Últimas notícias

Fique informado

Dicas práticas para implementação de Privacy by Design – Parte II de IV

18/11/2020

Spotlight

ONLYOFFICE, plataforma colaborativa, apresenta sua estrutura de segurança de dados

Confira a entrevista na íntegra com Nadya Knyazeva, Gerente de Comunicação da ONLYOFFICE, a plataforma open source que possui mais de sete milhões de usuários no mundo

27/11/2020

Lei da Internet das Coisas segue para sanção presidencial e deve impulsionar o mercado de eIDs

Os equipamentos que utilizam a Internet precisam ser identificados para a autenticação precisa máquina a máquina e, em alguns casos, é primordial estarem blindados contra invasões hackers.

26/11/2020

Doutor Fabiano Menke Concede Entrevista Sobre a Evolução das Assinaturas Eletrônicas

Nesta entrevista Dr. Fabiano Menke fala sobre a Lei 14.063 de setembro de 2020 e sobre o Decreto 14.543 de novembro de 2020 sobre os tipos de assinaturas eletrônicas

25/11/2020

A certificação de plataformas de telemedicina para uso da assinatura digital

O uso de certificados digitais para assinatura de documentos clínicos é adotado no Brasil desde a primeira resolução do Conselho Federal de Medicina (CFM), em 2007

25/11/2020

Decreto 14.543/2020 regulamenta o artigo 5º da Lei 14.063/2020

O decreto 14.543/20 define alguns requisitos do artigo 5º Lei 14.063/2020.

16/11/2020

Ataques de ransomware se multiplicam durante a pandemia. Como fica à LGPD?

O Country Manager da WatchGuard no Brasil, Dennis Brach, em um artigo sobre os ataques de ransomware na pandemia e suas associações com a LGPD

16/11/2020

Continuando nossa série de dicas práticas para implementação de Privacy by Design, neste artigo, focaremos nos princípios de “respeito pelo usuário”

Por Daniela M. Monte-Serrat Cabella – Head of Privacy & Data Compliance e DPO  & Raíssa Moura Ferreira – Head of Data Privacy e DPO   

Com destaque para os avisos de privacidade e o atendimento ao princípio do livre acesso, “visibilidade e transparência”,  indicando como ele pode ser implementado por meio da elaboração, implementação e disponibilização de políticas como de privacidade e de governança em privacidade, e, por último, abordaremos o princípio “privacidade incorporada ao design”, que deve levar em consideração a arquitetura de TI e os processos em geral, com destaque para os processos de criação do produto ou serviço e sua documentação.

Respeito pelo Usuário

É objetivo do Privacy by Design respeitar os direitos e liberdades dos titulares de dados e garantir a sua privacidade. Portanto, todo produto ou serviço deve ser conscientemente projetado para colocar o titular do dado no centro das decisões sobre o que deve ser feito com os seus dados pessoais.

Esse princípio pode ser colocado em prática por meio da implementação, por exemplo, de (i) painéis de controle de privacidade para o usuário gerenciar o uso de seus dados de forma granular, contribuindo, inclusive, para o exercício pleno e efetivo do direito de livre acesso aos dados; (ii) configurações de privacidade “fortes” por padrão com  informações disponibilizadas aos usuários sobre as consequências para a sua privacidade, caso as configurações sejam modificadas, e (iii) avisos de privacidade com informações suficientes e adequadas para coleta do consentimento livre, informado e inequívoco, quando cabível.

Os avisos de privacidade devem ser apresentados no momento certo na jornada do usuário e com todas as informações indispensáveis, dispostas de maneira amigável. O texto de solicitação deve ter uma linguagem clara e ser capaz de demonstrar a finalidade para o tratamento do dado com foco nos benefícios ofertados ao usuário sem mascarar qualquer consequência advinda do tratamento dos dados pessoais.

Outro ponto importante para a efetividade dos avisos de privacidade é a incorporação de aspectos de UX Design na elaboração desses avisos, como a usabilidade(deve ser fácil de entender e responder), o modelo mental do usuário (adaptação à capacidade de cognição e habilidade do indivíduo de controlar suas informações pessoais) e os requisitos legais do consentimento válido.

O respeito pelo usuário demonstrado por meio de uma jornada de transparência ativa torna-se ainda mais relevante nos casos em que o consentimento não é a base legal aplicável.

Visibilidade e transparência

De acordo com Ann Cavoukian, o framework de Privacy by Design visa garantir a todos os interessados ​​que, seja qual for a prática comercial ou tecnologia envolvida, o tratamento de dados está, de fato, de acordo com as informações fornecidas.

Para que haja essa verificação, a disponibilização de informações claras e transparentes é essencial. Isso pode ser feito por meio de documentos que demonstrem a conformidade e prestem contas a respeito dos aspectos envolvidos no tratamento, como as Políticas de Privacidade, Políticas de Governança e até mesmo Manifestos, por exemplo.

Como se pode perceber, todos os princípios de Privacy by Design se complementam , pois visibilidade e transparência também são fatores que contribuem para demonstrar o próprio respeito pelo usuário, princípio que abordamos no tópico anterior.

É possível, portanto, que uma medida técnica ou administrativa de privacidade na realidade cumpra mais de um princípio do framework ao mesmo tempo.

Privacidade Incorporada ao Design – Privacy by Design

Cavoukian ensina que a privacidade deve ser levada em consideração no desenho da solução e nos processos e procedimentos operacionais. Ela não deve ser adicionada posteriormente como um “adendo”, mas deve, de fato, fazer parte, desde o início, da estrutura ou funcionalidade a ser entregue.

Este princípio costuma ser o que mais gera dúvidas quanto à comprovação. Como demonstrar que a privacidade foi considerada no momento de desenho da solução?

Uma possibilidade é apresentar desenhos elaborados no início da estruturação da arquitetura dos sistemas de TI que demonstrem, por exemplo, o armazenamento de dados pessoais no próprio dispositivo do usuário, com compartilhamento apenas de dados estatísticos que irão compor um banco de dados anonimizados, bem como outros documentos técnicos e de design da solução que destaquem quaisquer outras medidas de minimização do tratamento de dados pessoais ou dos riscos à privacidade.

Outra forma de comprovação do atendimento a este princípio pode ser feita mediante a apresentação dos registros da persona e do mapa da empatia com aspectos de privacidade (como nos modelos elaborados pelo Gustavo Babo), materiais utilizados na fase de ideação, ou seja, nos processos de criação de novos produtos ou serviços.

Também é fundamental analisar todas as fases de interação do titular de dados com o produto ou serviço, por isso elaboramos um Mapa da Jornada do Usuário com camada de Privacy by Design e perguntas relacionadas à privacidade para facilitar a troca de ideias no momento de criação do produto ou serviço, para que já nasça o mais protetivo possível à privacidade e evite não apenas infrações legais, mas também o retrabalho para a equipe de produto. O que representaria desperdício de tempo, energia e recursos para a organização. Nosso Mapa da Jornada do Usuário com Privacy by Design pode ser conferido em aqui.

Esperamos ter contribuído com dicas práticas de implementação dos três princípios abordados. Falaremos, no próximo artigo, sobre segurança de ponta-a-ponta 🙂

Série: Dicas práticas para implementação de Privacy by Design – Parte I de IV

LGPD: O que muda com a entrada em vigor da lei

The Future of Privacy – Why Using and Protecting Personal Data Is a Vital Business Imperative

Autenticação: O Perigo está nos seus Dados

Siga o Crypto ID no Linkedin e acompanhe as atualizações sobre inovação e segurança da informação com foco em eIDs e Criptografia!

https://www.linkedin.com/company/crypto-id