Embora os princípios do Privacy by Design sejam amplamente difundidos, muitos profissionais ainda encontram dificuldade em implementá-los
Autoras: Daniela M. Monte-Serrat Cabella – Head of Privacy & Data Compliance e DPO e Raíssa Moura Ferreira – Head of Data Privacy e DPO
Introdução
Empresas do mundo todo enfrentam o desafio de promover o equilíbrio entre o uso de dados pessoais, como parte essencial de seus modelos de negócio, e o respeito à privacidade dos usuários.
Para solucionar essa tensão, a Drª Ann Cavoukian, Information and Privacy Commissioner da província de Ontário, Canadá, entre 1997 e 2014, desenvolveu o framework Privacy by Design, abordagem estruturada em 7 princípios fundamentais que busca aproveitar os benefícios da inovação ao mesmo tempo em que preserva a liberdade de escolha dos titulares de dados pessoais e o controle sobre o fluxo informacional, incorporando privacidade à infraestrutura tecnológica e de sistemas, ao design de produtos e serviços, além de elevá-la à prioridade máxima nas organizações.
Devido a sua crescente importância, o Privacy by Design foi adotado pela Assembly of Privacy Commissioners and Data Protection Authorities em 2010 e, posteriormente, positivado no art. 25 do Regulamento Geral de Proteção de Dados europeu, que determina que os controladores devem adotar medidas técnicas e organizacionais para a sua implementação.
A Lei Geral de Proteção de Dados Pessoais, por sua vez, não mencionou expressamente o framework no Brasil, mas incorporou seus princípios basilares no art. 6º e determinou expressamente no art. 46, § 2º, que as medidas de segurança técnicas e administrativas sejam “observadas desde a fase de concepção do produto ou do serviço até a sua execução”.
Embora os princípios do Privacy by Design sejam amplamente difundidos, muitos profissionais ainda encontram dificuldade em implementá-los, uma vez que possuem certo grau de abstração (plenamente justificável pelo seu caráter universal).
Esta série formada por quatro artigos tem, portanto, o objetivo de trazer alguns exemplos concretos de como implementar cada um dos princípios do Privacy by Design com dicas práticas, através de uma abordagem desenvolvida com base em nossas experiências em empresas de tecnologia e sistematizada no nosso curso “Privacy by Design: teoria e prática para empresas”.
Proativo e não reativo; Preventivo e não corretivo privacy
As empresas devem ser proativas em implementar medidas que previnam a ocorrência de riscos à privacidade em seus sistemas, infraestrutura de TI, produtos ou serviços. É fundamental adotar medidas técnicas e organizacionais que antecipem qualquer ameaça ou que reduzam os riscos antes que se materializem. Alguns exemplos de medidas que atendem a esse princípio são:
- Envolver a alta liderança, através de um programa de governança em privacidade que garanta a participação dos executivos no desenvolvimento de objetivos que priorizem a privacidade e em decisões que envolvam o tema;
- Disseminar uma cultura forte de proteção de dados e privacidade em todos os níveis da organização, utilizando meios criativos e eficazes de engajamento dos colaboradores;
- Mapear as obrigações legais gerais e setoriais que envolvam proteção de dados, monitorando o compliance de forma sistemática e com a criação de indicadores para acompanhamento;
- Garantir que a análise de risco à privacidade seja realizada na fase inicial de desenvolvimento de novos produtos e serviços, visando a sugestão de melhorias e medidas de mitigação dos riscos antes que as atividades de tratamento de dados se materializem;
- Criar mecanismos para que o profissional ou equipe de privacidade sejam notificados sempre que um novo banco de dados for estruturado, garantindo assim uma análise prévia dos requisitos de proteção dos dados que serão armazenados;
- Implementar medidas técnicas de minimização, pseudonimização, anonimização e práticas robustas de segurança da informação.
Privacidade por padrão (Privacy by default)
A privacidade deve ser a regra, o padrão. Sistemas e práticas de negócio devem proteger os dados pessoais de forma automática, sem necessidade de ação por parte do indivíduo.
Para que esse princípio se concretize, é extremamente importante garantir que o profissional ou equipe responsável pelo tema da privacidade na organização seja envolvido(a) na fase de ideação de novas soluções, assegurando sua participação em reuniões em que esse tema será discutido e a inclusão do tópico na ferramenta adotada pela equipe de Produto para o desenvolvimento de soluções.
Principalmente em ambientes que adotam a metodologia ágil, é importante que o profissional possa acompanhar as sprints de desenvolvimento e até mesmo realizar análise de risco na fase inicial do roadmap de produto, como na criação de novos épicos.
Ferramentas de gestão ágil como o Jira, o Monday e o Notion, por exemplo, costumam ser adotadas nos projetos de desenvolvimento, e também podem ser utilizadas pelo profissional ou equipe de privacidade para se integrar, by design, ao fluxo de desenvolvimento de novas soluções.
Algumas dessas ferramentas permitem que a equipe de privacidade crie formulários para que as informações sobre novas soluções sejam inseridas pela própria equipe de Produto ou Tecnologia para análise à proteção de dados pessoais pela primeira equipe. Com essa análise feita no estágio da ideação e início da execução, é possível que o profissional ou equipe de privacidade realize sugestões de como incorporar a privacidade por padrão no desenvolvimento das soluções.
Por isso, ao criar os formulários para coleta de informações relacionadas à análise, é importante que o profissional ou equipe de privacidade analise qual o melhor momento para intervir e crie campos para coletar todas as informações necessárias e suficientes para sua análise. Também é fundamental que facilite ao máximo seu preenchimento, permitindo, em alguns campos, a seleção de opções dentro de uma lista já determinada em checkboxes ou dropdown, por exemplo. É preciso facilitar esse fluxo ao máximo e ser o mais ágil possível.
Funcionalidade total (soma positiva)
O Privacy by Design visa acomodar todos os interesses e objetivos em uma soma positiva (ganha-ganha), evitando uma abordagem embasada em compensações desnecessárias onde ninguém ganha (soma zero), pois é plenamente possível que interesses diferentes e legítimos possam coexistir em harmonia.
É missão primordial do profissional ou equipe de privacidade equalizar os interesses do negócio, a usabilidade dos produtos e serviços com a experiência dos usuários ao mesmo tempo em que garante privacidade e proteção de dados.
Portanto, recomendamos incluir no fluxo de coleta de insumos sobre o produto, ou funcionalidade que será desenvolvida, perguntas que gerem informações sobre quais valores para o usuário e para o negócio se pretende alcançar, e que outras preocupações existem no desenvolvimento da solução, indo além da privacidade.
Assim, todos esses aspectos serão levados em consideração na análise do profissional ou equipe de privacidade, garantindo que as recomendações atendam à funcionalidade total do produto e resultem em uma soma positiva para os titulares dos dados e para o negócio, evitando falsos trade-offs como privacidade x receita.
A funcionalidade total pode ser implementada através da perspectiva do Design Thinking, abordagem que busca solução de problemas de forma colaborativa ao identificar os interesses conflitantes e mapear as alternativas para superar as divergências, com o máximo de empatia. Desse modo, é possível alcançar os três princípios mencionados neste artigo ao mesmo tempo através da técnica de Design Thinking denominada mash-up, método de ideação que permite reunir ideias inesperadas para gerar novas ideias.
Assim, consegue-se o equilíbrio entre privacidade de forma preventiva e como padrão, os interesses do negócio e a melhor experiência dos indivíduos, resultando em insights que garantem a funcionalidade total e a inovação com respeito à privacidade.
Os três princípios de Privacy by Design acima foram os selecionados para esta publicação “Parte I de IV”. Mais dicas serão passadas no próximo artigo 🙂
Série: Dicas práticas para implementação de Privacy by Design – Parte I de IV
Série: Dicas práticas para implementação de Privacy by Design – Parte II de IV
Série: Dicas práticas para implementação de Privacy by Design – Parte III de IV
Não deixe de esperar pela próxima parte e muito mais!
LGPD: O que muda com a entrada em vigor da lei
Aconteceu a segunda reunião do Comitê de Segurança da ANPPD
No que usuários e empresas devem se atentar nos dias de descontos em plataformas digitais