5 minute read
Matéria principal
from Fiotec Comunica 291
by Fiotec
Privacy by Design e Privacy by Default
As temáticas que envolvem a Lei Geral de Proteção de Dados (LGPD) são discutidas e implementadas pela Fiotec desde 2018, quando a Lei foi promulgada no Brasil. Por meio de palestras, informes internos e consultorias realizadas para os colaboradores através da Equipe e do Comitê de Privacidade, foi possível criar uma cultura de segurança da informação para a comunidade da instituição.
Entre as mudanças feitas na Fiotec, está a aplicação dos conceitos do Privacy by Design (PbD) e Privacy by Default, que auxiliam os agentes de tratamento e armazenamento de dados pessoais a adotarem medidas protetivas sobre eles. As técnicas caminham em conjunto para oferecer estruturas para as operações que envolvem os dados mais sensíveis, amparados pela Lei nº 13.709/18, da LGPD.
Privacy by Design
O Privacy by Design foi criado nos anos 1990 pela diretora executiva do Instituto de Privacidade e Big Data da Universidade de Ryerson (Canadá), Dra. Ann Cavoukian. O termo foi amplamente divulgado em 2010, e conclui que todos os ciclos da metodologia de desenvolvimento de um serviço ou entidade devem se basear, primeiramente, na privacidade.
Neste sentido, é necessário que esses conceitos estejam incorporados no dia a dia da organização, assim como nos projetos e serviços, para que sejam discutidos desde o início dos processos. O objetivo é olhar para a privacidade de forma intrínseca, desmistificando que seria algo a ser tratado à parte.
Dentro do PbD existem sete princípios:
• Proativo, não reativo. Prevenir, não remediar: a técnica reconhece o valor de agir proativamente, prevenindo incidentes e invasões antes que aconteçam; • Privacidade por padrão: o PbD engloba o Privacy by Default, permitindo que seja guiado por essas regras que serão explicadas a seguir. Dessa forma, não será necessário desativar a coleta de dados extras, uma vez que ela virá desativada por padrão; • Privacidade embutida no design: a privacidade deverá ser algo embutido no design, Tecnologia da Informação e práticas corporativas. Não será mais tratado como algo complementar, mas integral à estrutura; • Total funcionalidade: a privacidade deve somar as funcionalidades do projeto como um todo, sem prejudicá-las. Em caso de conflito com os princípios de privacidade, a funcionalidade deverá ser remodelada; • Segurança ponta a ponta: a privacidade deve ser protegida através de todo o ciclo de vida dos dados em questão. A segurança deve estar desde o planejamento até a execução, implementação e manutenção do projeto; • Visibilidade e transparência: a coleta, processamento e armazenamento de dados devem ser documentados de forma transparente, incluindo informações sobre a responsabilidade dos dados em caso de algum vazamento; • Respeito pela privacidade do usuário: a decisão e a proteção dos dados do titular devem ser respeitadas, havendo consentimento para uso desses dados, com informações corretas e atualizadas conforme a necessidade. Por isso, o titular deve sempre ter acesso aos seus dados.
Mesmo que a LGPD não tenha adotado expressamente os princípios de Privacy by Design e Privacy by Deafult, os conceitos são similares ao descrever medidas de proteção dos dados em empresas, assim como a necessidade de documentar a forma com que esses dados são tratados.
Privacy by Defaut
O Privacy by Default, em português Privacidade por Padrão, garante que todos os produtos ou serviços venham com formatos de privacidade em um modo mais restrito, visando melhorar a proteção dos dados sem a necessidade de o usuário efetuar uma configuração manual.
A única alteração de dados possível é em caso de o titular permitir acesso à colheita de mais informações, caso contrário, a configuração padrão é de completa proteção à privacidade.
E como isso será aplicado na Fiotec?
Mais do que o mero cumprimento de obrigações legais sujeitas a sancionamento, o cuidado com a privacidade do titular do dado tem impacto decisivo no dia a dia e na imagem da Fiotec, agregando valor num cenário cada vez mais preocupado com a ética, a transparência e o respeito aos direitos fundamentais do cliente e parceiros.
Segundo Luanara Damasceno, gerente de Governança e Qualidade, a efetividade e a eficiência da privacidade dependem do compromisso de todos os colaboradores da instituição quanto a necessidade de pensar nesse quesito durante todo o ciclo de vida do serviço, desde sua concepção até a entrega.
Como exemplo de ação, Luanara cita o convite feito pela Assessoria de Comunicação à Equipe de Privacidade para discutir sobre a contratação de uma consultoria de Comunicação, que dará apoio à área. “Esse olhar questionador sobre como as questões relativas à privacidade podem ou não estar inseridas em determinada ação desde início é de grande importância para a cultura da privacidade e para mitigar riscos”, afirma.
De acordo com Marcelo Romano, que é consultor na Fiotec, representando a 5s Consultoria, quanto mais madura a cultura, mais ações seguirão o caminho do respeito à privacidade e da proteção adequada dos dados pessoais. “De nada adianta tratarmos da mudança fria da tecnologia ou dos processos
organizacionais e de negócio se as pessoas não estiverem devidamente conscientizadas da importância do respeito à privacidade, da proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, que é o que trata a nossa Lei Geral de Proteção de Dados (LGPD)”, explicou.
Luanara também enumera alguns tópicos importantes, que ressaltam a importância da aplicação das técnicas:
• Está contido no Programa de Privacidade que tem envolvimento e o patrocínio da nossa Diretoria com vistas a promover também a participação de toda comunidade Fiotec; • Favorece a construção de uma cultura forte de proteção de dados e privacidade em todos os níveis da Fiotec, utilizando meios de engajamento dos colaboradores; • Auxilia no mapeamento das obrigações legais gerais e setoriais que envolvam proteção de dados, monitorando o compliance de forma sistemática e com a criação de indicadores para acompanhamento; • Ajuda para que a análise de risco à privacidade seja realizada na fase inicial de desenvolvimento de novas ações, projetos internos e serviços, visando a sugestão de melhorias e medidas de mitigação dos riscos antes que as atividades de tratamento de dados se materializem; • Cria mecanismos para que a equipe de privacidade estabeleça parcerias sempre que existam ações que envolvam dados pessoais, favorecendo assim uma análise prévia e um planejamento mais efetivo para a proteção dos dados pessoais.
Portanto, a importância está na visão macro de que a privacidade e a proteção de dados devem ser implementadas em uma perspectiva de mudança de cultura na instituição, implementando os processos e considerando a participação de diferentes áreas que tratam de dados pessoais, e não somente em processos isolados.
