Últimas notícias

Fique informado

Série: Dicas práticas para implementação de Privacy by Design – Parte II de IV

18 de novembro de 2020

Spotlight

Tecnologia referência em segurança chega ao ramo educacional através da CredDefense

Além de universidades e faculdades, a CredDefense quer oferecer seus serviços para escolas de ensino fundamental e médio e também para cursinho pré-vestibular

8 de junho de 2021

Philip Zimmermann: “Today marks the 30th anniversary of the release of PGP 1.0.”

PGP Marks 30th Anniversary – 6 June 2021 – Today marks the 30th anniversary of the release of PGP 1.0

8 de junho de 2021

O que é uma cifra de bloco e como ela funciona para proteger seus dados?

Uma cifra de bloco tem alta difusão (as informações de um símbolo de texto simples são distribuídas em vários símbolos de texto cifrado).

7 de junho de 2021

Comissão Europeia propõe uma identidade digital segura e de confiança para todos os europeus

As Orientações da Comissão para a digitalização até 2030 definem uma série de metas e marcos que a identidade digital europeia ajudará a alcançar.

7 de junho de 2021

Série: Dicas práticas para implementação de Privacy by Design – Parte III de IV

Neste artigo da série, vamos focar no princípio de segurança de ponta-a-ponta do framework de Privacy by Design.

7 de janeiro de 2021

Série: Dicas práticas para implementação de Privacy by Design – Parte I de IV

Embora os princípios do Privacy by Design sejam amplamente difundidos, muitos profissionais ainda encontram dificuldade em implementá-los

16 de outubro de 2020

A vigência da LGPD e as os desafios para a proteção de dados em meio à COVID19

Muitas empresas sequer estavam estruturalmente preparadas para uma mudança tão drástica e repentina. Fato é que há uma enorme quantidade de dados, antes restritos ao ambiente controlado das empresas, circulando por e-mails, serviços de mensageria e canais de comunicação eletrônicos.

25 de maio de 2020

Continuando nossa série de dicas práticas para implementação de Privacy by Design, neste artigo, focaremos nos princípios de “respeito pelo usuário”

Por Daniela M. Monte-Serrat Cabella – Head of Privacy & Data Compliance e DPO  & Raíssa Moura Ferreira – Head of Data Privacy e DPO   

Com destaque para os avisos de privacidade e o atendimento ao princípio do livre acesso, “visibilidade e transparência”,  indicando como ele pode ser implementado por meio da elaboração, implementação e disponibilização de políticas como de privacidade e de governança em privacidade, e, por último, abordaremos o princípio “privacidade incorporada ao design”, que deve levar em consideração a arquitetura de TI e os processos em geral, com destaque para os processos de criação do produto ou serviço e sua documentação.

Respeito pelo Usuário

É objetivo do Privacy by Design respeitar os direitos e liberdades dos titulares de dados e garantir a sua privacidade. Portanto, todo produto ou serviço deve ser conscientemente projetado para colocar o titular do dado no centro das decisões sobre o que deve ser feito com os seus dados pessoais.

Esse princípio pode ser colocado em prática por meio da implementação, por exemplo, de (i) painéis de controle de privacidade para o usuário gerenciar o uso de seus dados de forma granular, contribuindo, inclusive, para o exercício pleno e efetivo do direito de livre acesso aos dados; (ii) configurações de privacidade “fortes” por padrão com  informações disponibilizadas aos usuários sobre as consequências para a sua privacidade, caso as configurações sejam modificadas, e (iii) avisos de privacidade com informações suficientes e adequadas para coleta do consentimento livre, informado e inequívoco, quando cabível.

Os avisos de privacidade devem ser apresentados no momento certo na jornada do usuário e com todas as informações indispensáveis, dispostas de maneira amigável. O texto de solicitação deve ter uma linguagem clara e ser capaz de demonstrar a finalidade para o tratamento do dado com foco nos benefícios ofertados ao usuário sem mascarar qualquer consequência advinda do tratamento dos dados pessoais.

Outro ponto importante para a efetividade dos avisos de privacidade é a incorporação de aspectos de UX Design na elaboração desses avisos, como a usabilidade(deve ser fácil de entender e responder), o modelo mental do usuário (adaptação à capacidade de cognição e habilidade do indivíduo de controlar suas informações pessoais) e os requisitos legais do consentimento válido.

O respeito pelo usuário demonstrado por meio de uma jornada de transparência ativa torna-se ainda mais relevante nos casos em que o consentimento não é a base legal aplicável.

Visibilidade e transparência

De acordo com Ann Cavoukian, o framework de Privacy by Design visa garantir a todos os interessados ​​que, seja qual for a prática comercial ou tecnologia envolvida, o tratamento de dados está, de fato, de acordo com as informações fornecidas.

Para que haja essa verificação, a disponibilização de informações claras e transparentes é essencial. Isso pode ser feito por meio de documentos que demonstrem a conformidade e prestem contas a respeito dos aspectos envolvidos no tratamento, como as Políticas de Privacidade, Políticas de Governança e até mesmo Manifestos, por exemplo.

Como se pode perceber, todos os princípios de Privacy by Design se complementam , pois visibilidade e transparência também são fatores que contribuem para demonstrar o próprio respeito pelo usuário, princípio que abordamos no tópico anterior.

É possível, portanto, que uma medida técnica ou administrativa de privacidade na realidade cumpra mais de um princípio do framework ao mesmo tempo.

Privacidade Incorporada ao Design – Privacy by Design

Cavoukian ensina que a privacidade deve ser levada em consideração no desenho da solução e nos processos e procedimentos operacionais. Ela não deve ser adicionada posteriormente como um “adendo”, mas deve, de fato, fazer parte, desde o início, da estrutura ou funcionalidade a ser entregue.

Este princípio costuma ser o que mais gera dúvidas quanto à comprovação. Como demonstrar que a privacidade foi considerada no momento de desenho da solução?

Uma possibilidade é apresentar desenhos elaborados no início da estruturação da arquitetura dos sistemas de TI que demonstrem, por exemplo, o armazenamento de dados pessoais no próprio dispositivo do usuário, com compartilhamento apenas de dados estatísticos que irão compor um banco de dados anonimizados, bem como outros documentos técnicos e de design da solução que destaquem quaisquer outras medidas de minimização do tratamento de dados pessoais ou dos riscos à privacidade.

Outra forma de comprovação do atendimento a este princípio pode ser feita mediante a apresentação dos registros da persona e do mapa da empatia com aspectos de privacidade (como nos modelos elaborados pelo Gustavo Babo), materiais utilizados na fase de ideação, ou seja, nos processos de criação de novos produtos ou serviços.

Também é fundamental analisar todas as fases de interação do titular de dados com o produto ou serviço, por isso elaboramos um Mapa da Jornada do Usuário com camada de Privacy by Design e perguntas relacionadas à privacidade para facilitar a troca de ideias no momento de criação do produto ou serviço, para que já nasça o mais protetivo possível à privacidade e evite não apenas infrações legais, mas também o retrabalho para a equipe de produto. O que representaria desperdício de tempo, energia e recursos para a organização. Nosso Mapa da Jornada do Usuário com Privacy by Design pode ser conferido em aqui.

Esperamos ter contribuído com dicas práticas de implementação dos três princípios abordados. Falaremos, no próximo artigo, sobre segurança de ponta-a-ponta 🙂

Série: Dicas práticas para implementação de Privacy by Design – Parte I de IV

Série: Dicas práticas para implementação de Privacy by Design – Parte II de IV

Série: Dicas práticas para implementação de Privacy by Design – Parte III de IV

LGPD: O que muda com a entrada em vigor da lei

The Future of Privacy – Why Using and Protecting Personal Data Is a Vital Business Imperative

Autenticação: O Perigo está nos seus Dados