Privacy by Design ou o pós implementação da LGPD: o que as empresas precisam para garantir a privacidade no dia a dia

Desde o último trimestre de 2020, temos a LGPD em vigor. Com isto, a grande maioria das empresas já está realizando os seus processos de adequação, contratando consultorias jurídicas e de tecnologia, para apoiá-las neste processo. O objetivo é que até agosto deste ano essas empresas estejam com os processos aderentes à norma nacional, que regulamenta o uso de dados pessoais e a sua privacidade.

No final destas atividades, os executivos responsáveis pelo programa podem até pensar que não há mais necessidade de se preocupar com este processo. No entanto, é importante seguir com o acompanhamento da execução das políticas de privacidade e com a garantia de segurança dos dados pessoais, enquanto a lei e os tratamentos existirem.

Então, qual é o próximo passo?

Com o advento da LGPD, um dos seus princípios é assegurar aos titulares a privacidade durante todo o ciclo de vida. Isto envolve desde o momento da coleta dos dados, ao longo de todo o tratamento e compartilhamento, até a eliminação das informações das bases de dados corporativos. Uma das formas de garantir que a empresa mantenha a privacidade e segurança dos dados pessoais em suas plataformas, produtos e aplicações é a utilização da metodologia Privacy by Design.

O Privacy by Design foi criado na década de 90 pela comissária de Informação e Privacidade de Ontário, Doutora Ann Cavoukian. Para garantir o avanço da tecnologia e a possibilidade da realização de coleta indiscriminada de informações pessoais, foram pensados alguns princípios que deveriam ser aplicados para que as corporações empregassem regras de privacidade em suas soluções e produtos oferecidos.

A ideia do Privacy by Design é que as empresas incorporem essa metodologia em todo o ciclo de desenvolvimento de produto ou serviço, ou seja, desde a sua concepção, o que coloca a proteção da privacidade no centro de todo o desenvolvimento.

Listo os 7 princípios que compõem a metodologia do Privacy by Design. São eles:

• Ser proativo e não reativo – Prevenir e não remediar
• Privacidade por padrão
• Privacidade incorporada ao projeto
• Funcionalidade total – “Soma-positiva” ao invés de soma-zero
• Segurança de ponta a ponta – Proteção durante todo o ciclo de vida da informação
• Visibilidade e transparência
• Respeito pela privacidade do usuário – Solução centrada no usuário.

Para introduzir o contexto do Privacy by Design e da LGPD, preciso colocar um cenário futuro que será corriqueiro na maioria das empresas: as adequações foram feitas, os dados foram mapeados e no decorrer do dia a dia surge a necessidade de uma nova plataforma para atender uma demanda da área de Recursos Humanos. E agora, como aplicar a LGPD em uma nova demanda? Como garantir a privacidade desde o seu início?

Você pode até pensar: vamos aplicar os 7 princípios do Privacy by Design e está tudo resolvido. Contudo, a questão é: como sair do campo das ideias e tornar isto de forma prática para as empresas? Os 7 princípios do Privacy by Design deixam uma lacuna na concretização da prática. O que torna necessário se falar da Engenharia de Privacidade, que transforma esta metodologia em ações concretas.

A Engenharia de Privacidade veio retirar o gap entre os princípios do Privacy by Design e a construção dos produtos e aplicações. Pois estabelece atividades que buscam proteger a privacidade das informações, ao eliminar ou minimizar os dados pessoais, define estratégias e padrões de privacidade para projetos, garante a comunicação entre governança e funções de privacidade de dados e é iterativa no desenvolvimento das aplicações e soluções gerando evidências contínuas durante o desenvolvimento.

Para isso, utilizamos etapas que devem permear todo o ciclo de desenvolvimento de um novo produto ou aplicação. Ao se iniciar a construção dos requisitos de negócio, deve-se identificar quais políticas de privacidade e segurança precisam ser implementadas, bem como garantir o atendimento aos direitos dos titulares e a adequação dos princípios de tratamento de dados da LGPD ao novo produto.

A construção de um relatório de impacto de proteção de dados é essencial para desenvolver mecanismos de mitigação dos impactos e riscos encontrados no tratamento de dados. Isto também é importante para selecionar uma ou mais estratégias de privacidade, tais como: minimização, ocultação, agregação, separação, demonstração etc. Essas estratégias norteiam todo o ciclo do desenvolvimento e a arquitetura de segurança e privacidade que vão sustentar o novo produto.

Mas também é essencial garantir um desenvolvimento seguro com os princípios do OWASP e a segurança em nuvem, realizar testes de penetração e segurança e garantir via DevSecOps a aplicação das diretrizes de privacidade e segurança. Por fim, é importante certificar a sua aplicação como Privacy by Design, demonstrando que a empresa teve a preocupação de atestar a privacidade em todo o ciclo de construção, o que valida o princípio da boa fé.

As empresas precisam entender que não basta gastar as suas energias somente na adequação de seus processos e tratamentos de dados. É essencial garantir a privacidade de ponta a ponta em seus tratamentos de dados pessoais diariamente.

Em tempos de mudança de negócios, de forma acelerada e disruptiva e nas ondas das transformações digitais, garantir o Privacy by Design, além de ser uma questão de regulação, é um ponto de garantia ao cliente, que entenderá que a privacidade é um valor tão caro para a empresa que ela é pensada desde a concepção de um novo produto ou plataforma até a sua disponibilização para os titulares de dados. E assim mostra que a privacidade nasce intrinsecamente aos valores fundamentais da empresa.

Você já está se preparando para o dia em que tudo que a sua empresa criar e disponibilizar ao mercado, ou mesmo internamente, precisa estar certificado com a garantia de ter nascido com privacidade, desde o princípio? A nova etapa pós adequação da LGPD se inicia e vai evoluir tão rapidamente quanto as novas tecnologias e tendências do mercado.

*Wiliam Rodrigues de Faria é Data Protection Officer e especialista em segurança da informação da GFT Brasil