Privacy by Design: Uma resposta inteligente para a alucinante jornada de proteção de dados pessoais e adequando à LGPD

Mesmo as leis bem ordenadas são impotentes diante dos costumes“ — Nicolau Maquiavel 1469 – 1527.

As montadoras hoje não entregam um carro sem sistema de freios, espelhos retrovisores, ABS, airbags frontais, materiais internos não inflamáveis, dentre outros. Muitos destes não eram itens de série nos veículos há 40 anos ou não tinham seu uso aplicado em massa. Dentro do contexto da época, muitos destes itens eram considerados dispensáveis, na perspectiva do fabricante e dos proprietários. As estatísticas do trânsito demostram hoje o quão importante são.

economia de dados e toda a revolução que ela provocou nos últimos 10 anos segue um caminho similar. E essa travessia vem enlouquecendo todo o mercado – de grandes players de tecnologia a startups –  pois escancara os gapsque existem hoje em seus produtos (ou em sua implementação), do ponto de vista de segurança da informação e privacidade de dados.

GDPR e LGPD são movimentos naturais que surgiram para direcionar e trazer o equilíbrio necessário entre inovação e proteção de dados. A necessidade destas leis é inquestionável. Porém, não há lei que traga sozinha resultados efetivos caso não haja disrupção na forma de como o desenvolvimento de produtos e soluções hoje tratam o tema de cybersecurity e privacidade de dados pessoais. Vale a provocação aqui de que uma plataforma ou um app, por mais cool and inspiring que seja, não sobrevive ileso a um vazamento de dados ou abuso na utilização destes. Privacidade pode não ser relevante no MVP de uma startup, porém, será essencial com a ampliação da base de clientes.

Privacy by Design é uma abordagem elaborada na década de 1990 por Ann Cavoukian, na época responsável pelo Gabinete de Informação e Privacidade do estado de Ontário/Canadá. A GDPR dedica o capítulo 25 inteiro ao tema de Privacy by Design. Curiosamente, este é um dos capítulos mais generosos da GDPR no sentido de prover direcionamento e recomendações ao mercado.

Menção feita pela autoridade de proteção de dados da Europa (ICO – Information Commissioner’s Office) sobre Privacy by Design: “Em essência, isso significa que você precisa integrar a proteção de dados em suas atividades de processamento e práticas de negócios, desde a concepção e por todo o ciclo de vida dos dados. Privacy by Design envolve considerar antecipadamente proteção de dados e privacidade em tudo que você faz. Contribuirá para a conformidade com os princípios e requisitos fundamentais do GDPR e demonstra comprometimento efetivo com o tema.”

Independentemente do método que a sua tribo utilize – agilescrum, kanban, squads, cascade, extreme go horse (!!) – o desenvolvimento de um produto ou serviço deve cuidar de questões relevantes no contexto de privacidade. Exemplos:

  1. Natureza dos dados que serão coletados ou tratados (cadastrais, transacionais, sensíveis, dados de navegação e rastreamento);
  2. O consentimento do cliente para o uso dos seus dados;
  3. A transparência com o cliente sobre como os dados serão tratados e com quem serão compartilhados;
  4. Personalização de campanhas de marketing e ofertas de produtos –  cuidados na seleção de público utilizando critérios ou algoritmos enviesados;
  5. Controle de acesso aos dados;
  6. Tracking do uso das informações (logs para monitoramento);
  7. Proteção contra vazamento ou divulgação indevida.

Product ownersscrum mastersUX designers, gestores ou especialistas de negócio, arquitetos de dados, estatísticos, desenvolvedores, testadores, times de devops e equipes do ongoing – todos estes possuem papel específico na implementação de segurança e privacidade.

Privacy by Design baseia-se em 7 princípios:

  1. Preventivo não reativo – a concepção, desenho e implementação são conduzidas contemplando requisitos para evitar incidentes de privacidade dados;
  2. Privacidade como configuração padrão – o produto é entregue tendo suas configurações iniciais setadas com a adequada privacidade;
  3. Privacidade embutida no design da solução – privacidade incorporada a modelos de negócio e arquitetura de sistemas, aplicações e bancos de dados;
  4. Full Funcionallity (no zero sum) – abordagem win win – os requisitos de negócio igualmente balanceados com os requisitos de proteção dos dados;
  5. End-to-End Security – medidas de segurança e privacidade são aplicadas em todo o ciclo de vida dos dados – da coleta, armazenamento, tratamento, processamento, uso e descarte;
  6. Visibilidade e Transparência – cliente com visão clara de como o produto trata os seus dados pessoais. Uma política de privacidade de dados bem elaborada pode salvar uma empresa. Com isso, evitamos uma abordagem “Privacy Zuckering”, uma referência aos escândalos recentes de mau uso de dados;
  7. Respeito pelo cliente – abordagem user-centric. Aqui está a alma do conceito de proteção dos dados pessoais dos cidadãos. A avaliação da user experience definitivamente passa pelo conforto que o cliente tem de que o produto zela pelos seus dados.

Privacy by Design confere um tom concreto e prático à jornada de implementação de compliance com a GDPR e LGPD. Provém um enfrentamento efetivo a impactos em processos de negócio, arquitetura de sistemas, banco de dados, nas práticas internas de segurança da informação e na forma como a empresa se relaciona com os seus clientes e parceiros.

E assim o baile seguirá nos deleitando com a deliciosa e instigante dança entre inovação e privacidade de dados, em harmonia.

Fonte: Digitalks

Segurança da informação e a reviravolta da LGPD

Nos últimos meses os termos GDPR e LGPD ficaram sob os holofotes. Isto porque são regulamentações que impactam negócios e consumidores. Ou seja, a sociedade como um todo está sob suas diretrizes.

O GDPR, lei de proteção de dados da União Europeia, entrou em vigor em maio de 2018 e serviu de base para inúmeras outras regulações em todo o mundo. Inclusive para a Lei Geral de Proteção de Dados (LGDP) brasileira, a qual adiciona características locais.

Aprovada em agosto do último ano, a LGDP é um avanço. Entretanto, ao se tratar de Brasil e segurança da informação, deve-se ter em mente que apenas a adoção de soluções de ponta não garante a adequação à lei, bem como a proteção das ameaças.

Sendo assim, com a Lei Geral de Proteção de Dados brasileira, todas as empresas de pequeno, médio e grande porte terão que investir em cibersegurança e implementar sistemas de compliance efetivos para prevenir, detectar e remediar violações de dados pessoais, já que a lei prevê que a adoção de política de boas práticas será considerada como critério atenuante das penas, que podem chegar a 50 milhões de reais.

De acordo com o advogado Renato Opice Blum, considerado uma das sumidades em Direito Digital, Proteção de Dados e Educação Digital no Brasil, “o consentimento do uso de dados deve ocorrer de forma livre, informada e inequívoca do indivíduo, expressando sua concordância com o tratamento de suas informações pessoais para uma finalidade determinada”.

“Tudo que for mais adequado para se proteger do ponto de vista técnico e contratual será levado em conta em uma situação de vazamento de dados”, elucida Opice Blum. Isto significa que mesmo fazendo tudo que estava ao seu alcance, houve o vazamento.

Já a utilização do processo de anonimização, técnica que afasta a possibilidade de associação ao indivíduo sem possibilidade de reversão, é uma alternativa prevista na LGPD. Esta pode ser utilizada para dispensar o consentimento do titular dos dados pessoais objeto de tratamento – neste caso, o indivíduo não tem um rosto, o que torna mais fácil proteger sua identidade.

Profissionais e Autoridade Nacional de Proteção de Dados

Dentro dessa nova realidade, caberá as empresas também nomear seu Encarregado de Proteção de Dados (DPO – Data Protection Officer), que terá como principal atividade o monitoramento e disseminação das boas práticas em relação à proteção de dados pessoais perante funcionários e contratados no âmbito da empresa, assim como será a interface com a Autoridade Nacional de Proteção de Dados (ANPD), criada em dezembro/2018.

A ANPD é constituída como órgão da administração pública federal integrante da Presidência da República. Dentre suas principais atribuições, destacam-se o estabelecimento de padrões técnicos, a avaliação de cláusulas e jurisdições estrangeiras no que tange a proteção de dados, a determinação para a elaboração de Relatórios de Impacto, a fiscalização e aplicação de sanções, atividades de difusão e educação sobre a lei, e demais atribuições que visam a correta aplicação da lei e os princípios da proteção de dados pessoais como um todo.

Por ter sido anunciada quatro meses após a LGDP, houve adiamento da data de vigência da regulamentação. De um lado é positivo, pois as empresas terão um prazo maior para traçar e implementar um programa eficaz de segurança cibernética.

*Waldo Gomes é diretor de marketing e relacionamento da NetSafe Corp

 

Fonte: ComputerWorld

REGULAÇÃO: COMO A GDPR INFLUENCIARÁ O TRATAMENTO DE DADOS NO BRASIL?

No Brasil, com a aprovação do PL 4060/2012 pela Câmara,  a discussão avança rumo ao Senado e traz muitos conceitos parecidos com os da nova regulação europeia, a GDPR

 

A Regulação Geral de Proteção de Dados (traduzida do inglês GDPR), em vigor desde o dia 25 de maio, afeta os processos de tratamento de dados de cidadãos europeus. Mas quais são, de verdade, as consequências que isso traz para o mercado digital do Brasil?

Tanto as empresas subsidiárias, quanto as brasileiras que tratam regularmente ou esporadicamente dados europeus, já estão obedecendo as claras diretrizes sobre coleta, tratamento e armazenamento de “dados pessoais” –  tudo o que pode identificar um usuário. Mas, localmente, o debate avança e deve resultar em uma regulação de dados própria ao país.

No Brasil, são mais de 40 normas vigentes relacionadas ao assunto e nenhuma lei específica para os dados – o Marco Civil da Internet, sancionado em 2014, teve avanços tímidos nesse sentido, mas ainda existem muitos processos a serem regulados. Entretanto, com o PL 4060/2012, aprovado pela Câmara no dia 29 de maio desse ano, a discussão avança rumo ao Senado e traz muitos conceitos parecidos com os da nova regulação europeia.

Uma legislação em verde e amarelo

Segundo o PL, dados pessoais de qualquer cidadão em território brasileiro ainda recebem mais duas classificações: sensíveis (que revelam aspectos como etnia, religião e saúde), e anonimizados (com informações genéricas). Dentre as condições para que sejam tratados, destacam-se o consentimento do titular e o “interesse legítimo”, que contempla as finalidades comerciais e de marketing dirigido, como feito pela GDPR. O projeto também exige o contato das empresas com o dono do dado em situações como demandas do governo, necessidade de comunicação/compartilhamento ou pré-requisito para o oferecimento de um produto ou serviço, bem como a instituição de uma Autoridade Nacional de Proteção de Dados.

Mesmo sendo um projeto maduro, nada é garantido. Após as aprovações do Senado e a sanção do Executivo, a regulação só pode entrar em vigor após um ano e meio.

Regulações locais, incertezas globais

A GDPR ainda gera muitas dúvidas. Segundo dados do site eMarketer, o tema recebeu 177 menções entre janeiro e março nas apresentações dos balanços de empresas em todo o mundo. Entretanto, os executivos se mostram otimistas: segundo pesquisa da IBV, feita esse ano, 60% deles acredita que a GDPR é uma oportunidade para desenvolver novos e melhores modelos de negócio.

Para Céline Craipeau, Solutions and Privacy Specialist da Tradelab na França, um dos desafios para a publicidade digital, principalmente para a especialidade da empresa, mídia programática, será desenvolver um conhecimento mais aprofundado sobre os diferentes tipos de dados. “Informações como coordenadas do GPS, coletadas por alguns aplicativos, podem ser consideradas mais pessoais pelo consumidor do que suas intenções de compra, mas essa é uma problemática que deverá ser explorada junto aos cidadãos, já que cabe a eles o consentimento do uso de seus dados. O que as empresas atingidas pela regulação e pertencentes ao segmento não podem fazer é, justamente, subestimar o assunto e não providenciar as pessoas e os investimentos devidos para a atender às novas regras – afinal, estão em jogo o respeito com o consumidor, a imagem da marca e sanções pesadas, de até 4% do faturamento global (ou 20 milhões de euros) para quem não agir em conformidade com a lei”, analisa a especialista.

No Brasil, as empresas também precisam estar atentas e atuantes, pois toda regulação representa uma quebra e também uma oportunidade. É o que explica Essio Floridi, Managing Director da Tradelab no país: “É importante ver essa e todas as mudanças que estão ocorrendo com as regulações locais e internacionais como uma nova maneira de fazer o marketing digital e principalmente a programática (que trabalha essencialmente com os dados), de forma a priorizar os players sérios e certificados para o tratamento de informações”. Para ele, acompanhar de perto as transformações, analisá-las e saber o que os players têm feito é fundamental. “É por isso que eventos como o Expo Fórum Digitalks somam tanto às estratégias de gestão – e nós estaremos lá para ajudar a enriquecer a discussão sobre essas mudanças de regulação que serão tão significativas”, completa.

Confira abaixo o infográfico que mostra o funcionamento da GDPR:

A Zeeng – Data Driven Platform,  a primeira Plataforma de Big Data Analytics voltada para as áreas de Marketing e Comunicação do mercado brasileiro, garante a segurança, transparência na coleta de dados e tranquilidade para seus usuários.

Fonte: digitalks