Privacy by Design, essencial para qualquer Startup se adequar à LGPD

proteção de dados; cadeado; privacy by design; LGPD
Share on whatsapp
Share on facebook
Share on twitter
Share on linkedin

A Lei Geral de Proteção de Dados (Lei 13.709/18) entrou em vigor no dia 18/09/2020 e, a partir desta data, todas as empresas, incluindo startups, deverão observar regras para o tratamento, proteção e transferência de dados pessoais. 

Desenvolver boas práticas de proteção de dados e privacidade não é uma tarefa fácil, contudo, com algumas metodologias, essa nova realidade pode ser incorporada aos procedimentos da empresa, como é o caso do Privacy by Design.

Conforme definição prevista na  LGPD, os dados pessoais são informações relacionadas à pessoa natural identificada, ou seja, qualquer informação que possa identificar uma pessoa; já os tratamentos de dados são operações realizadas com esses dados pessoais, como a utilização, coleta, transmissão, arquivamento, recepção, reprodução, dentre outras ações.

Se a empresa fez ou faz uso de dados pessoais realizando alguma das operações de tratamento, ela deverá se adequar à LGPD para que o tratamento dos dados seja realizado de acordo com as regras e princípios previstos nesta nova Lei.

Contudo, para se adequar à Lei Geral de Proteção de Dados, não basta participar de programas de adequação ou inserir uma política de privacidade em seu site, mesmo que completa . Mais do que isso, as empresas que quiserem se alinhar com os princípios da lei deverão ter a proteção de dados em seu DNA!

Uma forma de introduzir a proteção de dados na cultura da empresa é através do Privacy by Design e vamos explicar melhor como você pode fazer isso.

A PROTEÇÃO DE DADOS COMO REGRA

O Privacy by Design (“Privacidade por Definição”) é uma metodologia que prevê a privacidade e a proteção dos dados desde a concepção do produto ou serviço, fazendo com que a proteção dos dados pessoais do titular – que futuramente será o usuário do produto ou serviço – comece a ser pensada no momento de ideação do projeto.

Todas os passos, ideias, produtos, funcionalidades devem ter como foco a privacidade do usuário e a proteção de suas informações pessoais, ou seja, a proteção de dados é colocada no centro do desenvolvimento de todo projeto, sendo esse valor incorporado pela empresa, diretores e colaboradores.

Ninguém pensa ou desenvolve nada que não tenha a privacidade ou a proteção de dados pessoais como plano de fundo. 

O Privacy by Design foi desenvolvido na década de 90, por Ann Cavoukian e possui sete princípios que, se observados resultarão em produtos e cultura de privacidade e proteção de dados dentro da empresa:

1 – Proativo Não Reativo: Quando falamos em Privacy by Design, estamos falando de uma metodologia preventiva, que antecipa futuros eventos que possam colocar em risco a privacidade dos dados do usuário. Ela não remedia os problemas existentes, mas auxilia na prevenção de problemas futuros.

Esse primeiro princípio se assemelha muito ao “princípio da prevenção” trazido pela LGPD, que determina que, no tratamento de dados pessoais, deverão ser adotadas medidas para prevenir a incidência de possíveis danos.

Isso quer dizer que durante o desenvolvimento de um software ou do design deste software, você deve avaliar se algo deve ser implementado para mitigar riscos relacionados à privacidade.

2 – Privacy by Default: também conhecido como privacidade por padrão, esse princípio prevê que a configuração padrão de qualquer produto ou serviço disponibilizado no mercado garanta a privacidade do usuário.

Ou seja, no primeiro contato do usuário, o seu produto ou serviço deve já estar configurado para coletar, armazenar, utilizar, transferir o mínimo de dados pessoais possíveis, garantindo, assim, a privacidade do usuário. O usuário não deve ser obrigado a fazer nenhum esforço para garantir a sua privacidade.

Na prática, você deve garantir que seu produto ou serviço colete o mínimo de dados possíveis para o funcionamento da tecnologia e o usuário pode escolher entregar mais dados para melhorar a sua utilização.

3 – Privacidade Embutida no Design: a privacidade não deve ser uma opção ou uma funcionalidade, ela deve estar incorporada no serviço ou produto, desde sua concepção até a entrega ao usuário final. 

Em outras palavras, a proteção de dados deve sempre ser o plano de fundo do projeto, ou seja, deve estar incluída na arquitetura do produto ou serviço.

4 – Funcionalidade Total: a proteção dos dados pessoais não deve ser um empecilho para o desenvolvimento do produto ou serviço. Pelo contrário, ela deve contribuir e integrar esse novo negócio, e não tirar suas funcionalidades. 

Esse princípio é o famoso jogo do ganha-ganha, não deve existir a opção proteção de dados ou funcionalidades, mas sim proteção de dados e funcionalidades.

privacy by design; LGPD; proteção de dados

5 – Segurança de Ponta-a-Ponta: esse princípio também se assemelha ao “princípio da segurança” previsto na LGPD. Ambos estabelecem que a proteção aos dados pessoais deve estar presente em todo ciclo de vida dos dados, ou seja, desde o momento em que o dado é coletado até o momento em que ele é eliminado, sendo certo que esse ciclo deve ser monitorado por padrões rígidos de segurança da informação.

Nem a LGPD e nem os conceitos de Privacy by design trazem de forma objetiva padrões de segurança, mas você pode se basear em normas como as ISOs 27001 e 27701 para implementar metodologias e padrões de segurança da informação em seus produtos.

6 – Visibilidade e Transparência: A transparência sobre como dados dos usuários são tratados ou armazenados é a base de uma empresa que respeita a privacidade e protege os dados dos seus usuários. O titular dos dados tem o direito – agora previsto em lei – de saber como e com qual finalidade seus dados pessoais são tratados. 

Dessa forma, na concepção de um produto ou serviço, ele deverá ser idealizado para garantir ao usuário o máximo de transparência possível no que diz respeito à utilização de seus dados pessoais, bem como os processos e procedimentos de todas as empresas devem garantir o atendimento e entrega de informações em relação à privacidade.

7 – Respeito pela Privacidade do Usuário: “Meus Dados Minhas Regras” – Esse princípio vem trazer um resumo de todos os princípios do Privacy by Design e da Lei Geral de Proteção de Dados. 

Os dados pessoais são de titularidade do usuário, de modo que pertence exclusivamente a ele o direito de decidir como e quando esses dados serão tratados – e, claro, essa decisão deve ser respeitada pela empresa! 😉

INCORPORANDO O PRIVACY BY DESIGN NA SUA STARTUP

Para garantir que um produto ou serviço está adequado à Lei Geral de Proteção de Dados, não basta que você informe, em seu site, que cumpre os princípios da LGPD e que respeita os direitos do titular de dados.

Mais do que isso, é necessário realmente incorporar a cultura de proteção de dados dentro da empresa, ou seja, pensar em proteção desde a concepção do negócio! 

De fato, não é fácil trazer esse conceito para o dia a dia, principalmente quando se tem pouca ou nenhuma prática na proteção de dados pessoais de clientes ou usuários. 

Contudo, algumas técnicas, incluindo o Privacy by Design, podem facilitar essa transição, fazendo com que a empresa incorpore a política de proteção de dados e consequentemente se adeque às regras previstas na LGPD.

Para começar, elenque os princípios do Privacy by Design e da LGPD e verifique se o seu novo produto ou serviço atende a esses princípios. Caso não atenda, reúna uma equipe multidisciplinar para pensar, de forma criativa, “como esse produto ou serviço pode se adequar à LGPD sem perder suas funcionalidades?”. Lembre-se sempre que a proteção de dados deve agregar ao negócio, e não ser um obstáculo!

Faz sentido pra você?

Aqui no L&O, recomendamos aos nossos clientes que façam uso das práticas de Privacy by Design para integrar a proteção de dados em seus produtos e serviços, fazendo da proteção de dados pessoais uma parceira de negócios e não uma burocracia a ser cumprida. Tudo acaba se encaixando naturalmente! 

Share on whatsapp
Share on facebook
Share on twitter
Share on linkedin

Leia também

9. Propriedade Intelectual e Industrial

Não é autorizada a utilização das Marcas e de qualquer propriedade intelectual e/ou industrial do L&O pelos USUÁRIOS do SITE sem a prévia e expressa autorização e aprovação do L&O, ficando resguardados todos os direitos acerca destas.

Ao acessar o SITE, você concorda que respeitará a existência e a extensão dos direitos de Propriedade Intelectual do L&O, bem como de todos os direitos de terceiros que sejam usados, a qualquer título, no SITE, ou que venham a ser disponibilizados de outras formas.

O acesso ao SITE não lhe dá direito ou prerrogativa ao uso de qualquer Propriedade Intelectual, Marca ou outro conteúdo nele inserido.

Se você violar as proibições contidas na legislação pátria vigente sobre propriedade intelectual e/ou neste Contrato, você poderá ter a sua Conta de Acesso bloqueada ou excluída definitivamente, se tiver uma, além de ser responsabilizado, civil e criminalmente, pelas infrações cometidas.

4. Conta de Acesso ao OFFICE

Apenas clientes do L&O, que tenham contratado plano de Assessoria Jurídica, poderão ter acesso à área restrita do SITE, denominada OFFICE. Se for o seu caso, continue a leitura. Caso contrário, pule este tópico e vá para o próximo!

Para que seja possível o acesso ao OFFICE, é indispensável a criação de uma Conta de Acesso. Esta Conta será criada pelo próprio L&O que, na oportunidade, solicitará os dados necessários a você. Você declara que as informações fornecidas são completas,
verdadeiras, atuais e precisas, sendo de sua total responsabilidade informar ao L&O
sempre que houver modificação/atualização de informação relevante.
Além disso, no momento de criação da Conta de Acesso, o L&O determinará o nome de usuário (login) e uma senha provisória para que você consiga acessar o OFFICE.

Após a criação da Conta de Acesso, o L&O enviará a você, via e-mail previamente
informado, seus dados para acesso ao OFFICE (login e senha), sendo que, para maior
proteção e segurança, você deverá alterar a sua senha no primeiro acesso.
É de sua exclusiva responsabilidade a manutenção do sigilo do nome de usuário e da
senha de acesso relativos à sua Conta de Acesso, devendo comunicar imediatamente ao L&O em caso de perda, divulgação ou roubo destes dados ou, ainda, de uso não
autorizado de sua Conta de Acesso.

Após a criação da Conta de Acesso pelo L&O e recebimento das credenciais, você
declara aceitar de forma expressa este Termo ao efetivar o seu primeiro acesso. Haverá, portanto, o consentimento expresso para a coleta, uso, armazenamento e tratamento de dados pessoais pelo L&O e/ou por terceiros contratados pelo escritório para finalidades legítimas e diretamente atreladas ao SITE e ao próprio L&O.

O L&O poderá recusar, suspender ou cancelar a Conta de Acesso de um USUÁRIO sem prévio aviso sempre que suspeitar que as informações fornecidas são falsas,
incompletas, desatualizadas ou imprecisas, com a finalização da relação entre L&O e o USUÁRIO Cliente ou ainda nos casos indicados nas leis e regulamentos vigentes
aplicáveis, nesse documento, mesmo que anteriormente aceito.

Cancelamento da Conta de Acesso ao OFFICE

A sua Conta de Acesso ao OFFICE será encerrada a partir do momento em que a sua relação com o L&O chegar ao fim – e ficaremos bem tristes se isso ocorrer – estando ativa apenas enquanto estiver vigente o Contrato de Prestação de Serviços de Assessoria Jurídica para a adequada prestação dos serviços.

É importante que você compreenda que o encerramento da Conta somente ocorrerá a partir do momento em que o L&O e você conferirem mútua quitação, isto é, a partir do momento que ambos concordarem que não há mais nada para reclamarem um do outro, não havendo qualquer pendência relativa a pagamentos, dentre outras. O encerramento será realizado pelo próprio L&O.

Entretanto, caso você pretenda eliminar definitivamente todos os seus dados do OFFICE, poderá solicitar a qualquer momento ao L&O, que analisará a melhor forma de seguir disponibilizando as informações necessárias, realizando a exclusão em seguida.