Garantir que a privacidade dos usuários em aplicativos e serviços seja a configuração padrão é a proposta do conceito Privacy by default. Criado na década de 90, ele é um dos princípios de uma metodologia mais ampla: o Privacy by design. Esta técnica prevê que todas as etapas do desenvolvimento de sistemas, produtos ou serviços coloquem a privacidade do usuário em primeiro lugar.
O tema ganha cada vez mais espaço nas discussões de regulamentação e segurança de dados. Principalmente com a implementação da Lei Geral de Proteção de Dados (LGPD), que entra em vigor em agosto de 2020 e tem como proposta garantir a proteção e a transparência no uso dos dados de pessoas físicas.
Quer entender melhor o conceito Privacy by default e como implementá-lo? Neste post explicamos o que é essa metodologia e como aplicá-la em 4 etapas.
O que é Privacy by design?
Antes de entender melhor o que é o Privacy by default, precisamos conhecer de onde veio esse conceito. Ele é um dos princípios da metodologia Privacy by design, criada na década de 1990, no Canadá, pela especialista em privacidade de dados, Dra. Ann Cavoukian.
De acordo com esse conceito, a privacidade do usuário deve estar em primeiro lugar e precisa ser levada em conta desde o momento da concepção do produto, software ou serviço. Dessa forma, a busca por garantir a privacidade deve guiar o desenvolvimento de todas as outras funcionalidades.
A metodologia da Dra. Ann Cavoukian prevê 7 princípios fundamentais:
Ser proativo e preventivo: o desenvolvimento do produto ou serviço deve prever possíveis riscos à privacidade e à segurança de dados e buscar prevenir essas situações de ameaça antes que elas aconteçam.
Privacidade desde o design:de acordo com esse conceito a privacidade não pode ser vista como algo complementar. Ela deve guiar todo o desenvolvimento do produto ou serviço e ser uma preocupação desde o momento inicial do desenvolvimento.
Funcionalidade total: garantir a privacidade do usuário não pode significar perder outras funcionalidades do produto ou serviço. A segurança de dados deve somar funcionalidades ao projeto e não retirar.
Segurança do início ao fim: a preocupação pela segurança da informação e pela privacidade deve estar durante todo o ciclo de vida do produto, serviço ou software. Ou seja, no planejamento, execução, implementação e manutenção do produto. Além disso, é essencial garantir a privacidade desde a coleta até a destruição desses dados.
Visibilidade e transparência:o tratamento das informações deve ser feito de maneira segura e ética, garantindo a transparência de todo o processo. Dessa maneira, a empresa mostra as ações que está realizando e não deixa dúvidas com relação à privacidade.
Usuário em primeiro lugar: de acordo com a metodologia Privacy by design, é essencial garantir e respeitar os interesses do usuário com relação ao tratamento dos seus dados. Para isso, é essencial proporcionar a ele informações claras com relação ao uso dos dados e garantir que o seu consentimento seja respeitado.
Privacidade por padrão: por último, é necessário que a privacidade seja o padrão de qualquer produto, serviço ou software. Este é conceito é chamado de Privacy by default e é o que vamos ver mais profundamente a seguir.
O conceito Privacy by default estabelece que, para garantir o nível máximo de confidencialidade para o usuário, a privacidade deve ser o padrão no desenvolvimento de produtos ou serviços. Isso significa que o usuário não precisar tomar nenhuma decisão ativamente para garantir a sua privacidade. Por exemplo, modificar alguma configuração ou ativar alguma preferência.
A garantia da privacidade dos dados já deve vir pré-estabelecida e o usuário deve proativamente permitir o acesso e o compartilhamento dos seus dados, se desejar. Para isso, a empresa deve se preocupar em garantir um design transparente e amigável. Dessa forma, o usuário terá clareza sobre o uso dos dados e sobre o que está autorizando ou não com relação às suas informações.
Outro ponto importante do conceito Privacy by default é garantir que o uso e o tratamento de dados sejam minimizados ao máximo. Somente as informações de fato necessárias para a proposta do produto, serviço ou software devem ser recolhidas, utilizadas, armazenadas e difundidas. Por exemplo, um site de notícias não deve requisitar acesso à lista de contatos de um visitante, já que isso está relacionado à proposta do serviço e não traz benefícios à navegação.
Para levar a teoria do Privacy by default à prática, o primeiro passo é garantir que a segurança das informações dos usuários sejam prioridade dentro da empresa. Para isso, é necessário incentivar a uma cultura organizacional que coloque em primeiro lugar a privacidade.
Como fazer isso na prática? Estabeleça programas sólidos de gestão e proteção de dados e defina políticas e diretrizes claras que estabeleçam condutas a serem seguidas pelos gestores e pelos colaboradores.
2) Capacitação e treinamento
Para que todos na empresa entendam a importância da segurança de dados e da privacidade das informações dos usuários, é essencial que tanto colaboradores como gestores sejam capacitados.
É necessário que todos estejam informados sobre os requisitos necessários para garantir a privacidade de dados em um produto ou serviço e as metodologias e rotinas que devem ser seguidas.
3) Desenvolvimento e lançamento
O desenvolvimento do produto precisa levar em conta os princípios de Privacy by design e Privacy by default. Ou seja, é preciso garantir que a privacidade seja uma preocupação central desde o primeiro momento da produção do produto.
Para isso, é importante minimizar a quantidade de informações coletadas e processadas ao estritamente necessário e previsto dentro da lei. Também é importante garantir que esses dados sejam armazenados de forma transparente e segura.
Quando o produto já está pronto, é necessário realizar testes para checar se todos os requisitos previamente definidos foram implementados. Essa fase de testes também é importante para tentar prever possíveis vulnerabilidades e ameaças e solucioná-las antes do lançamento do produto.
4) Monitoramento contínuo
Depois que as etapas anteriores foram realizadas e o produto já estiver no mercado, é preciso garantir que ele siga funcionando de acordo com os princípios do Privacy by default.
Para isso, realize testes regularmente, preveja falhas e tenha um plano com respostas a possíveis incidentes e vazamentos de dados.
O monitoramento também é importante para que a empresa esteja atenta à necessidade de realizar melhorias constantes no produto ou serviço. Também é importante manter canais de atendimento para receber e lidar com situações que possam surgir e para informar de maneira clara e eficiente os usuários.
Unico Check: Segurança de dados como prioridade
A segurança de dados é um pilar essencial da Unico. O Unico Check, por exemplo, que é a tecnologia de reconhecimento facial para autenticação e validação de identidades da Unico, segue os princípios do conceito Privacy by default. O objetivo é garantir que a privacidade do usuário seja o padrão e o elemento essencial em todo o ciclo de vida do produto.
Coleta, transmissão, processamento, classificação, cópia, armazenamento e descarte, todos esses procedimentos possuem controles que garantem a confidencialidade dos dados. Para isso, a empresa adota técnicas que propiciam, entre outros:
a criptografia e a transmissão segura dos dados
os controles de acesso
a segurança em redes e a segurança física
os controles de combate a códigos maliciosos, como vírus e malwares
o tratamento de vulnerabilidades
as boas práticas para o desenvolvimento seguro de sistemas
os registros dos processos para auditorias
Tudo com o objetivo de detectar e prevenir de maneira rápida e proativa qualquer ameaça ao sigilo dos dados dos usuários. Quer saber mais? Acesse o site do Unico Check e fale com nossos especialistas.