A Lei Geral de Proteção de Dados (13.709/2018) tem como principal objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Também tem como foco a criação de um cenário de segurança jurídica, com a padronização de regulamentos e práticas para promover a proteção aos dados pessoais de todo cidadão que esteja no Brasil, de acordo com os parâmetros internacionais existentes. Show
A lei define o que são dados pessoais e explica que alguns deles estão sujeitos a cuidados ainda mais específicos, como os dados pessoais sensíveis e dados pessoais sobre crianças e adolescentes. Esclarece ainda que todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação. Além disso, a LGPD estabelece que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de informações sobre pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser observada. A lei autoriza também o compartilhamento de dados pessoais com organismos internacionais e com outros países, desde que observados os requisitos nela estabelecidos. Consentimento
A lei traz várias garantias ao cidadão, como: poder solicitar que os seus dados pessoais sejam excluídos; revogar o consentimento; transferir dados para outro fornecedor de serviços, entre outras ações. O tratamento dos dados deve ser feito levando em conta alguns requisitos, como finalidade e necessidade, a serem previamente acertados e informados ao titular. Quem fiscaliza?
Com relação à administração de riscos e falhas, o responsável por gerir dados pessoais também deve redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado; elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade, com o aviso imediato sobre violações à ANPD e aos indivíduos afetados. As falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – limitado a R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha e enviará alertas e orientações antes de aplicar sanções às organizações. Fonte: https://www.serpro.gov.br/lgpd (texto com adaptações/atualizações) Regulamentar o desenvolvimento e a criação de produtos e serviços que contenham medidas de privacidade desde a sua concepção e por padrão nos processos de tecnologia é o objetivo, respectivamente, dos conceitos de Privacy by Design e de Privacy by Default. Mas como implementá-los na sua empresa? Visando facilitar e difundir esses processos, a Autoridade Norueguesa de Proteção de Dados preparou um
guia completo para ajudar organizações a melhor entenderem e ficarem em compliance com as exigências do Privacy by Design e do Privacy by Default — que tornaram-se mandatórios a partir da implementação da General Data Protection Regulation (GPDR), lei que regulamenta a proteção e o uso de dados na União Europeia. Presentes
também na Lei Geral de Proteção de Dados brasileira, ambos os conceitos se referem a tendências mundiais e auxiliam consideravelmente no cumprimento das demais regulamentações de coleta, armazenamento, utilização e descarte das informações pessoais dos clientes. O documento foi desenvolvido pela Autoridade Norueguesa em conjunto com profissionais de segurança e desenvolvedores de software, tanto do setor
público quanto do privado. Continue acompanhando e entenda como fortalecer a privacidade no seu negócio! O que você vai conferir:
Qual é o objetivo do guia da Autoridade Norueguesa?As diretrizes do documento são voltadas principalmente para desenvolvedores, arquitetos de softwares, gerentes de projetos, profissionais de proteção de dados, profissionais de segurança e quaisquer outros indivíduos que desenvolvam e contribuam para o desenvolvimento de softwares que colham ou processem dados pessoais. Entretanto, é importante lembrar que o
Privacy by Design deve ser uma preocupação da empresa como um todo, assim como acontece com o compliance. Apenas assim é possível transformar a privacidade em um pilar de tudo o que é feito e produzido na organização. Sendo assim, há alguns requisitos funcionais sobre como o software deve ser desenvolvido. Para começar, o desenvolvimento de softwares deve seguir uma metodologia com
atividades-chave para garantir que o produto final seja robusto. Há material disponível para leitura focando em segurança desde a concepção como parte do desenvolvimento do software. Entretanto, o mesmo não acontece com a proteção de dados desde a concepção e por padrão como parte desse desenvolvimento. Proporcionar esse material para a comunidade de profissionais
de tecnologia é, então, um dos motes por trás da criação do guia da Autoridade Norueguesa. O objetivo é fornecer um material abordando desde o planejamento até a engenharia, mostrando como incorporar princípios de proteção de dados, direitos do detentor dos dados e maneiras de obedecer às exigências da GPDR a cada etapa do processo. O que é o Privacy by Design?Decisões tomadas de forma automatizada e serviços personalizados
tornaram-se parte do nosso dia a dia — e, como aponta o guia, envolvem o processamento em larga escala de dados pessoais. Portanto, usuários esperam que esses serviços sejam seguros e que protejam sua privacidade de forma eficaz. Nesse contexto, negócios que levam a proteção de dados a sério constroem confiança — ou seja, ter medidas fortes de proteção de dados pode ser uma vantagem competitiva. Aliados às leis e normas que regulam a proteção de informações dos clientes, os
conceitos de Privacy by Design e de Privacy by Default ajudam a garantir que os sistemas de informação utilizados obedecem aos princípios da proteção de dados e protegem os direitos dos indivíduos detentores desses dados. As diretrizes do Privacy by Design devem ser seguidas desde o início do processo de desenvolvimento de softwares na empresa, assim como ao fazer acordos com fornecedores ou consultorias. Para tanto, a transparência é fundamental. Quando o assunto é o uso de
dados pessoais, transparência envolve providenciar informações sobre quais dados estão sendo processados, por quem, por que e como, além de por quanto tempo eles serão mantidos. Somente assim os indivíduos detentores desses dados podem exercer os seus devidos direitos de privacidade. Considerar a proteção de dados ao longo de todo o processo de desenvolvimento de programas otimiza os custos e é mais eficaz do que implementar mudanças em um software já existente. Portanto, o
comprometimento dos gestores é fundamental para a decisão de aplicar os preceitos de Privacy by Design na empresa. Quais são as 7 atividades que levam ao Privacy by Design?O guia estabelece um conjunto de sete atividades fundamentais para o processo de desenvolver softwares que contenham a proteção de dados desde a sua concepção e por padrão. Tanto o desenvolvimento de programas quanto a proteção de
dados são processos contínuos e cada uma dessas atividades é uma peça em um quebra-cabeça. São elas:
O guia — e, consequentemente, este post — descreve às sete atividades do processo e inclui recomendações da Autoridade Norueguesa sobre como implementá-las e sobre quais são as medidas mais importantes para garantir que sua empresa está
adequadamente seguindo o Privacy by Design e o Privacy by Default. Porém, as metodologias implementadas são fortemente influenciadas pelo leque de produtos e serviços disponibilizados para o cliente, assim como pelo setor de atuação, pela cultura de segurança do negócio e pelo tipo de software que está sendo desenvolvido. Sendo assim, cabe a cada organização avaliar e decidir quais processos, atividades e áreas seria mais interessante priorizar. Etapa 1: TreinamentoDurante essa atividade, determinam-se os tipos específicos de treinamento a serem dados. A etapa, que deve atingir tanto os colaboradores quanto os gestores, é importante para garantir que todos na organização compreendem a necessidade da proteção e segurança de dados e os riscos associados a isso. Os colaboradores devem entender quais requisitos são aplicáveis, no que eles devem ficar de olho e quais ferramentas podem ser usadas para converter seu
conhecimento em proteção de dados e segurança da informação em software que salvaguarde isso. A equipe ainda precisa ser informada sobre quais metodologias e rotinas seguir. Cabe à própria organização montar um plano de treinamentos, decidir o que é relevante e quais tipos de treinamento podem ser necessários para algum colaborador em específico. Quais exigências cabem à organização?É interessante que tanto
os requisitos internos quanto externos sejam assunto de treinamentos para os colaboradores. Os requisitos internos referem-se a:
Já os requisitos externos dizem respeito a:
Como fazer isso na prática?Para começar, estabeleça uma metodologia de desenvolvimento a ser seguida pelos responsáveis pela concepção e realização de softwares. Se forem
programas que processam dados pessoais, a metodologia deve incluir privacidade e segurança desde a concepção e por padrão. Dois exemplos de frameworks de desenvolvimento que têm a segurança como algo intrínseco são o Microsoft Security Development Lifecycle (SDL) e os projetos da OWASP
Flagship. Além disso, prepare um panorama sobre as ferramentas, padrões e melhores práticas a serem usadas durante o desenvolvimento de um software. Os colaboradores devem receber treinamentos quanto a como, quando e por que usar esses elementos. Confira alguns exemplos elencados pela Autoridade Norueguesa de ferramentas para demandas como testes de segurança, configuração de requisitos de segurança, análises e modelos de riscos:
O guia ainda apresenta um exemplo de checklist de quais atividades devem ser incluídas nos treinamentos para os seus funcionários.
Clique aqui e confira. Etapa 2: RequisitosA etapa seguinte aborda os requisitos de configuração para a proteção de dados e a segurança da informação.
Essas exigências devem refletir a necessidade para tais cuidado e ser incluídas como parte do projeto. Quando os requisitos para a proteção e segurança dos dados, os níveis de tolerância, os impactos da proteção de dados e os riscos são detectados com antecedência, o time de desenvolvimento já saberá quais exigências precisam obedecer, portanto, podem mitigar as ameaças associadas à proteção de dados e à segurança da informação ao longo de todo o processo do software. Quais são as exigências para a proteção de dados?Para estabelecer os requisitos corretos, é importante saber quais categorias de dados pessoais serão processados pelo software, a quais conclusões pode-se chegar a partir deles sobre os indivíduos, quem é o usuário e o dono das informações, quem será definido como o controlador dos dados e, se aplicável, quem processa ou armazena esses dados pessoais. Isso é
necessário para determinar quais leis, regras, diretrizes e códigos de conduta são aplicáveis ao software sendo desenvolvido e para determinar quais requisitos devem ser estabelecidos para o programa. Portanto, é responsabilidade do negócio analisar quais exigências encaixam-se em seus softwares, de acordo com o setor de atuação e o contexto de uso do programa. Organize esses requisitos em uma checklist, para que os desenvolvedores possam integrá-la ao planejamento do projeto e
monitorá-la ao longo de todo o processo. Obedeça aos princípios de proteção de dadosO requerimento mais importante para um software embutido com proteção de dados desde a concepção é o cumprimento dos princípios referentes a isso. Portanto, o processo deve ser legal, justo e transparente e, no que se refere a dados pessoais, precisa ser desenvolvido com propósitos específicos, explícitos e legítimos — o que
inclui somente coletar as informações necessárias para que o software opere. A Autoridade Norueguesa entende por “necessária” o fato de que é preciso avaliar a quantidade de dados pessoais coletados, a extensão de seu processamento, o período em que ficarão armazenadas e a sua acessibilidade. Considere também o nível de detalhamento das informações exigidas, se rotinas automatizadas de eliminação podem ser implementadas, onde os dados ficarão armazenados e quem terá acesso a
eles. Priorize a concisão das informações e proteja os dadosPara garantir a proteção dos direitos do indivíduo detentor dos dados, é fundamental priorizar a clareza e a concisão das informações sobre como os dados pessoais serão usados. O software deve facilitar que o cliente exerça seus direitos, como acesso, informação, retificação, restrição e portabilidade dos dados. Isso pode ser resolvido, por
exemplo, através de um portal no qual o usuário possa fazer login e acessar um panorama dos dados registrados, informações sobre direitos do usuário e um formulário de ajuda para casos em que ele deseje fazer objeções ou retificações. A empresa deve garantir a proteção e a segurança dos dados pessoais durante a coleta, o armazenamento, a alteração, a visualização, a comunicação e a eliminação. Criptografia e controles de acesso são algumas das maneiras de alcançar isso. Os
requisitos de segurança para cada software em específico são determinados através da identificação dos riscos aos quais o programa pode ser exposto. A Autoridade Norueguesa sugere seguir as diretrizes dos seguintes documentos:
Defina os riscos de tolerância ao riscoA análise de riscos diz respeito à identificação
das possíveis consequências de diferentes incidentes e cenários, além de avaliar o quão provável ou fácil é que um incidente indesejado aconteça. Então, a gestão da empresa determina o nível de risco que o negócio está disposto a correr em diferentes cenários. Isso é chamado tolerância ao risco e serve como guia na decisão de quais medidas ou recursos serão implementados para que o software não exceda o nível de risco definido como aceitável. Em termos de segurança, o nível
de tolerância é definido individualmente para diferentes cenários, como alteração acidental ou divulgação não autorizada de dados pessoais, ou falta de acesso de tal forma que pudesse impactar significativamente na vida, ou na saúde do indivíduo. O mesmo acontece em relação à proteção dos dados. Aqui, cenários que podem ser analisados incluem, por exemplo, perda do controle sobre seus próprios dados pessoais por parte do indivíduo, discriminação decorrida do software ou identificação
de uma pessoa a partir de dados anônimos. Alguns cenários de segurança e de proteção de dados terão tolerância zero ao risco, enquanto a empresa pode considerar aceitável correr um certo nível de risco em outros. Faça uma análise de risco em segurançaA análise de risco começa com o mapeamento dos dados pessoais que devem ser assegurados. Identifiquei qual poderia ser o interesse nessas informações e quais
pontos de ataque poderiam ser usados para consegui-las. Em seguida, faça uma avaliação para determinar quais dados estão vulneráveis a quais riscos. As suas diretrizes de segurança da informação podem ajudar a detectá-las, assim como a identificar os requisitos que devem ser estabelecidos para proteger os dados. O próximo passo é reavaliar a análise de risco diante dos níveis de tolerância em segurança. Se o nível de risco for mais alto do que o nível de tolerância
estabelecido previamente, medidas devem ser estabelecidas para mitigar as ameaças. Também é necessário determinar quem será responsável por tais medidas e estabelecer um prazo para as respectivas implementações. Faça uma análise do impacto à proteção de dadosVisa avaliar o impacto que um software ou processo operacional previsto pode ter na proteção de informações pessoais, assegurando assim que o programa
não infringe nos direitos fundamentais do indivíduo detentor dos dados. O processamento de dados pessoais deve ser legal, justo e transparente. Uma análise do impacto à proteção de dados é necessária para certos tipos de processamento:
Em caso de dúvidas sobre se deve-se ou não fazer a análise do impacto à proteção de dados, a Autoridade Norueguesa recomenda seguir em frente com a avaliação. A análise precisa conter, pelo menos:
Confira a checklist recomendada pelo guia para servir de modelo para o estabelecimento dos seus requisitos de segurança e proteção de dados. Etapa 3: DesignEssa etapa envolve assegurar que os requisitos de proteção de dados e segurança da informação são refletidos no design, ou projeto, do software. As exigências identificadas na atividade referente aos requisitos precisam ser alcançadas e requisitos para o design devem ser definidos. Nesse
sentido, considere a existência de ameaças que podem tentar obter acesso aos dados pessoais. Analise a superfície de ataque para reduzi-la e, além disso, garanta que o software foi modelado e desenhado de forma a resultar em um produto final robusto. O objetivo da atividade de design de software é que os requisitos de projeto descrevam de forma acurada e facilmente compreensível como as características de cada peça do programa devem ser desenvolvida, incluindo como as funcionalidades
podem ser implementadas e distribuídas de maneira segura. Considere, por exemplo, um sistema de gestão de identificação e acesso em que o usuário possa ver ao que ele consentiu e quais são suas configurações de segurança, gerenciar suas senhas e compreender como o processo de login funciona. Seguindo as recomendações da European Union Agency for
Network and Information Security (ENISA), a Autoridade Norueguesa divide os requisitos de design em duas categorias: requisitos orientados a dados e requisitos orientados a processos. Requisitos de design orientados a dadosMinimize e limiteA quantidade de informações pessoais coletadas e processadas, precisa ser limitada àquelas que são legais e estritamente
necessárias nas diretrizes de Privacy by Design. Os dados devem ser deletados quando seu armazenamento não for mais exigido para seus propósitos. Uma regra de ouro a seguir é: “Selecione antes de coletar”. Esconda e protejaDados pessoais e as formas com que elas se interseccionam não devem ser comunicadas, processadas ou armazenadas diretamente à vista. Ao esconder dados pessoais facilmente identificáveis, o risco de abuso e o escopo de
acidentes em potencial são significativamente reduzidos. Exemplos para fazer isso incluem pseudonimização, criptografia e agregação dos dados. SepareAo separar o processamento ou o armazenamento de diversas fontes de dados pessoais que pertencem a um mesmo indivíduo, você diminui as possibilidades de que seja possível criar um perfil completo de um dos seus clientes. De acordo com o seu propósito, as informações podem ser guardadas em bases de
dados separadas, por exemplo. A separação também é uma forma eficaz de limitar os propósitos e impedir que diferentes conjuntos de dados possam ser linkados entre si. AgreguePara garantir a proteção dos direitos dos clientes em relação a seus dados pessoais, eles devem ser colhidos e processados com o maior nível de agregação quanto possível. Evite ao máximo o detalhamento de informações particulares nas limitações daquilo que ainda pode
ter valor para o seu negócio e faz sentido para os propósitos de coleta e de uso. Busque, por exemplo, reduzir o nível de detalhamento e sensibilidade dos dados pessoais, removendo informações desnecessárias ou excessivas sempre que possível. Para ilustrar tendências e valores gerais, você pode combinar estatísticas sobre grandes números de pessoas sem identificar indivíduos. Tenha a proteção de dados como padrão |