- Respeito pela privacidade do usuário: Devem ser estabelecidas diretrizes de segurança da informação que assegurem: confidencialidade, integridade e disponibilidade dos dados e informações durante todo o ciclo de vida;
- Privacidade como configuração padrão (Privacy by Default): Essa é uma garantia dentro do desenho da privacidade.
O que tem a ver com a LGPD?
O privacy by design tem a ver com a LGPD porque tem a ver com a GDPR. Na lei brasileira, não é citado o conceito nominalmente, mas as referências diretas aos princípios são perceptíveis.Já na lei europeia, no Artigo 25 intitulado “Data protection by design and by default” é dito que:
“O controlador deve, tanto no momento da determinação dos meios de processamento quanto no próprio processamento, implementar medidas técnicas e organizacionais apropriadas […] para implementar princípios de proteção de dados […] de maneira eficaz e integrar as salvaguardas necessárias ao processamento”.
Ou seja, mesmo que não dito explicitamente na nossa lei, fica bem detalhado os processos e princípios como obrigação das empresas.
Além disso, como a GDPR é mais abrangente, é uma boa prática se basear principalmente nela para implantação de programas de compliance de privacidade de dados.
No entanto, é importante lembrar que a LGPD tem suas particularidades, e empresas precisam conhecer bem ela também.
Qual o dever do profissional de compliance?
Por enquanto, o que vimos é principalmente relacionada à concepção de produtos e sistemas. Por exemplo, que o sistema da empresa apague completamente dados automaticamente, encerrando seu ciclo de vida.O que ainda acontece em muitos casos é que os dados são armazenados pela empresa após o tratamento inicial. Podem até chegar a serem utilizados novamente para outro fim no futuro.
Com as novas leis isso é ilegal, visto que o titular precisa autorizar os diferentes fins que terão esses dados.
Mas o profissional de compliance ainda terá muito trabalho, não só os profissionais de TI. São 4 principais funções para o compliance com a LGPD e o privacy by design:
- Guiar a empresa com seu conhecimento sobre as leis
- Comunicar sobre o tema
- Monitoramento
- Produzir evidências
Guiar a empresa com seu conhecimento sobre as leis
Primeiramente, nenhum funcionário deverá conhecer melhor as leis sobre privacidade de dados que o profissional de compliance.Esse conhecimento profundo sobre o que a empresa precisa e pode fazer é o que servirá para guiar os outros setores a implementarem seus processos.
Por isso, uma função do compliance será acompanhar de perto a implementação de todas as normas previstas nas leis sobre proteção de dados com a ajuda do DPO.
Comunicar sobre o tema
Outra atribuição do profissional de compliance sobre privacy by design é assegurar que o conceito esteja bem comunicado dentro da empresa. Isso inclui campanhas internas, como também treinamentos periódicos e políticas e processos bem compreendidos pelos funcionários.Monitoramento
Outra responsabilidade do compliance é fazer o monitoramento desses processos e das campanhas implementadas. Isso também pode ser feito com o acompanhamento do DPO, dependendo da empresa.Produzir evidências
A última responsabilidade do compliance é produzir evidências do seu programa de compliance de dados. Ou seja, estar preparado para mostrar a autoridades fiscalizadores os dados que mostram que a empresa tem se esforçado para estar em compliance.Em ambas as leis (LGPD e GDPR) e nos princípios do privacy by design é deixado explícito que é dever da empresa fornecer dados que comprovem seus esforços em mitigar os riscos relacionados à privacidade de dados.