Como implementar na prática o Privacy by default em 4 etapas

Garantir que a privacidade dos usuários em aplicativos e serviços seja a configuração padrão é a proposta do conceito Privacy by default. Criado na década de 90, ele é um dos princípios de uma metodologia mais ampla: o Privacy by design. Esta técnica prevê que todas as etapas do desenvolvimento de sistemas, produtos ou serviços coloquem a privacidade do usuário em primeiro lugar.

O tema ganha cada vez mais espaço nas discussões de regulamentação e segurança de dados. Principalmente com a implementação da Lei Geral de Proteção de Dados (LGPD), que entra em vigor em agosto de 2020 e tem como proposta garantir a proteção e a transparência no uso dos dados de pessoas físicas.

Quer entender melhor o conceito Privacy by default e como implementá-lo? Neste post explicamos o que é essa metodologia e como aplicá-la em 4 etapas.

O que é Privacy by design?

Antes de entender melhor o que é o Privacy by default, precisamos conhecer de onde veio esse conceito. Ele é um dos princípios da metodologia Privacy by design, criada na década de 1990, no Canadá, pela especialista em privacidade de dados, Dra. Ann Cavoukian. 

Apesar de ser relativamente antiga, a discussão começou a ter destaque a partir de 2010, ano em que a metodologia foi aceita internacionalmente na 32ª Conferência Internacional dos Comissários para a Proteção de Dados e Privacidade.

De acordo com esse conceito, a privacidade do usuário deve estar em primeiro lugar e precisa ser levada em conta desde o momento da concepção do produto, software ou serviço. Dessa forma, a busca por garantir a privacidade deve guiar o desenvolvimento de todas as outras funcionalidades.

A metodologia da Dra. Ann Cavoukian prevê 7 princípios fundamentais:

• Ser proativo e preventivo: o desenvolvimento do produto ou serviço deve prever possíveis riscos à privacidade e à segurança de dados e buscar prevenir essas situações de ameaça antes que elas aconteçam.

• Privacidade desde o design: de acordo com esse conceito a privacidade não pode ser vista como algo complementar. Ela deve guiar todo o desenvolvimento do produto ou serviço e ser uma preocupação desde o momento inicial do desenvolvimento.

• Funcionalidade total: garantir a privacidade do usuário não pode significar perder outras funcionalidades do produto ou serviço. A segurança de dados deve somar funcionalidades ao projeto e não retirar.

• Segurança do início ao fim: a preocupação pela segurança da informação e pela privacidade deve estar durante todo o ciclo de vida do produto, serviço ou software. Ou seja, no planejamento, execução, implementação e manutenção do produto. Além disso, é essencial garantir a privacidade desde a coleta até a destruição desses dados.

• Visibilidade e transparência: o tratamento das informações deve ser feito de maneira segura e ética, garantindo a transparência de todo o processo. Dessa maneira, a empresa mostra as ações que está realizando e não deixa dúvidas com relação à privacidade.

• Usuário em primeiro lugar: de acordo com a metodologia Privacy by design, é essencial garantir e respeitar os interesses do usuário com relação ao tratamento dos seus dados. Para isso, é essencial proporcionar a ele informações claras com relação ao uso dos dados e garantir que o seu consentimento seja respeitado.

• Privacidade por padrão: por último, é necessário que a privacidade seja o padrão de qualquer produto, serviço ou software. Este é conceito é chamado de Privacy by default e é o que vamos ver mais profundamente a seguir.

• Leia também: Conheça 5 principais características de Compliance

O que é Privacy by default?

O conceito Privacy by default estabelece que, para garantir o nível máximo de confidencialidade para o usuário, a privacidade deve ser o padrão no desenvolvimento de produtos ou serviços. Isso significa que o usuário não precisar tomar nenhuma decisão ativamente para garantir a sua privacidade. Por exemplo, modificar alguma configuração ou ativar alguma preferência.

A garantia da privacidade dos dados já deve vir pré-estabelecida e o usuário deve proativamente permitir o acesso e o compartilhamento dos seus dados, se desejar. Para isso, a empresa deve se preocupar em garantir um design transparente e amigável. Dessa forma, o usuário terá clareza sobre o uso dos dados e sobre o que está autorizando ou não com relação às suas informações.

Outro ponto importante do conceito Privacy by default é garantir que o uso e o tratamento de dados sejam minimizados ao máximo. Somente as informações de fato necessárias para a proposta do produto, serviço ou software devem ser recolhidas, utilizadas, armazenadas e difundidas. Por exemplo, um site de notícias não deve requisitar acesso à lista de contatos de um visitante, já que isso está relacionado à proposta do serviço e não traz benefícios à navegação.

• Veja ainda: O que é segurança da informação nas empresas: por que ela é fundamental para o seu negócio?

Como implementar o Privacy by default em 4 etapas

1) Proteção de dados como prioridade da empresa

Para levar a teoria do Privacy by default à prática, o primeiro passo é garantir que a segurança das informações dos usuários sejam prioridade dentro da empresa. Para isso, é necessário incentivar a uma cultura organizacional que coloque em primeiro lugar a privacidade. 

Como fazer isso na prática? Estabeleça programas sólidos de gestão e proteção de dados e defina políticas e diretrizes claras que estabeleçam condutas a serem seguidas pelos gestores e pelos colaboradores. 

2) Capacitação e treinamento

Para que todos na empresa entendam a importância da segurança de dados e da privacidade das informações dos usuários, é essencial que tanto colaboradores como gestores sejam capacitados. 

É necessário que todos estejam informados sobre os requisitos necessários para garantir a privacidade de dados em um produto ou serviço e as metodologias e rotinas que devem ser seguidas.

3) Desenvolvimento e lançamento 

O desenvolvimento do produto precisa levar em conta os princípios de Privacy by design e Privacy by default. Ou seja, é preciso garantir que a privacidade seja uma preocupação central desde o primeiro momento da produção do produto. 

Para isso, é importante minimizar a quantidade de informações coletadas e processadas ao estritamente necessário e previsto dentro da lei. Também é importante garantir que esses dados sejam armazenados de forma transparente e segura. 

Quando o produto já está pronto, é necessário realizar testes para checar se todos os requisitos previamente definidos foram implementados. Essa fase de testes também é importante para tentar prever possíveis vulnerabilidades e ameaças e solucioná-las antes do lançamento do produto. 

4) Monitoramento contínuo

Depois que as etapas anteriores foram realizadas e o produto já estiver no mercado, é preciso garantir que ele siga funcionando de acordo com os princípios do Privacy by default. 

Para isso, realize testes regularmente, preveja falhas e tenha um plano com respostas a possíveis incidentes e vazamentos de dados.

O monitoramento também é importante para que a empresa esteja atenta à necessidade de realizar melhorias constantes no produto ou serviço. Também é importante manter canais de atendimento para receber e lidar com situações que possam surgir e para informar de maneira clara e eficiente os usuários.

Unico Check: Segurança de dados como prioridade

A segurança de dados é um pilar essencial da Unico. O Unico Check, por exemplo, que é a tecnologia de reconhecimento facial para autenticação e validação de identidades da Unico, segue os princípios do conceito Privacy by default. O objetivo é garantir que a privacidade do usuário seja o padrão e o elemento essencial em todo o ciclo de vida do produto.

Coleta, transmissão, processamento, classificação, cópia, armazenamento e descarte, todos esses procedimentos possuem controles que garantem a confidencialidade dos dados. Para isso, a empresa adota técnicas que propiciam, entre outros:

• a criptografia e a transmissão segura dos dados
• os controles de acesso
• a segurança em redes e a segurança física
• os controles de combate a códigos maliciosos, como vírus e malwares
• o tratamento de vulnerabilidades
• as boas práticas para o desenvolvimento seguro de sistemas
• os registros dos processos para auditorias

Tudo com o objetivo de detectar e prevenir de maneira rápida e proativa qualquer ameaça ao sigilo dos dados dos usuários. Quer saber mais? Acesse o site do Unico Check e fale com nossos especialistas.