Privacy by Design: Uma resposta inteligente para a alucinante jornada de proteção de dados pessoais e adequando à LGPD

Mesmo as leis bem ordenadas são impotentes diante dos costumes“ — Nicolau Maquiavel 1469 – 1527.

As montadoras hoje não entregam um carro sem sistema de freios, espelhos retrovisores, ABS, airbags frontais, materiais internos não inflamáveis, dentre outros. Muitos destes não eram itens de série nos veículos há 40 anos ou não tinham seu uso aplicado em massa. Dentro do contexto da época, muitos destes itens eram considerados dispensáveis, na perspectiva do fabricante e dos proprietários. As estatísticas do trânsito demostram hoje o quão importante são.

economia de dados e toda a revolução que ela provocou nos últimos 10 anos segue um caminho similar. E essa travessia vem enlouquecendo todo o mercado – de grandes players de tecnologia a startups –  pois escancara os gapsque existem hoje em seus produtos (ou em sua implementação), do ponto de vista de segurança da informação e privacidade de dados.

GDPR e LGPD são movimentos naturais que surgiram para direcionar e trazer o equilíbrio necessário entre inovação e proteção de dados. A necessidade destas leis é inquestionável. Porém, não há lei que traga sozinha resultados efetivos caso não haja disrupção na forma de como o desenvolvimento de produtos e soluções hoje tratam o tema de cybersecurity e privacidade de dados pessoais. Vale a provocação aqui de que uma plataforma ou um app, por mais cool and inspiring que seja, não sobrevive ileso a um vazamento de dados ou abuso na utilização destes. Privacidade pode não ser relevante no MVP de uma startup, porém, será essencial com a ampliação da base de clientes.

Privacy by Design é uma abordagem elaborada na década de 1990 por Ann Cavoukian, na época responsável pelo Gabinete de Informação e Privacidade do estado de Ontário/Canadá. A GDPR dedica o capítulo 25 inteiro ao tema de Privacy by Design. Curiosamente, este é um dos capítulos mais generosos da GDPR no sentido de prover direcionamento e recomendações ao mercado.

Menção feita pela autoridade de proteção de dados da Europa (ICO – Information Commissioner’s Office) sobre Privacy by Design: “Em essência, isso significa que você precisa integrar a proteção de dados em suas atividades de processamento e práticas de negócios, desde a concepção e por todo o ciclo de vida dos dados. Privacy by Design envolve considerar antecipadamente proteção de dados e privacidade em tudo que você faz. Contribuirá para a conformidade com os princípios e requisitos fundamentais do GDPR e demonstra comprometimento efetivo com o tema.”

Independentemente do método que a sua tribo utilize – agilescrum, kanban, squads, cascade, extreme go horse (!!) – o desenvolvimento de um produto ou serviço deve cuidar de questões relevantes no contexto de privacidade. Exemplos:

  1. Natureza dos dados que serão coletados ou tratados (cadastrais, transacionais, sensíveis, dados de navegação e rastreamento);
  2. O consentimento do cliente para o uso dos seus dados;
  3. A transparência com o cliente sobre como os dados serão tratados e com quem serão compartilhados;
  4. Personalização de campanhas de marketing e ofertas de produtos –  cuidados na seleção de público utilizando critérios ou algoritmos enviesados;
  5. Controle de acesso aos dados;
  6. Tracking do uso das informações (logs para monitoramento);
  7. Proteção contra vazamento ou divulgação indevida.

Product ownersscrum mastersUX designers, gestores ou especialistas de negócio, arquitetos de dados, estatísticos, desenvolvedores, testadores, times de devops e equipes do ongoing – todos estes possuem papel específico na implementação de segurança e privacidade.

Privacy by Design baseia-se em 7 princípios:

  1. Preventivo não reativo – a concepção, desenho e implementação são conduzidas contemplando requisitos para evitar incidentes de privacidade dados;
  2. Privacidade como configuração padrão – o produto é entregue tendo suas configurações iniciais setadas com a adequada privacidade;
  3. Privacidade embutida no design da solução – privacidade incorporada a modelos de negócio e arquitetura de sistemas, aplicações e bancos de dados;
  4. Full Funcionallity (no zero sum) – abordagem win win – os requisitos de negócio igualmente balanceados com os requisitos de proteção dos dados;
  5. End-to-End Security – medidas de segurança e privacidade são aplicadas em todo o ciclo de vida dos dados – da coleta, armazenamento, tratamento, processamento, uso e descarte;
  6. Visibilidade e Transparência – cliente com visão clara de como o produto trata os seus dados pessoais. Uma política de privacidade de dados bem elaborada pode salvar uma empresa. Com isso, evitamos uma abordagem “Privacy Zuckering”, uma referência aos escândalos recentes de mau uso de dados;
  7. Respeito pelo cliente – abordagem user-centric. Aqui está a alma do conceito de proteção dos dados pessoais dos cidadãos. A avaliação da user experience definitivamente passa pelo conforto que o cliente tem de que o produto zela pelos seus dados.

Privacy by Design confere um tom concreto e prático à jornada de implementação de compliance com a GDPR e LGPD. Provém um enfrentamento efetivo a impactos em processos de negócio, arquitetura de sistemas, banco de dados, nas práticas internas de segurança da informação e na forma como a empresa se relaciona com os seus clientes e parceiros.

E assim o baile seguirá nos deleitando com a deliciosa e instigante dança entre inovação e privacidade de dados, em harmonia.

Fonte: Digitalks

Como a Lei Geral de Proteção de Dados impacta na experiência do seu cliente?

Após longos debates com a sociedade civil, que levaram quase nove anos, a Lei Geral de Proteção de Dados, mais conhecida pela sigla LGPD, foi promulgada em agosto de 2018, cuja eficácia plena se dará em agosto de 2020. Baseada em sua “irmã mais velha”, a europeia GDPR – General Data Protection Regulation – vai de encontro a uma tendência já apontada pelo Gartner em 2017, na sua pesquisa anual Iconoculture Values and Lifestyle.
Esta pesquisa já apontava, na época, o que a privacidade, representada por fatores como segurança e serenidade, passava a prevalecer sobre a conveniência como preocupação ou experiência desejada por consumidores em todo o mundo. Este resultado, de certa maneira, surpreende os especialistas, já que, durante a última década, a tendência sempre foi acumular informações sobre o cliente para surpreende-lo com ofertas e serviços personalizados. Com isso, imaginaram eles, fidelizariam e encantariam seus clientes.
Na esteira deste pensamento, tecnologias emergentes vieram para facilitar e tornar viável não só a coleta e armazenamento destas informações, mas, principalmente, seu uso efetivo para atrair e reter clientes. Enquanto isso, as fontes de informação passaram daquelas disponíveis somente nas bases de dados das próprias empresas para a infinidade e abrangência das informações que transitam nas redes sociais e blogs. Big datamachine learning e, finalmente, a inteligência artificial passam a ser a ordem do dia para utilizar ao máximo toda essa informação e melhorar a experiência do cliente.
Neste fim de década, as empresas enfrentam agora um desafio: o cliente passa a exigir a privacidade no tratamento de suas informações. Não aceitam mais a troca delas por conveniência. Querem a garantia de que será cuidada e protegida. Mais do que isso, querem saber o que fazem com ela. O direito à privacidade e à segurança de suas informações é um tema quente. Não tenham dúvidas disso.
Uma frase que li outro dia na internet, “se você dá sua confiança a alguém que não a merece, estará concedendo-lhe, na verdade, o poder de destruí-lo” talvez mostre porque a questão da privacidade se tornou tão importante. Se você fornece suas informações a empresas ou instituições que não são capazes de protegê-las em troca de conveniência, benefícios de uma oferta boa, ou um produto interessante, estará correndo o risco de ter sua vida virada de ponta a cabeça. Seja em um mau uso, vazamento de dados ou outro incidente causado pelo desleixo ou falta de preocupação com o assunto. É isso que a pesquisa do Gartner parece ter concluído.
Assim, minha recomendação às empresas é que entendam a lei, não como um estorvo ou motivo para tirar dinheiro, mas como uma oportunidade de criar condições para proteger as informações de seus clientes, ganhar sua confiança e usufruir de todo o poder que ela trará em termos dos benefícios do seu uso consistente.
Ao confiar que seu potencial fornecedor protege suas informações, potenciais consumidores e clientes entregarão um poder a sua empresa para lhe vender cada vez mais. E este poder, acreditem, será um diferencial importante daqui para a frente. Entender o uso da LGPD como uma ferramenta para melhorar a experiência do seu cliente nestes aspectos pode ser uma boa ideia. Vale uma reflexão.
Fonte: Digitalks

Segurança da informação e a reviravolta da LGPD

Nos últimos meses os termos GDPR e LGPD ficaram sob os holofotes. Isto porque são regulamentações que impactam negócios e consumidores. Ou seja, a sociedade como um todo está sob suas diretrizes.

O GDPR, lei de proteção de dados da União Europeia, entrou em vigor em maio de 2018 e serviu de base para inúmeras outras regulações em todo o mundo. Inclusive para a Lei Geral de Proteção de Dados (LGDP) brasileira, a qual adiciona características locais.

Aprovada em agosto do último ano, a LGDP é um avanço. Entretanto, ao se tratar de Brasil e segurança da informação, deve-se ter em mente que apenas a adoção de soluções de ponta não garante a adequação à lei, bem como a proteção das ameaças.

Sendo assim, com a Lei Geral de Proteção de Dados brasileira, todas as empresas de pequeno, médio e grande porte terão que investir em cibersegurança e implementar sistemas de compliance efetivos para prevenir, detectar e remediar violações de dados pessoais, já que a lei prevê que a adoção de política de boas práticas será considerada como critério atenuante das penas, que podem chegar a 50 milhões de reais.

De acordo com o advogado Renato Opice Blum, considerado uma das sumidades em Direito Digital, Proteção de Dados e Educação Digital no Brasil, “o consentimento do uso de dados deve ocorrer de forma livre, informada e inequívoca do indivíduo, expressando sua concordância com o tratamento de suas informações pessoais para uma finalidade determinada”.

“Tudo que for mais adequado para se proteger do ponto de vista técnico e contratual será levado em conta em uma situação de vazamento de dados”, elucida Opice Blum. Isto significa que mesmo fazendo tudo que estava ao seu alcance, houve o vazamento.

Já a utilização do processo de anonimização, técnica que afasta a possibilidade de associação ao indivíduo sem possibilidade de reversão, é uma alternativa prevista na LGPD. Esta pode ser utilizada para dispensar o consentimento do titular dos dados pessoais objeto de tratamento – neste caso, o indivíduo não tem um rosto, o que torna mais fácil proteger sua identidade.

Profissionais e Autoridade Nacional de Proteção de Dados

Dentro dessa nova realidade, caberá as empresas também nomear seu Encarregado de Proteção de Dados (DPO – Data Protection Officer), que terá como principal atividade o monitoramento e disseminação das boas práticas em relação à proteção de dados pessoais perante funcionários e contratados no âmbito da empresa, assim como será a interface com a Autoridade Nacional de Proteção de Dados (ANPD), criada em dezembro/2018.

A ANPD é constituída como órgão da administração pública federal integrante da Presidência da República. Dentre suas principais atribuições, destacam-se o estabelecimento de padrões técnicos, a avaliação de cláusulas e jurisdições estrangeiras no que tange a proteção de dados, a determinação para a elaboração de Relatórios de Impacto, a fiscalização e aplicação de sanções, atividades de difusão e educação sobre a lei, e demais atribuições que visam a correta aplicação da lei e os princípios da proteção de dados pessoais como um todo.

Por ter sido anunciada quatro meses após a LGDP, houve adiamento da data de vigência da regulamentação. De um lado é positivo, pois as empresas terão um prazo maior para traçar e implementar um programa eficaz de segurança cibernética.

*Waldo Gomes é diretor de marketing e relacionamento da NetSafe Corp

 

Fonte: ComputerWorld