Privacy by Design ou Privacidade desde a concepção é um processo para incorporar boas práticas de privacidade nas especificações de design de tecnologias, práticas de negócios e infraestruturas físicas. Isso significa criar privacidade nas especificações de design e na arquitetura de novos sistemas e processos.
É uma boa oportunidade para gerenciar os riscos de privacidade de forma proativa, em vez de alterar retrospectivamente um produto ou serviço para resolver os problemas de privacidade que surgem.
Para criar privacidade, você precisa entender os impactos da privacidade. Uma avaliação do impacto da privacidade é a melhor maneira de fazer isso. Continue a leitura deste artigo e saiba como fazer uma avaliação de impacto da privacidade e conheça os 7 princípios do Privacy by Design.
Avaliação de Impacto de Privacidade
Uma avaliação de impacto de privacidade é uma avaliação sistêmica para identificar o impacto que o projeto pode ter na privacidade dos indivíduos e estabelece recomendações para gerenciar, minimizar ou eliminar esses impactos.
Cada avaliação irá variar dependendo da natureza e extensão das informações pessoais que estão envolvidas em um projeto. No entanto, existem alguns princípios gerais que se aplicam de forma consistente às avaliações de impacto de privacidade.
Uma avaliação de impacto de privacidade deve:
Considerar os riscos de privacidade e estratégias de mitigação para um projeto, não é apenas uma verificação de conformidade básica.
Deve ser realizada em um estágio inicial o suficiente para influenciar como o projeto prossegue (por exemplo, no estágio de planejamento e design ou business plan).
Deve evoluir com um projeto (uma avaliação eficaz contemplará os riscos de privacidade que podem surgir se um projeto se expandir em escala ou escopo; quando o projeto muda, a avaliação deve ser revisitada e atualizada).
Deve incorporar feedback sobre os riscos de privacidade das partes interessadas que podem estar interessadas ou afetadas por um projeto.
Mapear como as informações são coletadas como parte de um projeto e, uma vez coletadas, como as informações fluirão (quem pode acessá-las, como serão armazenadas, para que serão utilizadas e assim por diante).
Deve identificar quaisquer problemas de privacidade e sugerir maneiras de gerenciar, minimizar ou eliminar os riscos de privacidade (usando o mapa de fluxo de informações).
Os 7 Fundamentos do Privacy by Design
Ann Cavoukian, autora do conceito, definiu os princípios do Privacy by Design no documento “Privacy by Design: The 7 Foundational Principles”, considerando que há um entendimento crescente de que inovação, criatividade e competitividade devem ser abordadas a partir de uma perspectiva de “design thinking”, ou seja, uma maneira de ver o mundo e superar suas restrições, que são ao mesmo tempo holísticas, interdisciplinares, integradas, inovadoras e inspiradoras.
Confira a seguir um resumo dos 7 fundamentos do Privacy by Design.
1. Proativo e não reativo. Preventivo e não corretivo.
O Privacy by Design é caracterizado por medidas proativas em vez de reativas. Ele antecipa e evita eventos invasivos de privacidade antes que eles aconteçam. O Privacy by Design não espera que os riscos à privacidade se materializem, nem oferece soluções para resolver as infrações de privacidade uma vez que tenham ocorrido - tem como objetivo evitar que ocorram. Resumindo, a privacidade projetada vem antes do fato, não depois.
2. Privacidade como padrão (Privacy by Default)
O Privacy by Design visa fornecer o máximo grau de privacidade, garantindo que os dados pessoais sejam protegidos automaticamente em qualquer sistema de TI ou processos comerciais. Se um indivíduo não fizer nada, sua privacidade ainda permanecerá intacta. Nenhuma ação é necessária por parte do indivíduo para proteger sua privacidade - isso é integrado ao sistema, por padrão.
3. Privacidade incorporada ao Design
A privacidade está incorporada ao design e à arquitetura de sistemas de TI e práticas de negócios. O resultado é que a privacidade se torna um componente essencial da funcionalidade central que está sendo entregue. A privacidade é parte integrante do sistema, sem diminuir as funcionalidades já existentes.
4. Funcionalidade Total
Exceções não devem ser feitas para acomodar dilemas entre a privacidade e a funcionalidade. É fácil ser vítima de falsas dicotomias, como “privacidade x segurança”, entre outras. Se o sistema exigir acomodações quanto a isso, é provável que não seja tão eficaz ou amigável quanto deveria ser.
5. Segurança de ponta a ponta
O Privacy by Design considera a segurança do início ao fim. Isso significa que as informações são seguras e protegidas em todo o seu ciclo de vida, desde quando entram no sistema, são retiradas e processadas com segurança e depois destruídas adequadamente.
6. Visibilidade e Transparência
Visa assegurar a todas as partes interessadas que qualquer que seja a prática comercial ou tecnologia envolvida, ela está de fato operando de acordo com as promessas e objetivos declarados. Seus componentes e operações permanecem visíveis e transparentes para usuários e provedores. Ser claro sobre o seu sistema e o nível de segurança que ele fornece, cria confiança e responsabilidade em sua organização.
7. Respeito pela privacidade do usuário
É preciso tornar a privacidade do usuário a principal preocupação. Se sua empresa está lidando com informações pessoais sensíveis, o risco de deixá-las cair em mãos erradas é muito alto. De maneira mais geral, os sistemas devem ser adequados para atender aos seus usuários e todas as suas necessidades.
O Privacy by Design é um meio para as organizações reduzirem os custos relacionados com a conformidade da LGPD e outras normas legais de proteção de dados, como a GDPR, Resolução Bacen 4.658, ISO 27001, HIPPA, PCI-DSS, SOX, BASILÉIA II e outras.
Em novos sistemas, o Privacy by Design começa enfatizando a privacidade e a segurança durante todo o processo de design. Isso fará com que a privacidade esteja perfeitamente integrada ao sistema, permitindo que ele funcione de maneira suave e segura desde o início.
A implementação do Privacy by Design em um sistema existente é mais difícil e demorada, pois é necessário desconstruir e analisar completamente o sistema que sua organização já possui. Inicialmente, é preciso fazer uma auditoria de privacidade no sistema em toda a sua extensão, do início ao fim. Observe como a privacidade foi incorporada ao seu sistema atual, identifique pontos fracos e crie novas soluções, sempre pensando no usuário.
Considerações Finais
Já faz algum tempo que estamos nos especializando cada vez mais em Proteção de Dados para conformidade com a LGPD e GDPR, para tanto entendemos cada vez mais a importância em capacitar os profissionais brasileiros para esse novo mercado.
A RS Security Data Security é agora empresa autorizada como autoridade em treinamentos de capacitação e certificação nas guias de certificação EXIN PDPE (Privacy and Data Protection Essentials) e PDPF (Privacy & Data Protection Foundation).
Embarque conosco nessa transformação no mercado brasileiro e seja um profissional realmente capacitado e requisitado. Entre em contato com um dos nossos consultores agora.