A importância do Programa de Privacidade

Olá, tudo bem? Aqui quem fala (ou melhor, escreve) é Fabio Nunes, sou Especialista de Gestão de Riscos e Compliance Sênior aqui na Hi! Hoje vou aprofundar sobre o programa de privacidade com a Privacy by Design na área de Tecnologia. Não sabe do que se trata? Eu te explico, vem comigo.

Por que contar com um Programa de Privacidade em Tecnologia?

Antes, vamos entender o conceito. Um “Privacy Program” ou “Programa de Privacidade” é, pela própria definição de “program”, “um conjunto de medidas ou atividades relacionadas com um objetivo específico de longo prazo”.

Ter um programa de privacidade estabelecido vai servir de guia para que a empresa estabeleça mecanismos e processos com foco na privacidade de dados dos Titulares de dados pessoais, ou seja, da pessoa natural que tem assegurada a sua titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade que são objeto de tratamento, conforme definido pela LGPD.

Dessa forma, a empresa pode disponibilizar de forma transparente para a sociedade a sua responsabilidade na proteção de dados, sua busca em estar em conformidade com leis e regulamentos de privacidade e proteção de dados, com a expectativa de gerar relacionamentos de alta confiança com clientes e parceiros de negócios.

Relação entre Privacy by Design e LGPD em Tecnologia

O Programa de Privacidade de Dados em empresas que atuam no Setor de Tecnologia deve apresentar em sua estrutura o conceito de Privacy by design ou Privacidade por definição. 

Mas antes é preciso voltar um pouco no tempo e recordar que, em agosto de 2018, foi criada a Lei Geral de Proteção de Dados Pessoais (LGPD), que trouxe vários desafios para as empresas que atuam no Setor de Tecnologia, isso porque a sua implantação depende da complexidade, riscos, maturidade dos processos e da governança de cada empresa.

A lei foi elaborada com base na General Data Protection Regulation (GDPR), em vigor na União Europeia desde maio de 2018, entretanto, no Brasil só iniciou a sua vigência em 18 de setembro de 2020. 

E um dos principais desafios para as empresas de tecnologia foi a obrigatoriedade e a necessidade  de adequação das soluções tecnológicas ao conceito de Privacidade por Design, haja visto que um dos princípios da LGPD é assegurar aos titulares a privacidade durante todo o ciclo de vida dos dados, ou seja, desde o momento da captura, tratamento e compartilhamento, até a exclusão das informações das bases de dados da empresa.

Assim, o Privacy by Design defende que todo projeto de elaboração de um produto ou serviço, seja no mundo virtual ou físico, deveria ter como base o respeito à privacidade das informações utilizadas, com ampla segurança de dados, desde o início do desenvolvimento do sistema, seja um sistema de informação, de um serviço, um produto de práticas comerciais ou mesmo de políticas públicas.

7 princípios do Privacy by Design

Esse conceito passa longe de ser uma novidade, apesar de muitos profissionais da área de tecnologia ainda o verem como algo recente. Privacy by Design foi uma metodologia desenvolvida pela Dra. Ann Cavoukian, ex -comissária de informações e privacidade da província canadense de Ontário, que expôs esse assunto há mais de 30 anos.

Em 2009, na 31ª Conferência Internacional de Comissários de Proteção de Dados e Privacidade, a Dra. apresentou seu conceito de “Privacy by Design: The Definitive Workshop”, onde explanou sobre 7 princípios:

1.Proativo não Reativo; Preventivo não corretivo

A abordagem Privacy by Design é caracterizada por medidas proativas em vez de reativas, pois ele antecipa e previne eventos invasivos de privacidade.

Não espera que os riscos se concretizem, nem oferece remédios para resolver as infrações depois de ocorridas – visa evitar que ocorram. Em suma, a privacidade por design vem antes do fato, não depois.

2. Privacidade como padrão (Privacy by Default)

Todos podemos ter certeza de uma coisa: as regras padrão! A O programa de privacidade Privacy by Design busca oferecer o máximo grau de privacidade, garantindo que os dados pessoais sejam protegidos automaticamente em qualquer sistema de TI ou prática de negócios. 

Se um indivíduo não faz nada, sua privacidade permanece intacta. Nenhuma ação é necessária por parte do indivíduo para proteger sua privacidade – ela é incorporada ao sistema, por padrão.

3. Privacidade incorporada ao design

A privacidade está incorporada no design e na arquitetura dos sistemas de TI e nas práticas de negócios. Não é aparafusado como um complemento, após o fato.

O resultado é que a privacidade se torna um componente essencial da funcionalidade principal que está sendo fornecida. A privacidade é parte integrante do sistema, sem diminuir a funcionalidade.

4.Funcionalidade completa – Soma Positiva, não Soma Zero

O Privacy by Design procura acomodar todos os interesses e objetivos legítimos de uma forma positiva ou duplamente “ganha-ganha”, não por meio de uma abordagem datada de soma zero, onde são feitas trocas desnecessárias. 

Evita a pretensão de falsas dicotomias, como privacidade x segurança, demonstrando que é possível ter ambas.

5. Proteção de ciclo de vida de ponta a ponta

A privacidade, tendo sido incorporada ao sistema antes do primeiro elemento de informação ser coletado, se estende por todo o ciclo de vida dos dados envolvidos, do início ao fim. 

Isso garante que, ao final do processo, todos os dados sejam destruídos com segurança e em tempo hábil. Assim, a Privacy by Design garante o gerenciamento do ciclo de vida das informações, do início ao fim, de ponta a ponta.

6. Visibilidade e Transparência

A Privacy by Design procura garantir a todos os interessados que, seja qual for a prática de negócios ou tecnologia envolvida, esteja de fato operando de acordo com as promessas e objetivos declarados, sujeito a verificação independente. 

Seus componentes e operações permanecem visíveis e transparentes, tanto para usuários quanto para fornecedores. Lembre-se, confie, mas verifique.

7. Respeito à privacidade do usuário

Acima de tudo, o Privacy by Design exige que arquitetos e operadores mantenham os interesses do indivíduo em primeiro lugar, oferecendo medidas como padrões de privacidade fortes, aviso apropriado e opções amigáveis ao usuário. Mantenha-o centrado no usuário – focado no indivíduo.

Ou seja…

1. É sobre prever e prevenir incidentes de privacidade antes que eles ocorram.
2. A privacidade deve ser sempre a configuração padrão, o indivíduo não precisa agir para adotar configurações de privacidade mais restritas: elas já vêm embutidas de forma padrão no produto, tecnologia ou serviço.
3. A privacidade é um componente essencial do sistema, sem diminuir sua funcionalidade.
4. Ganha-ganha: somar e permitir a funcionalidade total do sistema ou projeto, com a inclusão da privacidade em tecnologias, processos e sistemas e sem que isso prejudique sua funcionalidade total.
5. Os padrões de segurança adotados devem assegurar a confidencialidade, a integridade e a disponibilidade do dado, que proteja os dados da coleta, uso, acesso e armazenamento até o seu descarte.
6. A empresa está atenta aos seguintes critérios:
   1. Responsabilização: todas as políticas e procedimentos relacionados à privacidade devem ser documentados e comunicados de forma apropriada.
   2. Abertura e transparência: informações sobre políticas e práticas de privacidade relacionadas a dados pessoais devem estar disponíveis aos usuários; e
   3. Compliance: é preciso adotar mecanismos de Compliance que permitam monitorar, avaliar e verificar o cumprimento de políticas de privacidade.
7. Oferta de configurações fortes de privacidade, informações claras e opções user-friendly.

.

Impacto da Privacy by Design nos negócios

A Dra. Ann Cavoukian em seu livro “The Privacy Payoff” também argumenta que ganhar e manter a confiança do cliente, criar fidelidade e gerar negócios repetidos são coisas ótimas para os negócios, pois se reflete da seguinte forma:

1. A confiança do consumidor impulsiona o gerenciamento de relacionamento com o cliente (CRM) bem-sucedido e o valor da vida útil. Em outras palavras: receitas de negócios;
2. A confiança quebrada resultará em perda de participação de mercado e receita, traduzindo-se em menor valor das ações;
3. A confiança do consumidor depende fundamentalmente da força e credibilidade das políticas e práticas de privacidade de dados de uma organização.

Nesse sentido, para aquelas empresas que ainda pensam em instituir ou aquelas que já instituíram um Programa de privacidade, não poderá ser negligenciado ter como  premissa a aplicação do conceito de Privacy by design a todo o conjunto de dados pessoais, independentemente se sua empresa é a Controladora, Operadora ou Sub-operadora dos dados.

Se antes apenas dizíamos que os dados pessoais eram ativos valiosos, com a LGPD, já podemos mensurar o custo mínimo desses dados, visto que, umas das sanções que a lei estabelece é a multa que pode chegar a 2% sobre o faturamento da empresa, que pode chegar até R$ 50.000.0000 (cinquenta milhões de reais) por infração.

Também pode-se estimar qual seria o custo mínimo de um vazamento causado por uma negligência durante o desenvolvimento de um produto ou serviço, ou de falha identificada em uma ferramenta ou processo após o seu desenvolvimento e que está em produção, e que foi negligenciada, além de outras sanções que a empresa estará sujeita tais como : 

• Advertência, com indicação de prazo para adoção de medidas corretivas;
• Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• Multa diária, observado o limite total a que se refere o inciso II;
• Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• Eliminação dos dados pessoais a que se refere a infração;
• Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; e
• A mais grave: a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Então a dica é: siga atento(a) à Lei Geral de Proteção de Dados, pois se aplica a todos os tipos de empresas e de todos os setores.

Em especial, se sua empresa é de Tecnologia, como a Hi Platform, redobre sua atenção, pois muitas ainda não estão habituadas a ter um órgão regulador, que atualmente é a ANPD (Autoridade Nacional de Proteção de Dados), criada a partir da LGPD.

Por fim, as empresas de Tecnologia que estiverem atentas têm hoje uma grande oportunidade de crescimento neste mercado que garanta a proteção e integridade no tratamento dos dados das informações pessoais dos seus usuários e de seus clientes em suas aplicações.

Aqui na Hi, todos os nossos processos seguem em conformidade com a LGPD. Caso você tenha alguma dúvida sobre nossos processos, segurança e privacidade dos dados, me disponibilizo para te ajudar. Pode entrar em contato comigo pelo meu LinkedIn mesmo. 

E se você ainda não conhece as soluções seguras da Hi Platform para seu negócio, convido você a saber mais sobre nossa Plataforma aqui. Até mais!