Implementando a Privacidade por Projeto

O Regulamento Geral de Proteção de Dados (GDPR) introduziu muitas mudanças na forma como as empresas e os órgãos públicos pensam sobre privacidade. Uma dessas formas está na decisão de codificar o conceito de “Privacidade por Projeto” (PbD) em lei através do Artigo 25.

>

Felizmente, ao contrário de grande parte da GDPR, o conceito de Privacidade por Projeto é bastante bem aplicado.

>

O que é Privacidade por Projeto, por que a GDPR exige isso, e como você pode implementar a PbD em seu próprio negócio? Você encontrará as respostas e as listas de verificação para ajudá-lo ao longo do caminho estão abaixo.

O que é Privacidade por Design?

A explicação mais básica de Privacidade por Design é pouco mais do que “proteção de dados através de design tecnológico”.

Em sua essência, significa que você precisa integrar recursos de proteção de dados e privacidade na engenharia, práticas e procedimentos de seu sistema. Não deve ser um pensamento posterior ou um suplemento aos seus processos ou infra-estrutura.

Uma forma de descrevê-lo é esboçando o que não é Privacidade pelo Design. Por exemplo, se você é um indivíduo navegando na Internet, não importa se você usa uma VPN e firewall para proteger seu computador se você também usa a senha: “password123” em cada conta. Uma VPN não vai compensar o uso de senhas fracas. Você precisa integrar privacidade em todos os níveis e então você pode adicionar recursos extras de segurança como uma VPN.

O que isso significa na prática para as empresas? Alguns exemplos de Privacidade por Projeto incluem:

• Conduzir uma Avaliação de Impacto de Proteção de Dados (DPIA) antes de usar informações pessoais de qualquer forma
• Fornecer os detalhes de contato do seu responsável pela proteção de dados (DPO) ou outra parte responsável
• Escrever uma Política de Privacidade fácil de ler e manter atualizada

>

Privacidade por Projeto vai muito além disso e impacta quase todas as áreas do uso de sua tecnologia e processamento de dados. Estes exemplos apenas demonstram algumas das formas pelas quais você pode projetar a privacidade em seus processos.

Os 7 Princípios de Privacidade pelo Design

Existem sete princípios no conceito de Privacidade pelo Design e cada um deles é tão importante quanto o próximo. Estes princípios são:

1. Proativo não reativo/preventivo não reativo
2. Privacidade como padrão
3. Privacidade incorporada ao Design
4. Integração da Funcionalidade
5. Privacidade incorporada ao Design
6. End-Segurança ao Final
7. Visibilidade e Transparência
8. Respeito pela Privacidade do Usuário

>

Comecemos pelo Princípio 1: Proactivo não Reactivo/Preventivo não Remedial.

O primeiro princípio argumenta que a privacidade dos dados tem de surgir no início do processo de planeamento. Se a sua prática de segurança consiste em apagar incêndios e lidar com violações, então você está sendo reativo. Ele estabelece o coração filosófico do resto dos princípios.

Princípio 2 A privacidade como configuração padrão é talvez o princípio mais difícil para as empresas se envolverem. Ele argumenta que a privacidade precisa estar na vanguarda do que você faz. Isso significa restringir a sua partilha, utilizar a minimização de dados, apagar dados que já não utiliza e operar sempre numa base legal. Significa também usar funções opt-in e opt-out e salvaguardas para os dados do consumidor.

No Princípio 3, a ideia é que a privacidade precisa de encontrar uma casa no design ou tanto na sua arquitectura como no seu negócio. Em outras palavras, a privacidade é uma funcionalidade central do produto. Você deve estar usando criptografia, autenticação e testando vulnerabilidades regularmente. Não importa se seu processo funciona como deveria; ele tem uma falha de design se há uma vulnerabilidade de segurança.

Principio 4 coloca que não há razão para ter medo da Privacidade pelo Design. Se você está sacrificando funcionalidades por privacidade, então você está fazendo isso errado. É mais uma mudança de cultura que requer um equilíbrio entre crescimento e segurança.

Com o princípio de Segurança Ponta-a-Ponta (#5), há um argumento de que a proteção de privacidade segue os dados durante todo o ciclo de vida desde a coleta até a eliminação/arquivamento. Criptografia e autenticação são o padrão em cada etapa, mas você precisa ir além em outras etapas. Por exemplo, você só deve coletar os dados necessários e ter uma base legal para isso. E quando você terminar com os dados, você deve usar métodos de eliminação/destruição compatíveis com GDPR para proteção de ponta a ponta.

No penúltimo Princípio 6 Visibilidade e Transparência, você aprende que a privacidade não é apenas por causa da privacidade. Os sujeitos dos dados devem saber sobre suas práticas de privacidade (e processamento) e você deve compartilhá-las em público. O princípio defende uma Política de Privacidade bem escrita, que é essencial se você estiver sob a jurisdição da GDPR ou de outra lei como a CalOPPA, de qualquer forma. Ele também argumenta que precisa haver um mecanismo para os sujeitos dos dados apresentarem suas queixas, fazerem perguntas e pedirem mudanças.

Finalmente, o Princípio 7 argumenta que tudo precisa permanecer centrado no usuário. Isso significa reconhecer que mesmo que você tenha os dados, eles pertencem ao consumidor do qual você os coletou. O seu titular pode conceder e retirar o seu consentimento para o uso dos seus dados – e não o contrário.

Privacidade por Design: Para quem é?

Privacidade por Design é para todos, mas é particularmente importante para o seu negócio se você é um controlador de dados que se enquadra no âmbito da GDPR.

A GDPR abraça e verifica a Privacidade por Design no Artigo 25. No entanto, a legislação não nomeia as medidas exatas a serem tomadas além de características como pseudonímia ou criptografia e anonimização. Ao invés disso, a GDPR quer que as características de privacidade sejam razoáveis e apropriadas tanto para os processos que você usa quanto para os dados que você coleta.

Artigo 25(2) diz explicitamente:

“O controlador deve implementar medidas técnicas e organizacionais apropriadas para garantir que, por padrão, somente os dados pessoais necessários para cada finalidade específica do processamento sejam processados.”

Artigo 25 refere-se então ao Artigo 42 e descreve as medidas de certificação para maior clareza sobre a conformidade.

Publicação da GDPR, a GDPR não incluiu clareza sobre o que seriam as medidas de certificação e quem são os organismos de certificação. Em fevereiro de 2019, a Comissão Européia publicou o estudo sobre os artigos 42 e 43 (organismos de certificação). Pode ler o relatório completo aqui.

E se a GDPR não se aplicar ao meu negócio?

Privacidade por Design ainda é uma boa ideia para o seu negócio.

Implementar a Privacidade por Design reflecte uma compreensão do valor da informação pessoal tanto para o seu negócio como para os seus clientes. Ele reconhece que a privacidade e o controle pessoal sobre os dados é uma liberdade importante, e é uma liberdade que a lei não só reflete cada vez mais, mas também que você precisa manter por conta própria dentro do mercado.

Se você acha que as pessoas não estão tão preocupadas com a privacidade do consumidor, pense novamente. Uma pesquisa realizada pela ExpressVPN descobriu que 71% das pessoas estavam preocupadas com a forma como os comerciantes coletam e usam seus dados.

E 68% dos usuários americanos de internet disseram que apoiariam um regulamento semelhante ao GDPR nos Estados Unidos.

Aproteger a privacidade a partir de uma perspectiva de design-pensamento garante que ela seja integral às suas operações desde o planejamento até a execução. Ele permite que você proteja seu negócio no futuro, tanto do ponto de vista do cliente como do regulamento.

Como implementar a privacidade por projeto: Artigo 25 Listas de verificação

O artigo 25 é notoriamente vago, mas o rigor ainda é importante tanto para proteção contra ameaças quanto contra multas do GDPR. Quer você administre um site, aplicativo ou produto SaaS, a Privacidade por Design precisa ocorrer:

• Na fase de design
• Até ao longo do seu ciclo de vida
• Entre o compromisso de ponta a ponta
• Após o compromisso
• Após o compromisso

A GDPR pede “medidas técnicas e organizacionais” como criptografia e pseudonímia, mas isso não é o início e o fim da Privacy by Design. Infelizmente, a GDPR em si não fornece uma lista de verificação. Você precisa fazer suas próprias perguntas e fornecer suas próprias respostas com pouca direção da lei ou seus considerandos.

Uma maneira útil de quebrar a implementação da Privacidade pelo Design é segui-la em três pedaços: sistemas, processos e gerenciamento de risco.

Lista de verificação de sistemas

Privacidade pelo Design começa com os sistemas em vigor. Porque começa no topo, é aí que começa a sua lista.

Para incorporar a privacidade em seus sistemas, você deve começar com os seguintes pontos (no mínimo):

• Dando um compromisso organizacional documentado aos padrões de protecção de dados (incluindo na cultura corporativa, práticas empresariais e serviços empresariais)
• Nomear um responsável pela protecção de dados (DPO), se aplicável, ou utilizando um consultor de protecção de dados (casos não-GDPR)
• Estabelecer uma estrutura de protecção de dados (incluindo encriptação e anonimização)
• Criar e documentar um sistema de manutenção de registos para actividades de processamento
• Identificar um sistema de gestão de risco (incluindo gestão de conformidade)
• Actualizar formação em privacidade para funcionários que lidam com dados pessoais (tanto para clientes como para outros funcionários)

>

• Utilizar o autoavaliação para auditar e monitorar a implementação dos sistemas documentados acima
• Estabelecer medidas de segurança utilizadas para evitar incidentes e violações

Seguir esta lista de verificação, você estará melhor preparado para então projetar seus processos de dados.

Lista de verificação de processos

O maior foco do seu trabalho de privacidade por projeto e conformidade com a GDPR acontece na seção de processos, mas não funciona sem antes começar em seus sistemas.

Itens na sua lista incluem:

• Alocar responsabilidades de gatekeeping (TI, jurídico, compras, etc.).)
• Identificar riscos de privacidade em todos os seus processos
• Documentar seu processamento de dados (usando o sistema de manutenção de registros projetado na Lista de Verificação de Sistemas)
• Usar DPIAs, avaliações de risco e conformidade antes de coletar dados para uso ou armazenamento
• Adicionar controles de privacidade, como um Centro de Privacidade, que permitem o acesso das pessoas em causa aos seus dados pessoais nos seus termos
• Implementar as medidas da lista de verificação dos Sistemas acima

>

Lista de verificação da gestão de riscos

>

>

Even se você incorporar a privacidade no seu projeto de processo, você ainda precisa gerenciar os riscos ao longo do ciclo de vida dos dados. O gerenciamento de riscos começa no nível do sistema e prossegue com o processamento.

Você deve ser capaz de fazê-lo:

• Descrever a finalidade do processamento (base legal)
• Identificar medidas que impeçam que os dados sejam processados para outros fins que não acima
• Monitorar medidas de minimização de dados e implementar controles apropriados (minimização adicional, anonimização, e pseudonímia)
• Identificar medidas usadas para garantir a precisão dos dados
• Nome e documentação das pessoas e equipes com acesso aos dados
• Controles de acesso aos dados
• Criar Acordos de Processamento de Dados (CPD) e revisá-los a cada terceiro…processador do partido
• Monitor implementado práticas de segurança
• Identificar fonte de informação e aviso aos sujeitos dos dados sobre processamento de dados
• Definir o processo seguido no caso de violações de segurança e dados (seguindo as regras de notificação da GDPR)
• Implementar as medidas das listas de verificação dos Sistemas e Processos acima

>

Lembrar os princípios do Artigo 25 da GDPR ao aplicar as listas de verificação.

O artigo 25(1) inclui as seguintes obrigações e limitações a ter em conta:

• Estado da arte (lembre-se que isso muda)
• Custo de implementação
• Natureza, escopo, contexto e objetivos do processamento
• Riscos de probabilidade e severidade variáveis para os direitos e liberdades de pessoas naturais
• Medidas técnicas e organizacionais apropriadas

>

Todos estes contribuem para as melhores práticas de Privacidade por Projeto sem torná-lo inatingível para as PMEs e aqueles que não participam das atividades de processamento que vêm com risco significativo.

Em outras palavras, você não precisa gastar milhões em um sistema de segurança para coletar apenas endereços de e-mail e enviar uma newsletter. Sua prática deve ser apropriada à natureza, escopo, contexto, propósitos e riscos do envio de um boletim informativo. Se você é o Deutschebank, então é uma história diferente.

Privacidade por Design é uma Boa Prática

Se você precisa ou não cumprir com a GDPR, a Privacidade por Design é agora considerada a melhor prática para todas as organizações que se envolvem no processamento de dados, não importa o quão grande ou pequena seja.

Privacidade por Design significa considerar a privacidade desde o início de um projeto e integrá-la aos seus sistemas e operações. Não é uma prática ou ferramenta de segurança a ser adicionada posteriormente. Acertar significa encorajar uma cultura organizacional dedicada a reconhecer e respeitar o valor dos dados pessoais tanto para sua empresa como para seus clientes.

As listas de verificação acima o ajudarão a implementar a Privacidade pelo Design em sua empresa. Mas lembre-se que a GDPR também quer que você considere questões como o custo de implementação, a natureza e o escopo do processamento e os riscos que seus clientes enfrentam se houver uma violação.

Atrás da GDPR, a Privacidade por Design é alcançável para todas as empresas, portanto não há desculpa para não começar.