Para quem está começando, especialmente startups e novos sites e sistemas, o privacy by design é quase indispensável. Então, vamos conhecer os 7 princípios do privacy by design e como aplicar na sua empresa.

Pense numa casa: do que adianta colocar móveis caros, uma bela decoração e não colocar uma fechadura na porta, deixando sua casa totalmente exposta a invasores e ladrões?

A privacy by design são as fechaduras e muros altos de seu sistema, que protegerão seus caros pertences, ou seja, os dados pessoais de seus usuários, de eventuais roubos de dados ou vazamentos por falhas ou hackers.

Nossas avós eram sábias quando diziam que “prevenir é melhor do que remediar”.

Com a LGPD em vigor, não é sensato, e nem mesmo permitido, tratar dados pessoais com desleixo.

Startups e empresas que estão iniciando suas atividades agora podem se estruturar de modo a garantir a proteção dos dados pessoais de seus clientes e usuários desde a concepção do sistema.

Mas o que diz a Lei Geral de Proteção de Dados, afinal?

Entenda a Lei Geral de Proteção de Dados no Brasil

“SE VOCÊ NÃO ESTÁ PAGANDO POR UM PRODUTO, O PRODUTO É VOCÊ”

Essa frase do jornalista Andrew Lewis explica de forma sucinta o porquê, logo depois de fazer uma pesquisa de um produto no Google sem pagar nada por isso, você receberá anúncios daquele mesmo produto por dias: dados pessoais são uma mercadoria valiosa.

Há muitos anos se sabe que a era digital poderia transformar a captação e comercialização de dados pessoais em um lucrativo negócio, mas foi apenas em 2016 que uma legislação robusta sobre proteção de dados foi promulgada.

A GDPR, ou General Data Protection Regulation, aprovada em 2016 e em vigor na União Europeia desde 2018, obrigou empresas, mesmo gigantes como o Google e o Facebook, a mudarem a forma como captavam e tratavam os dados pessoais dos usuários.

No mesmo ano em que a GDPR entrou em vigor, foi aprovada no Brasil a Lei Geral de Proteção de Dados, ou LGPD, até mesmo como um requisito para que o país possa ingressar na OCDE (Organização para a Cooperação e Desenvolvimento Econômico).

A LGPD entrou em vigor em agosto de 2020 e passou a exigir, como a GDPR, mudanças drásticas na forma como empresas que coletam, armazenam e compartilham dados pessoais os tratam e protegem as informações dos usuários.

Essa lei, que tem a transparência como um de seus princípios fundamentais, exige que empresas adequem seus procedimentos, para que os usuários e clientes saibam exatamente quais dados serão coletados, com qual finalidade e como serão armazenados.

Além disso, a LGPD estipula que o usuário deverá consentir expressamente com o tratamento de seus dados pessoais, salvo nas hipóteses legais, que incluem o cumprimento de obrigações legais ou a proteção da vida ou saúde do titular, por exemplo.

A obrigatoriedade de ter política de privacidade de fácil entendimento e a possibilidade de corrigir dados ou pausar seu compartilhamento com aquela empresa também são exemplos de mudanças trazidas pela lei.

Apesar de não ter pego ninguém de surpresa, afinal, a LGPD foi sancionada em 2018, muitas empresas esperaram até o último momento para adequar suas políticas de privacidade e a forma como tratam dados pessoais de seus clientes.

Enquanto empresas já em atividade não tiveram escolha além de se adequarem à LGPD, empresas novas, que surgiram já sabendo que a lei entraria em vigor, tiveram a oportunidade de adequarem-se desde o início para a proteção de dados pessoais.

Essa possibilidade de adequação à LGPD desde a concepção do projeto é conhecida como Privacy By Design.

O que é Privacy By Design (privacidade desde a concepção)?

O conceito de privacy by design, ou privacidade desde a concepção, não é novo, mas ganhou popularidade por ser uma forma mais eficiente para que novas empresas operem em conformidade com leis de proteção de dados desde o começo.

Essa ideia propõe que todo o desenvolvimento do software, aplicação ou qualquer tipo de sistema seja pensado desde seu início voltado para a proteção de dados pessoais, integrando essa proteção com a tecnologia desde sua criação.

A ideia por trás do privacy by design é simples e intuitiva: é mais fácil e barato pensar em proteção extensiva de dados pessoais desde a concepção do sistema, ao invés de lidar com os problemas e falhas de segurança conforme aparecem.

Empresas que aplicam esse conceito pensam na privacidade dos dados dos usuários em todos os momentos, e nenhum projeto ou produto será desenvolvido ou aprovado sem que a proteção de dados seja uma preocupação central.

Ann Cavoukian, criadora do conceito de privacy by design ainda nos anos 90, definiu 7 princípios básicos que norteiam essa prática.

No próximo item, vamos te mostrar quais são esses princípios e como eles podem ser bem úteis no processo de adequação da sua empresa à LGPD.

Primeiro princípio do Privacy By Design: proativo e não reativo + preventivo e não corretivo

A chave da privacy by design é a prevenção de violações de privacidade e vazamentos de dados pessoais.

A empresa que adota esse conceito foca em privacidade desde o início e a segurança de dados é uma prioridade.

Empresas que se desenvolvem desde o início não buscam mecanismos para lidar com incidentes de dados, mas sim, evitar, desde a sua concepção, que problemas envolvendo privacidade de dados ocorram.

Por isso, é preventivo e proativo.

Segundo princípio: privacy by default

Conceito incorporado à privacy by design, a privacy by default estabelece que as configurações iniciais do sistema ou aplicação ofereçam máxima proteção de dados ao usuário.

Assim, na configuração automática do sistema, da forma como ele chega às mãos do usuário, o maior nível de proteção de dados é aplicado sem a necessidade de alteração voluntária por parte do titular.

Ou seja: o sistema não capta e compartilha seus dados e você precisa manualmente desativar essa opção. Pelo contrário, o compartilhamento de dados é que será ativado manualmente, se o usuário desejar fazê-lo.

Terceiro princípio: funcionalidade completa

Os aplicativos e sistemas que utilizam a privacy by design não podem tratar dados pessoais como mercadoria ou condicionar o uso da plataforma ao compartilhamento de dados pessoais pelo usuário.

Então, mesmo na configuração máxima de privacidade, que será a configuração inicial pelo privacy by default, o usuário ainda terá acesso a todas as funcionalidades do sistema, independente do compartilhamento de dados.

Quarto princípio: privacidade incorporada ao design

A privacidade nesse conceito deve ser incorporada ao design da aplicação desde o começo, para sua maior funcionalidade e usabilidade.

Como não é permitido piorar a aplicação em troca de dados, ela deve ser adequada à proteção destes desde o começo.

Além disso, o usuário tem seus dados protegidos pela aplicação, e somente por sua vontade ativa poderá ativar as opções de coleta e compartilhamento de dados com aquele sistema.

Quinto princípio: segurança de ponta a ponta

Os dados pessoais dos titulares são protegidos adequadamente desde o momento em que o compartilhamento começa, e essa proteção ocorre de forma intensa em todas as fases do procedimento, não sendo restrita à configuração.

A partir do momento em que o usuário autoriza o compartilhamento de dados, estes são extensivamente protegidos, desde a coleta até a sua destruição, processadas pelo sistema com a devida segurança.

Sexto princípio: visibilidade e transparência

A empresa não pode somente afirmar que protege dados pessoais, mas, deve ser capaz de provar isso, permitindo a auditoria de seu processo de segurança, pelo usuário ou por entidades independentes.

O titular deve ser capaz de obter informações claras quanto ao tratamento de seus dados pessoais pelo sistema e saber exatamente como estes serão utilizados pela empresa durante todo o processo, além de ter acesso às ferramentas utilizadas pela aplicação para a proteção de dados.

Sétimo princípio: respeito à privacidade do usuário

É quase redundante que um conceito que visa a privacidade desde a concepção do sistema tenha a privacidade do usuário como um princípio norteador.

Isso reflete a importância fundamental que a privacy by design dá à proteção de dados.

A empresa deverá ter a privacidade de dados como preocupação primária, e não subestimar ou ser desleixada no tratamento de dados pessoais dos usuários.

Na era digital e da informação, dados pessoais são valiosos.

Empresas que têm acesso a esses dados devem ser orientadas pela segurança, ética e integridade, assegurando sempre a confidencialidade dos dados e a proteção de seu cliente.

Todos os princípios da privacy by design se interconectam e se completam.

Por meio dessa técnica, empresas, digitais ou não, podem evitar conflitos com a lei (e as altas multas que a LGPD prevê) de uma forma que não comprometa a qualidade de seu produto ou serviço.

A privacy by design exige o conhecimento e comprometimento de todos os envolvidos no desenvolvimento do negócio desde o começo, e que a mentalidade da privacidade seja incorporada na ética empresarial para que o negócio dê frutos.

A hora de utilizar os princípios Privacy By Design na sua empresa é agora!

Ao estruturar seu sistema desde o início com preocupação no tratamento de dados, você evita problemas e gastos de tempo e dinheiro futuros, consertando um problema que poderia não ter existido.

Para quem está com uma ideia na cabeça ou dando os primeiros passos na estruturação de sua startup, empresa ou sistema, a hora de pensar em privacidade de dados é agora.

Afinal, você terá de lidar com a proteção de dados de seus usuários uma hora ou outra: ou no desenvolvimento do sistema, voltando-se para a prevenção de riscos, ou quando sofrer as consequências de não ter pensado em privacidade antes.

Quer saber mais e colocar em prática os princípios mencionados? Entre em contato com o nosso time que está pronta para auxiliar.