Por André Prevedel, Chief Technology Officer & DPO da NEO, e Marcelo Mendes Santos, gerente de TI CISO da NEO
O pioneirismo da GDPR (General Data Protection Regulation), vigente nos países europeus, foi a grande inspiração para moldar a nossa Lei Geral de Proteção de Dados (LGPD). E, para compreender a regulamentação e especificação das diretrizes que compõem a lei brasileira, é imprescindível conhecer a fundo o que chamamos de princípios de segurança e de privacidade por padrão (ou “Privacy by Default”), intimamente ligados à GDPR e à própria LGPD. Considerando que o artigo 46 da LGPD diz que “(...) as medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução”, esses conceitos não só ajudam na adequação à lei brasileira, como também no estabelecimento e no cumprimento constante das medidas de segurança ligadas à coleta, ao tratamento e ao armazenamento de dados.
Criado no início da década de 1990 pela especialista canadense Ann Cavoukian - que por muito tempo atuou como Comissária de Privacidade e Informações em Ontário -, o conceito de “Privacy by Default” prevê que um produto ou serviço só seja lançado no mercado de forma a estar configurado da forma mais restrita possível no que diz respeito à privacidade do usuário. Por este princípio, cabe a este liberar acesso à coleta de mais informações, com total liberdade para julgar se é necessário ou não. Seguindo esta prerrogativa de adoção de técnicas de segurança e privacidade, torna-se essencial destacar os sete princípios da privacidade por padrão, que devem servir de guia na implementação das medidas de boas práticas em privacidade para sua empresa, e que foram estabelecidos pela própria Ann Cavoukian em 2009. É importante destacar que atualmente a maioria das grandes empresas de tecnologia ainda faz justamente o contrário, coletando o máximo de informações possíveis por padrão, ainda que permitam que o usuário desative em algum momento a coleta de dados.
Seguindo as regras de Ann Cavoukian, é preciso ser proativo e não reativo, ou seja, proteger antes que o incidente ocorra. Embora esta abordagem não leve em conta a possibilidade de concretização de eventuais riscos de privacidade, nem oferece soluções para resolver infrações de privacidade depois que estas ocorrem, cabe às empresas adotarem medidas proativas, ou seja, que são executadas antes do problema. Basta prevenir possíveis falhas desde o início do processo, implementando um checklist de pré-configurações ou pré-requisitos.
Isto posto, se a proteção de dados for caracterizada por medidas proativas, isso significa que o usuário não precisará agir. Neste segundo princípio, Cavoukian defende que a privacidade não é opcional, e sim, nasce como um padrão desde o início de uma nova atividade ou projeto. Dessa maneira, os dados pessoais são protegidos automaticamente em qualquer sistema de TI ou prática de negócios. Para que a conta feche, recomendamos aplicar requisitos mínimos de segurança, como manter os servidores em ambiente seguro e de acesso físico e lógico restritos; controlar o acesso aos sistemas nas funções administrativas mediante uma senha com duplo fator de autenticação; aplicar uma matriz de acesso em todas as instâncias do acesso aos serviços e arquivos; promover a rastreabilidade com logs que dêem visibilidade do momento do acesso a um registro ou arquivo, quem o fez e quem criou, modificou ou deletou algo na rede; e promover a revisão semestral dos acessos (ou quando algum colaborador mudar de função, cargo e/ou atividade).
O terceiro passo é incorporar a proteção de dados ao design e à arquitetura do sistema, que deve ser construído de modo a garantir a privacidade. Desta forma ele seguirá de forma plena a funcionalidade para o qual foi concebido, permitindo que eventuais exigências sejam otimizadas, tanto quanto possível.
A proteção precisa ser total. Antes do primeiro elemento de informação ser coletado, é preciso ter em mente que todo ciclo de vida de dados envolvido precisa estar seguro. Isso faz com que a implantação demande, do início ao fim, fortes medidas de segurança, com padrões que assegurem a confidencialidade, a integridade e a disponibilidade dos dados pessoais durante todo o seu ciclo de tratamento, incluindo, entre outros, métodos de destruição segura, criptografia apropriada, e métodos fortes de controle de acesso e registro. Tudo isso é essencial para garantir a privacidade.
O mesmo vale para a visibilidade e para a transparência. É preciso deixar o titular dos dados ciente de quais informações pessoais estão sendo coletadas, e para qual finalidade isto é feito. Todas as políticas e procedimentos relacionados à privacidade devem estar documentados e comunicados de modo apropriado e designados a um indivíduo específico - se houver transferência de informações pessoais para terceiros, medidas equivalentes de proteção devem ser asseguradas.
Por fim, é preciso ter respeito ao usuário. Isso é possível por meio de medidas como padrões fortes de privacidade, avisos apropriados e interfaces amigáveis ao titular dos dados, tudo com o objetivo de garantir a privacidade centrada no usuário em um mundo cada vez mais conectado. Em outras palavras, é necessário que haja consentimento no uso dos dados pessoais, com informações corretas e atualizadas conforme a necessidade, e com o usuário acessando livremente os seus dados.
Aplicando estes sete conceitos nas rotinas de produção e de gestão de sua empresa, torna-se possível obter mais privacidade e oferecer segurança aos titulares dos dados. E, por consequência, você e sua organização vão estar em conformidade com a LGPD, e todo o seu empenho, constância e persistência serão recompensados com a satisfação e a fidelização dos Clientes.