Desenvolvendo sistemas com foco em LGPD: privacidade de dados por design e privacidade de dados por padrão

27 nov Desenvolvendo sistemas com foco em LGPD: privacidade de dados por design e privacidade de dados por padrão – uma visão geral

Postado às 20:15h em Background Check, Due Diligence por Manuel Marinho

No cenário em constante evolução das tecnologias digitais e na crescente dependência de processos orientados por dados, proteger a privacidade dos indivíduos tornou-se uma preocupação primordial. Dois conceitos-chave que surgiram como pilares para garantir a privacidade no desenvolvimento e implantação de sistemas são “Data Privacy by Design” (DPbD – Privacidade de Dados por Design) e “Data Privacy by Default” (DPbDefault – Privacidade de dados por Default). Embora compartilhem o objetivo geral de proteger as informações do usuário, esses conceitos diferem em seu foco e estratégias de desenvolvimento e implementação de sistemas.

Privacidade de Dados por Design (DPbD):

O Data Privacy by Design é uma abordagem proativa à privacidade, que enfatiza a incorporação de considerações de privacidade na própria estrutura de sistemas e processos desde o início de seu desenvolvimento. Cunhado pela Dra. Ann Cavoukian, ex-Comissária de Informação e Privacidade de Ontário, Canadá, o DPbD está enraizado na ideia de que a privacidade não deve ser vista só ao final do desenvolvimento ou tratada como um módulo adicional, mas deve ser parte integrante de todo o ciclo de vida do produto ou sistema.

Os princípios fundamentais do DPbD envolvem a incorporação de medidas de privacidade na arquitetura, design e funcionalidade de um sistema. Isso implica a realização de avaliações de impacto à privacidade, a identificação de riscos potenciais e a implementação de medidas para mitigar esses riscos. Ao adotar uma mentalidade de “privacidade acima de tudo”, desenvolvedores e organizações podem contribuir muito para que os dados do usuário sejam tratados com o máximo de cuidado e que a privacidade não seja comprometida durante a operação normal do sistema.

Um aspecto fundamental do DPbD é o conceito de “privacidade de ponta a ponta”, que implica proteger os dados do usuário durante todo o seu ciclo de vida — desde a coleta e armazenamento até o processamento e eventual descarte. Essa abordagem holística requer uma compreensão completa dos fluxos de dados dentro de um sistema e a implementação de salvaguardas em cada uma das etapas do seu tráfego, para evitar o acesso não autorizado ou o uso indevido de informações pessoais.

Privacidade de dados por padrão (DPbDefault)

Enquanto o Data Privacy by Design se concentra na integração de medidas de privacidade no processo de desenvolvimento, o Data Privacy by Default muda a ênfase para as configurações padrão de um sistema ou aplicativo. O DPbDefault reconhece que nem todos os usuários podem ter o conhecimento adequado ou iniciativa para ajustar as configurações de privacidade em um sistema e, portanto, a configuração padrão de um produto deve priorizar o mais alto nível de proteção de privacidade.

Em essência, o DPbDefault visa garantir que, na largada, os sistemas sejam configurados para fornecer a máxima proteção de privacidade razoável para os usuários. Isso inclui definir controles de acesso rigorosos, limitar a coleta de dados ao estritamente necessário para a finalidade pretendida e minimizar o período de retenção de informações pessoais. A ideia é reduzir a dependência dos usuários de definições manuais de configurações de privacidade, mitigando assim o risco de exposição inadvertida de dados em razão de configurações padrão que priorizam a conveniência em detrimento da privacidade.

Principais diferenças

1. Momento da implementação:

DPbD: Incorporado à arquitetura durante a fase de projeto e desenvolvimento de um sistema.
DPbDefault: Foca nas configurações e configurações padrão de um sistema, aplicadas em tempo de deployment.

2. Escopo:

DPbD: Envolve uma integração abrangente e completa de medidas de privacidade em todo o sistema.
DPbDefault: Preocupa-se principalmente com as configurações padrão que governam como os dados do usuário são tratados por um sistema, a partir do momento em que ele é ativado.

3. Envolvimento do usuário:

DPbD: Requer que desenvolvedores e organizações considerem e implementem proativamente medidas de privacidade.
DPbDefault: Minimiza a dependência dos usuários de configurações de privacidade, enfatizando uma postura de “proteção da privacidade por padrão”.

Em conclusão, embora a Privacidade de Dados por Design e a Privacidade de Dados por Padrão compartilhem o objetivo comum de proteger a privacidade do usuário, elas abordam esse objetivo a partir de diferentes pontos de vista, no contexto do desenvolvimento de um sistema. O DPbD promove um olhar proativo e integrado à privacidade durante todo o processo de desenvolvimento, enquanto o DPbDefault se concentra em priorizar a privacidade por configurações padrão ao tempo da implementação de um sistema. Juntos, esses conceitos formam uma estrutura robusta para criar e implantar sistemas que respeitem e protejam a privacidade dos indivíduos, em um mundo cada vez mais orientado por dados, podendo (e devendo) ser aplicados de forma harmônica.