• Aplicativos
  • Bancos
  • E-commerce
  • Financeira
  • Fintech
  • Fraudes
  • Segurança da Informação
  • Varejo

O que é a metodologia Privacy by Design e 5 passos para aplicá-la na sua empresa

Avatar
rafaella.melani
  • 9 de março de 2020
  • 8 min de leitura

Criada na década de 90, no Canadá, a metodologia Privacy by Design vem ganhando cada vez mais espaço nas discussões sobre regulamentações e segurança de dados. A técnica prevê que todas as etapas do desenvolvimento de sistemas, produtos ou serviços coloquem a privacidade do usuário e a proteção de dados pessoais em primeiro lugar.

O tema se torna ainda mais essencial com a chegada da Lei Geral de Proteção de Dados (LGPD), que entra em vigor em agosto de 2020 com a proposta de garantir a proteção e a transparência no uso dos dados de pessoas físicas.

Que a segurança da informação é um tema essencial atualmente, você já sabe. Mas como garantir a proteção do seu banco de dados e a privacidade dos seus clientes na prática? Neste texto, explicamos o que é a metodologia Privacy by Design, quais são seus princípios fundamentais e como aplicá-la na sua empresa!

Afinal, o que é a metodologia Privacy By Design?

O Privacy by Design Framework (PbD), criado pela especialista em privacidade de dados, Dra. Ann Cavoukian, começou a ter destaque mundialmente a partir de 2010. Nesse ano a metodologia foi aceita internacionalmente na 32ª Conferência Internacional dos Comissários para a Proteção de Dados e Privacidade

O objetivo da metodologia Privacy by Design é que a privacidade dos dados dos usuários seja levada em consideração desde o momento de concepção de um software, produto ou serviço. Ou seja, de acordo com o PbD, a questão da privacidade deve guiar o desenvolvimento de todas as outras funcionalidades.

A ideia é que a segurança dos dados seja um eixo central, e não apenas um complemento. Dessa forma, ao adotar a metodologia Privacy by Design, a equipe de tecnologia da informação precisa estabelecer a privacidade como a configuração padrão para os futuros usuários. 

Para guiar a implementação da metodologia, Ann Cavoukian definiu sete princípios fundamentais de Privacy by Design. Confira quais são eles:

1. Proativo, não reativo; preventivo, não corretivo

O objetivo da metodologia Privacy by Design é antecipar e prevenir situações de invasão de privacidade. Dessa forma, qualquer sistema, produto ou serviço que utilize dados pessoais deve ser concebido já prevendo os possíveis riscos e adotando medidas que impeçam ou minimizem situações de ameaça. 

Então, nada de esperar que um problema apareça para remediá-lo! A ideia é agir antes que as ameaças cheguem a se concretizar. Para isso, é necessário:

  • O comprometimento por parte da alta direção da empresa em estabelecer e reforçar padrões elevados de privacidade. Normalmente isso significa ir além dos padrões determinados por regulamentações e leis;
  • O desenvolvimento de uma cultura organizacional de compromisso com a privacidade e aprimoramento contínuo, que envolva toda a comunidade de usuários e acionistas;
  • A definição de responsabilidades concretas, de maneira que cada membro da organização saiba claramente qual é seu papel para garantir a segurança de dados;
  • O estabelecimento de métodos para reconhecer designs insatisfatórios quanto à privacidade, antecipar práticas e processos que sejam insuficientes e corrigir qualquer impacto negativo antes que se concretizem.

2. Privacidade por padrão

Para garantir o nível máximo de privacidade ao usuário, o método Privacy by Design estabelece que a privacidade deve ser o padrão. De acordo com esse princípio, o usuário não precisa fazer nada para preservar sua privacidade. Na verdade, é o oposto: o usuário deve proativamente permitir o acesso e o compartilhamento dos seus dados. 

De maneira prática, isso significa que a empresa deve estabelecer um design que seja claro e amigável ao usuário e que traga informações transparentes sobre o uso das suas informações. Além disso, é importante minimizar a presença de dados em todas as etapas do tratamento: recolhimento, uso, conservação e difusão.

3. Privacidade incorporada ao design

A proteção à privacidade não pode ser algo adicional ou complementar, mas sim deve fazer parte de maneira integral de toda a estrutura do produto ou serviço. A metodologia Privacy by Design deve ser incorporada a partir da concepção e da arquitetura de sistemas, práticas de negócios e qualquer produto e serviço desenhados pela empresa. 

É importante que a privacidade do usuário seja levada em conta de maneira:

  • Holística, já que contextos adicionais e mais amplos devem sempre ser considerados;
  • Integrada, porque todas as partes interessadas precisam ser consultadas;
  • Criativa, pois incorporar privacidade pode significar reinventar as escolhas atuais quando as alternativas não forem aceitáveis.

4. Total funcionalidade

Garantir a privacidade em um produto ou serviço para muitos significa perder outras funcionalidades. A metodologia Privacy by Design não vê dessa forma. Um dos seus princípios fundamentais é justamente que a implementação da segurança de dados deve somar funcionalidades ao projeto, e não prejudicar.

A perspectiva da metodologia aponta que é possível — e desejável — que a privacidade e outras funcionalidades e objetivos legítimos da empresa coexistam. As funcionalidades que apresentem conflitos com o princípio de privacidade devem ser modeladas de forma criativa para que possam funcionar juntos.

5. Segurança ponta-a-ponta

A segurança de dados deve ser contemplada desde o planejamento até a execução, implementação e manutenção do projeto, com a adoção de medidas eficazes e consistentes. Sem segurança não é possível ter privacidade. 

Além disso, a preocupação com as informações dos usuários deve ser contínua, durante todo o ciclo de vida dos dados em questão. É importante garantir a confidencialidade e a integridade das informações desde a coleta até a destruição desses dados no fim do processo.

6. Visibilidade e transparência

Uma das chaves para garantir a privacidade é poder demonstrá-la, comprovando que o tratamento das informações é feito de maneira segura e ética. Por isso, a transparência é um pilar fundamental para demonstrar a responsabilidade da empresa.

Dessa forma, coleta, processamento e armazenamento de dados devem ser documentados de maneira totalmente transparente, incluindo informações sobre a responsabilidade dos dados em caso de algum vazamento ou invasão.

7. Respeito pela privacidade do usuário

A preocupação máxima da empresa, segundo a metodologia Privacy by Design, deve ser garantir e respeitar os interesses dos usuários com relação ao tratamento de seus dados. Isso é feito por meio de medidas de segurança sólidas, disponibilidade de informações e opções amigáveis ao usuário que empoderem o cliente. 

O respeito à privacidade do usuário é embasado por quatro FIPs (sigla em inglês para Padrão Federal de Processamento de Informações), que são medidas de boas práticas para a gestão de informações no meio digital:

  • Consentimento: é imprescindível que o indivíduo dê seu consentimento, de livre e espontânea vontade, para a coleta, uso e divulgação de seus dados pessoais, exceto em casos permitidos pela lei. 
  • Acurácia: informações pessoais devem ter acurácia, serem completas e estarem atualizadas conforme necessário para cumprir seus propósitos específicos.
  • Acesso: os indivíduos precisam ter acesso a seus dados pessoais e serem informados do uso e divulgação dessas informações.
  • Compliance: as organizações devem estar em compliance com normas e legislações, além de estabelecer e compartilhar com o público mecanismos para reclamações e remediações relacionadas à privacidade.

Leia ainda: Roubo de identidade: o que é e como se prevenir desse problema 

5 passos para implementar o Privacy by Design

Agora que já conhecemos os princípios do Privacy by Design, vamos entender melhor como adotá-los. Para isso, listamos 5 atividades importantes na implementação da metodologia, que são recomendadas pela Autoridade Norueguesa de Proteção de Dados. 

A organização preparou um guia para ajudar as organizações a entenderem os princípios do Privacy by Design e a cumprirem suas exigências de acordo com a General Data Protection Regulation (GPDR), lei que regulamenta a proteção e o uso de dados na União Europeia.

Entretanto, é importante lembrar que essas são orientações gerais. As ações que a empresa deve tomar vão ser fortemente influenciadas pelo tipo de produto que oferece, pelo setor de atuação e pela cultura de segurança do negócio. Dessa forma, é importante avaliar quais processos e atividades devem ser priorizados.

Passo 1: Treinamento

O treinamento, tanto para colaboradores quanto gestores, é importante para garantir que todos entendam a importância da proteção e segurança de dados. Os colaboradores necessitam saber quais os requisitos necessários para garantir a privacidade de dados, quais pontos devem ser avaliados e como garantir a proteção de dados em um produto ou serviço.

Também é importante que a equipe esteja ciente de que metodologias e rotinas devem seguir. Para isso, a organização deve montar um plano de treinamentos, avaliando o que é relevante e o que deve ser priorizado. 

O guia elaborado pela Autoridade Norueguesa de Proteção de Dados traz um exemplo de checklist de quais atividades devem ser incluídas nos treinamentos para os seus funcionários.

Passo 2: Requisitos

Nesta etapa, sua empresa deve definir os requisitos de configuração para a proteção de dados e segurança da informação que o produto ou serviço ofertado devem seguir. Além desses requisitos é importante definir também os níveis de tolerância, os impactos da proteção de dados e os riscos de segurança existentes. 

Quando estes pontos são detectados com antecedência, a equipe de desenvolvimento já sabe que requisitos de configuração precisam ser estabelecidos, bem como mitigar as ameaças relacionadas à segurança de dados em todo o ciclo de vida do software, produto ou serviço. 

Para saber quais serão esses requisitos é importante ter em mente:

  • Quais categorias de dados pessoais são usadas;
  • Que informações podem ser obtidas sobre os indivíduos através deles;
  • Quem é o usuário e o dono das informações;
  • Quem será o controlador dos dados;
  • Quem processa ou armazena esses dados pessoais.

Com essas informações em mãos, sua empresa pode determinar quais leis, regras, diretrizes e códigos de conduta são aplicáveis e, assim, quais requisitos de configuração devem ser implementados.

Também é importante realizar uma análise de risco de segurança da informação para identificar quais dados estão vulneráveis e quais são as ameaças a que estão sujeitos. Assim, é possível prever os riscos e preveni-los antes que se concretizem.

Passo 3: Design

Neste passo, a empresa vai assegurar os requisitos de proteção de dados no design ou projeto do produto ou serviço. O design precisa incluir os requisitos identificados na etapa anterior, incluindo funcionalidades que possam garantir a segurança e a privacidade das informações dos usuários.

Para isso é importante os seguintes princípios:

  • Minimize e limite: a quantidade de informações pessoais coletadas e processadas precisa ser limitada àquelas que são legais e estritamente necessárias. 
  • Esconda e proteja: os dados pessoais não devem ser comunicados, processados ou armazenados diretamente à vista. Isso dificulta o acesso em caso de ataques e protege as informações.
  • Separe: ao separar o processamento ou o armazenamento de diversas fontes de dados pessoais que pertencem a um mesmo indivíduo, você diminui as possibilidades de que seja possível criar um perfil completo de um dos seus clientes. 
  • Seja transparente: o programa deve ser desenhado e configurado de forma que o cliente tenha informações suficientes sobre como o software funciona e sobre como seus dados pessoais são processados.
  • Controle: o usuário detentor dos dados tem o direito de controle sobre suas próprias informações pessoais. Isso inclui o direito de acessar, atualizar e/ou deletar esses dados. 

Passo 4: Testes

Depois que os passos anteriores forem implementados, é necessário realizar testes para checar se todos os requisitos previamente definidos foram implementados. Também é importante verificar se há vulnerabilidades e se as ameaças detectadas nas outras fases foram solucionadas. Isso pode ser feito através de testes como:

  • Teste de segurança: significa testar o produto de forma completa para descobrir vulnerabilidades e garantir que o código assegura a segurança e a proteção dos dados adequadamente. 
  • Testagem dinâmica: esse teste envolve analisar como o software se comporta em relação às diferentes permissões de usuário e em casos de falhas críticas de segurança. A testagem dinâmica garante que os usuários terão acesso somente às informações e funcionalidades para as quais eles têm autorização. 
  • Teste de fuzzing: esse tipo de teste induz o software intencionalmente ao erro. Isso pode ser feito através de ferramentas que enviam dados aleatórios, mal formados e/ou incorretos a todos os possíveis campos do programa.

O guia traz também um checklist que pode te ajudar na etapa de análise.

Passo 5: Manutenção

Depois que o software foi lançado, é necessário garantir que ele continue a seguir a metodologia Privacy by Design. Para isso é imprescindível estabelecer um plano para gerenciar incidentes que podem vir a ocorrer. 

A empresa deve estar preparada para lidar com violações de segurança e ataques que possam resultar em quebras na confidencialidade, na integridade ou na disponibilidade relacionada a dados pessoais.

Para isso, faça testes regulares, antecipe e preveja os possíveis problemas. Além disso, tenha uma central de atendimento preparada para lidar com as situações que possam surgir e para fornecer informações aos usuários sempre que necessário.

Agora que você já sabe mais sobre a metodologia Privacy by Design, conheça também o AcessoBio, a tecnologia de reconhecimento facial para autenticação e validação de identidades da Acesso Digital. Para a empresa, a segurança de dados é um pilar essencial e todos os produtos, entre eles o AcessoBio, colocam a privacidade do usuário como prioridade.

Todos os processos que envolvem informações pessoais na Acesso Digital possuem controles que garantem a confidencialidade e a privacidade do usuário. Isso significa que todos os procedimentos, como a coleta, transmissão, processamento, classificação, cópia, armazenamento e descarte de dados, adotam técnicas que buscam detectar e prevenir de maneira rápida e proativa qualquer ameaça ao sigilo dos usuários.

Artigos relacionados