Privacidade by Design – Respeito ao titular da prospecção até final do tratamento de dados
Texto de: Vladimir Fagundes
Privacidade by Design (PbD) é uma abordagem para desenvolvimento de soluções de software que valoriza e prioriza as questões de privacidade em todas as etapas que envolvem o processamento de dados pessoais.
A PbD propõe que sejam respeitados os sete princípios fundamentais:
- a) Proativo ao invés de reativo;
- b) Privacidade é uma configuração padrão;
- c) Privacidade embutida no design;
- d) Funcionalidade completa;
- e) Segurança de Ponta a Ponta;
- f) Transparência; e
- g) Respeito pela Privacidade.
Pela PbD ser bastante útil para propiciar a adequação aos artigos 46 e 47 da LGPD, as empresas passaram a incorporá-la em seus projetos de software, remodelando seu processo de desenvolvimento de software – PDS.
Nesse contexto, este documento apresenta a PbD com início na fase de prospecção, pois mesmo ainda não iniciado a concepção, é necessário que sejam mapeadas e analisadas as particularidades do tratamento de dados pessoais, os impactos ao titular e seus direitos.
Na fase de requisitos é necessário identificar requisitos adequados de segurança e privacidade, utilizar as boas práticas de privacidade por padrão sem obrigar o titular a tomar ação em sua própria proteção.
Na fase de design devem ser identificados os controles que darão a solução as garantias que os elementos arquiteturais relacionados à segurança e privacidade sejam escolhidos para subsidiar a implementação do software.
Na fase de implementação devem ser incorporados os controles para se alcançar a PbD, considerando os principais riscos de segurança em aplicações e os requisitos de privacidade. Entretanto, é boa prática que o time multidisciplinar avalie que os controles foram implementados corretamente para garantir que a solução foi desenvolvida incorporando conceitos de PbD.
Vale ressaltar que apesar da PbD estar presente na GDPR, a LGPD não tem esses princípios explicitamente. Porém, as organizações ganham a confiança dos titulares e cumprem com a sua responsabilidade para oferecer mais segurança e privacidade. Pois, o titular exerce de forma plena os seus direitos, ao tomar conhecimento e controle sobre quais dados são fornecidos e quais dados são obrigatórios.
Apoio Institucional: CTT- Compliance Tools Technologies e Value Privacy