search
A mídia que reinventa a empresa
Registrar un software

Privacidade por design, ou como proteger a privacidade por design

Privacidade por design, ou como proteger a privacidade por design

Por Axelle Drack

Em 28 de outubro de 2024

A questão da Privacy by Design surgiu naturalmente quando o RGPD entrou em vigor, para proteger a privacidade dos usuários.

Agora totalmente responsáveis pelo processamento correto dos dados pessoais, as empresas tiveram que se adaptar a essas novas regulamentações, sob pena de multa de até 4% do faturamento mundial em caso de não conformidade identificada pela CNIL.

Mas o que exatamente é Privacy by Design? Quais princípios ela incorpora e como ela difere da privacidade por padrão ? E como você aplica a Privacy by Design em sua empresa? Encontre as respostas neste artigo!

O que é privacidade por design?

Privacidade por design: definição

O princípio de Privacy by Design (PbD) implica que a proteção de dados pessoais deve ser parte integrante das considerações iniciais de qualquer projeto comercial. Assim que um novo serviço, funcionalidade ou campanha de marketing é concebido, o respeito à privacidade deve ser uma prioridade absoluta.

A privacidade por design surgiu no Artigo 25 do Regulamento Geral de Proteção de Dados (RGPD ), e o não cumprimento desse princípio pode resultar em penalidades financeiras ou até mesmo em processos judiciais no caso de uma inspeção pela CNIL.

Os benefícios da privacidade por design

Embora, à primeira vista, a Privacy by Design implique restrições legais, técnicas e de tempo, ela também traz uma série de vantagens, como

  • Custos menores para cumprir a lei. Ao levar em conta a proteção de dados desde o início, alguns inconvenientes podem ser evitados. Por exemplo, ter que retrabalhar certos aspectos do projeto para estar em conformidade. Isso pode levar a custos adicionais, atrasos e até mesmo a uma reformulação do projeto;
  • Reduzir o risco de ações legais em decorrência da não conformidade;
  • o desenvolvimento de uma relação de confiança com o usuário, que, graças à transparência do processamento de dados, tem a garantia de que eles serão tratados com o máximo cuidado;
  • um aumento no consentimento. A transparência sobre o processamento de dados pode tranquilizar alguns usuários que antes eram cautelosos devido à falta de informações. Isso pode incentivá-los a dar seu consentimento mais prontamente;
  • economia graças à redução da necessidade de capacidade de armazenamento, que às vezes pode representar quantias substanciais.

O DPO: garantindo a conformidade com o RGPD

O DPO é a sigla para Data Protection Officer (Diretor de Proteção de Dados). Essa nova função multifuncional surgiu quando o RGPD entrou em vigor, permitindo a aplicação do Privacy by Design.

Essa função central dentro de uma empresa é responsável por garantir que todos os funcionários respeitem a privacidade em todos os projetos da empresa, seja uma campanha de marketing ou questões de segurança cibernética.

Portanto, o DPO irá :

  • gerenciará a questão dos dados pessoais em toda a empresa;
  • implementará várias regras organizacionais, medidas, ferramentas e práticas recomendadas;
  • monitorará se as medidas implementadas estão em conformidade com o princípio e será capaz de provar isso no caso de uma inspeção da CNIL.

Para desempenhar sua função de forma ideal, o DPO pode usar uma folha de projeto do RGPD para trabalhar com os vários gerentes de projeto. Ela detalha as várias fases e ações a serem implementadas para garantir a natureza da privacidade desde a concepção do projeto.

Para saber mais sobre a função do DPO :

CNIL

A diferença entre a privacidade desde a concepção e a privacidade por padrão

A privacidade por padrão é um corolário da privacidade desde a concepção. Enquanto o último incentiva que a proteção de dados pessoais seja levada em conta desde o estágio de design, a privacidade por padrão vai além, aplicando o princípio de proteção máxima dos dados do usuário de fato, sem que seja necessária qualquer ação por parte do usuário.

Os 7 princípios da privacidade desde a concepção

Princípio nº 1: adotar medidas proativas e preventivas

As violações de privacidade devem ser evitadas por meio de medidas preventivas, e não corretivas. Uma vez que os dados pessoais tenham sido utilizados de forma abusiva ou violados, o dano já foi causado. A ação corretiva teria como objetivo evitar problemas futuros.

Princípio nº 2: Aplicar a privacidade por padrão

Como vimos anteriormente, o conceito de privacidade por padrão é parte integrante da privacidade desde a concepção. Portanto, a proteção máxima deve ser fornecida por padrão, ou seja, implícita e automaticamente, de modo que os usuários não precisem tomar nenhuma ação para serem protegidos no nível mais alto (caixa de seleção, configurações etc.). Se desejarem dar mais liberdade sobre seus dados, eles poderão fazê-lo a posteriori, quando a finalidade que justificou a coleta tiver sido cumprida ou quando o usuário envolvido na coleta tiver solicitado isso.

Princípio nº 3: garantir que os dados sejam coletados e armazenados de acordo com a lei

Tanto do ponto de vista técnico quanto organizacional, todos os esforços devem ser feitos para garantir que os dados sejam recuperados de maneira compatível. O armazenamento de dados também deve estar em conformidade, excluindo-os quando não forem mais necessários para os fins previamente definidos.

Princípio nº 4: garantir a segurança durante todo o projeto e depois dele

Garantir aos usuários que os dados sejam coletados de forma segura. Essa garantia deve ser aplicada durante toda a execução do serviço e até mesmo depois, ou seja, durante o período de retenção legal.

Princípio nº 5: garantir a proteção ideal e integral dos dados

As medidas aplicadas para proteger a privacidade dos usuários devem respeitar a privacidade do usuário, sem comprometer o bom funcionamento dos negócios. A ideia não é contrapor esses interesses, mas uni-los, conciliando privacidade e segurança de dados. Oferecer essa garantia aos usuários é até mesmo uma vantagem competitiva e pode ter um impacto positivo no capital de confiança e na imagem da marca.

Princípio nº 6: Demonstrar transparência

As práticas de coleta e processamento de dados devem ser exibidas com total transparência, assim como a finalidade para a qual os dados são coletados. É por isso que a empresa deve elaborar sua política de confidencialidade e torná-la visível para todos.

Princípio nº 7: Proteger a privacidade dos usuários

Essa noção, que coloca os interesses dos usuários na vanguarda e no centro de todas as considerações, está intrinsecamente presente em todos os princípios. As empresas têm a responsabilidade de se equipar com os sistemas e as ferramentas certas para cumprir as restrições legais. As práticas éticas também devem ser adotadas em todos os níveis da empresa, de modo que todos coletem apenas as informações necessárias e as tratem com cuidado.

Como aplicar o Privacy by Design?

A aplicação da Privacy by Design é um desafio exigente para empresas e organizações, tanto do ponto de vista técnico quanto organizacional.

Por exemplo, para configurar um sistema de coleta de dados, é necessário estar tecnicamente equipado para verificar, modificar e excluir dados após o evento.

Vamos dar uma olhada em algumas medidas práticas que podem ajudá-lo a aplicar a Privacy by Design.

Algumas medidas práticas

Pseudonimização de dados

Essa técnica de estruturação de dados dificulta a identificação de um indivíduo, a menos que haja informações adicionais disponíveis. Os dados são classificados e dissociados por finalidade em um banco de dados dedicado a essa finalidade.

Minimização da coleta de dados

A aplicação do princípio do mínimo rigoroso é tecnicamente possível graças às "Tecnologias de aprimoramento da privacidade", que permitem que os usuários mantenham o controle sobre seus dados. Eles podem minimizar seus dados e até mesmo torná-los anônimos, se assim desejarem.

O protocolo de prova de conhecimento de divulgação zero

Esse protocolo seguro fornece prova matemática de autenticação e identificação de um usuário, sem revelar nenhuma outra informação.

Estruturas de trabalho

Assim que um novo serviço, produto, projeto ou funcionalidade é lançado, é importante garantir que as medidas de proteção à privacidade sejam respeitadas. Para trabalhar com mais eficiência, é aconselhável usar estruturas de trabalho projetadas para essa finalidade. Esse tipo de documento é um bom ponto de partida para verificar se você está marcando todas as caixas exigidas pelo RGPD.

Ferramentas para ajudá-lo a aplicar o Privacy by Design

Você tem realmente certeza de que sua empresa é "Privacy by design"? Usar ferramentas "compatíveis com o RGPD" e, acima de tudo, digitalizar sua conformidade, pode ajudá-lo a parar de se perguntar e evitar o risco de penalidades. Você pode gerenciar seus dados com total tranquilidade e com muito mais rapidez e eficiência!

Essas soluções on-line do RGPD facilitam para você :

  • elaborar mapas de processamento de dados
  • realizar auditorias de conformidade com o RGPD;
  • centralizar e rastrear toda a documentação de conformidade;
  • realizar avaliações de impacto de risco de segurança em conformidade com a CNIL;
  • criar planilhas de projeto personalizáveis com base em modelos para facilitar o trabalho com gerentes de projeto;
  • monitorar a conformidade de todos os projetos;
  • categorizar os dados de acordo com a finalidade;
  • manter-se atualizado com as mudanças na legislação;
  • manter provas de consentimento, etc.

Entre os agentes de conformidade com o RGPD mais conceituados do mercado, você pode recorrer a:

  • Witik: trata-se de uma plataforma francesa de conformidade com o RGPD que apoia PMEs e ETIs no gerenciamento de seus diversos programas de conformidade (RGPD, lei Sapin II, regulamento de privacidade eletrônica, ISO...). Para garantir que sua empresa e seu projeto tenham privacidade desde a concepção, o Witik lhe dá acesso a uma ampla gama de recursos : treinamento, auditoria e modelos de registro personalizáveis criados por DPOs, gerenciamento de consentimento com testes A/B nativos, relatórios e certificados de acompanhamento e muito mais!
  • Data Legal Drive,
  • Central Consent Manager,
  • Compliance Booster,
  • Datae.

Da privacidade desde a concepção à privacidade desde a utilização?

Incorporar os princípios da Privacy by Design em todos os projetos que exijam a coleta de dados é a melhor prática a ser adotada para cumprir o RGPD sem causar um impacto negativo na empresa. Aplicados corretamente, estes princípios implicam a aplicação de medidas que podem até ter um efeito benéfico para a empresa.

Privacidade ao utilizar defende a capacitação dos usuários no que diz respeito aos seus dados pessoais. Ao fornecer a eles informações sobre a finalidade de seus dados e as ferramentas técnicas para que eles mesmos gerenciem o nível de confidencialidade, eles adquirem autonomia. Isso os torna mais inclinados a dar às empresas maior liberdade sobre o uso de seus dados. Com um consentimento mais amplo, as empresas podem remover certos obstáculos, ampliar o escopo do que é possível oferecendo mais inovações e atender melhor às necessidades dos usuários.

A responsabilidade compartilhada pelos dados poderia ser a chave para um mercado mais inovador? O que você acha?

Artigo traduzido do francês