Privacy By Design: Estruturação de software para compliance

Essa conversa não é só para desenvolvedores. Se estende a todas as áreas de negócio e principalmente ao usuário final.

Há relativamente pouco tempo desde que este termo vem crescendo em relação ao compliance. Principalmente após a vigência da LGPD.

Isso trouxe diversos fatores com os quais deveríamos estar (culturalmente) preocupados desde o início da era digital. Agora, na era dados, temos diversos desafios de proteção de dados a serem superados de forma rápida.

O Privacy By Design traz a ideia de concepção de que qualquer software deve ser estruturado para a data protection. Como?

Isso irá variar de acordo com o tipo de segmento de cada empresa e principalmente, os processos e tipos de dados que são tratados. Mas de forma geral, podemos partir dos 7 pilares do PbD:

1. Proativo não reativo / Preventiva não corretiva

2. Privacidade incorporada ao Design

3. Completa funcionalidade

4. Segurança end-to-end

5. Privacidade do usuário

6. Visibilidade e transparência

7. Privacy by Default

Ouvimos muitos questionamentos que isso ocorreu de forma “repentina”. A verdade é que não começou com a LGPD (Lei Geral de Proteção de Dados). Se olharmos em uma linha do tempo, veremos que mesmo a partir da Constituição Federal (1988) já introduziu ao assunto, e claro, na chegada da era digital, a ideia foi sendo desenvolvida a partir de graves problemas de ataques e vazamentos de dados.

Em 1990 o Código do Consumidor diz: “Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.”.

E obviamente, o Marco Civil da internet (2014) desmistificou que a internet é terra de ninguém. Recomendo a leitura principalmente dos Art. 7 e 11:

Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros. 

Bem, o fato é que deixamos o tempo correr e em 2018 fomos apresentados à LGPD.

Nesse meio tempo a área de desenvolvimento e engenharia de software têm crescido exponencialmente devido a diversos tipos de necessidades das empresas e usuários e a facilidade de acesso à informação para aprender sobre códigos.

Hoje temos diversos frameworks e metodologias que garantem vários aspectos de performance e experiência do usuário, e neste segundo fator o PbD será crucial. Além do produto agregar o uso facilitado, atender demandas, entre outros, temos de pensar em como os mesmos irão garantir os direitos de privacidade do usuário.

Uma vez que entendemos os pilares e aplicamos na estruturação de desenvolvimento de software, podemos garantir a continuidade aplicando diversos conceitos como o ciclo PDCA e Design Thinking para uma melhoria contínua, análise de risco e monitoramento.

O ciclo PDCA já é um velho conhecido se você conhece outras complicances como a GDPR, HIPAA, ISO 27001, entre outras. Por se tratar de processos para garantir outros estágios de processos, nada melhor que um ciclo adaptável a qualquer plano de ação.

Já com o Design Thinking iremos encontrar novos meios para soluções de problemas com foco total em pessoas, tanto da sua equipe e também de usuários finais. É muito importante a participação de outros membros até mesmo de outros setores, que nos trarão diferentes entendimentos que vão chegar por caminhos diferentes no mesmo processo. Com isso, uma visão holística do negócio, problema, ideia, desafio, etc.

A ideia neste primeiro momento é alertar (de verdade) sobre a importância e responsabilidade dos dados alheios. Se você coleta dados, você é o responsável. Mais do que reestruturar processos e softwares já existentes, o Privacy by Design nos possibilita pensar além do que temos. Como vimos acima, a partir dele aplicamos diversas ações que nos irão garantir a transparência e segurança de dados.

Então se você utiliza, desenvolve, gerencia ou compra softwares, chegou a hora de olhar para outro nível que não estávamos acostumados.

Este artigo foi escrito por Aryel Evelin Vieira Garcia e publicado originalmente em Prensa.li.