8 min para ler
CESAR .
2023-08-17T00:00:00
Design
Criar software orientado por privacy by design é uma prioridade urgente
Por Claudia Cunha, DPO e Chefe do Departamento Jurídico na CESAR
As preocupações com a privacidade e proteção de dados tornaram-se cada vez mais importantes nos últimos anos. Com muitos países implementando novos requisitos regulatórios, é essencial que as equipes de desenvolvimento de software em empresas de tecnologia global estejam cientes dessas regulamentações e de como elas impactam o desenvolvimento de software para garantir conformidade. Algumas das regulamentações mais rígidas do mundo incluem o GDPR na União Europeia, novas regulamentações de dados de saúde nos EUA, a Lei de Privacidade do Consumidor da Califórnia (CCPA) e a Lei Geral de Proteção de Dados do Brasil (LGPD).
Por exemplo, sob o GDPR, as empresas podem enfrentar multas de até quatro por cento de sua receita global por não conformidade. A CCPA prevê multas de até 7.500 euros por violação, e a Lei Geral de Proteção de Dados do Brasil inclui penalidades rigorosas para não conformidade – que podem chegar a até dois por cento de sua receita global, limitada a aproximadamente $ 10 milhões por violação, dependendo do dano resultante da manipulação inadequada de dados.
No início deste ano, a CNIL – a autoridade de proteção de dados da França – anunciou uma multa de três milhões de euros contra a desenvolvedora de jogos para dispositivos móveis Voodoo por usar um identificador técnico essencial que rastreia hábitos de navegação para fins de publicidade sem o consentimento dos usuários. Em maio, a UE multou a Meta em um recorde de $1,3 bilhão porque violou as diretrizes do GDPR da Europa ao transferir os dados pessoais dos usuários do Facebook com base na UE para servidores nos EUA. Em julho, uma pequena empresa no Brasil foi anunciada como o primeiro caso de uma multa sendo imposta por violação da lei brasileira – um sinal claro de que não apenas as gigantes da tecnologia precisam cumprir as novas leis de privacidade.
“Privacidade por Design”: Uma Abordagem Proativa à Privacidade de Dados
Vale ressaltar que há um efeito colateral quando leis de conformidade são impostas: grandes empresas, mais propensas a serem examinadas por organizações de auditoria, precisam estar legalmente em conformidade; como consequência natural, elas exigem o mesmo nível de conformidade de seus fornecedores, que, por sua vez, forçam seus próprios fornecedores a fazerem o mesmo. Assim, todo um ecossistema de organizações será impactado pela necessidade de conformidade de uma única empresa.
Quando extrapolamos esse cenário para o contexto de negócios internacionais, o mesmo acontece: se um país (ou um grupo de países, como a União Europeia) adota essas leis, os países que atuam como fornecedores da região também precisarão se ajustar. Com o quadro legal de privacidade de dados, o mesmo efeito cascata ocorre, o que torna as regulamentações mais rapidamente adotadas e aplicadas em todo o mundo. Assim, é fácil perceber que agora elas são uma preocupação geral, imposta a uma variedade de empresas e setores.
Para enfrentar esse desafio, organizações globais podem incorporar a “privacidade por design” em seus novos aplicativos para que possam ser usados em diferentes regiões ao redor do mundo com regulamentações variadas. Em essência, a melhor maneira para os desenvolvedores abordarem as regulamentações de privacidade de dados é adotar uma abordagem proativa, incorporando proteções de privacidade ao design de seus sistemas desde o início.
Essa abordagem, conhecida como Privacidade por Design, permite que os desenvolvedores antecipem os requisitos de privacidade de dados e os incorporem em seus aplicativos antes de serem lançados, evitando assim a necessidade de correções retroativas custosas. Ao focar na privacidade desde o início, as organizações globais podem evitar multas e penalidades potenciais associadas a violações de dados ou não conformidade.
Princípios Fundamentais de “Privacidade por Design”
Para aplicar os princípios de Privacidade por Design, os desenvolvedores devem considerar diversos fatores durante o processo de design e desenvolvimento, incluindo minimização de dados, consentimento do usuário e transparência. Por exemplo, os desenvolvedores podem usar técnicas como mascaramento de dados ou desidentificação para limitar a quantidade de dados pessoais coletados, preservando a privacidade do usuário.
A Privacidade por Design (PbD) foi cunhada pela primeira vez por Ann Cavoukian, PH.D., na década de 1990, e seus princípios estão incorporados em leis de privacidade, como GDPR e LGPD. A ideia central da PbD é evitar que eventos de privacidade prejudiciais aconteçam – e não corrigi-los após sua implementação. Para guiar os usuários nesse caminho, a PbD se baseia em sete princípios fundamentais:
- Proativo, não Reativo; Preventivo, não Remediável: A ideia é antecipar eventos indesejados, como incidentes de privacidade de dados. Isso depende de uma boa abordagem de gerenciamento de riscos, com uma boa análise de cenários; assim, a missão aqui é agir antes que o risco se materialize.
- Privacidade como Configuração Padrão: O comportamento padrão é oferecer privacidade; se nada for feito pelo usuário de uma determinada solução, a privacidade dessa pessoa é protegida e nenhuma ação é necessária do sujeito de dados, para garantir a privacidade. A solução deve ter privacidade de dados como configuração padrão.
- Privacidade Incorporada no Design: Devido à sua abordagem “por design”, espera-se que a privacidade seja incorporada aos sistemas e práticas – e nunca deve ser vista como um recurso adicional.
- Funcionalidade Completa — Soma Positiva, não Soma Zero: Este princípio afirma que todas as dicotomias devem ser evitadas; não é uma situação em que um lado vence sobre o outro. A ideia é minimizar trade-offs, com a privacidade vista como uma vantagem competitiva.
- Segurança de Ponta a Ponta — Proteção ao Longo de Todo o Ciclo de Vida: Uma das preocupações ao processar dados pessoais é manter as informações seguras. Portanto, é bastante relevante ter medidas de segurança robustas em vigor que garantam que os dados pessoais sejam processados corretamente – desde o momento em que são coletados até serem destruídos – uma proteção ao longo de todo o ciclo de vida.
- Visibilidade e Transparência — Mantenha Tudo Aberto: Este princípio afirma que os dados serão processados conforme planejado e dará visibilidade aos titulares de dados sobre tudo o que pode afetar sua privacidade. Além disso, esta diretriz contempla a relevância de verificar que este compromisso é alcançado.
- Respeito à Privacidade do Usuário — Mantenha Tudo Centrado no Usuário: No final do dia, a privacidade diz respeito aos indivíduos; assim, é essencial ter em mente que é um direito fundamental do indivíduo que está sendo tratado, e todo o processo deve ser centrado no usuário.
Quando o software é projetado para privacidade, os fornecedores de tecnologia podem fornecer informações claras e concisas sobre os dados que coletam, como eles são usados e com quem são compartilhados; dando aos usuários a capacidade de tomar decisões informadas sobre seus dados. Além dessas considerações importantes, os desenvolvedores também devem considerar a metodologia de P&D que aplicam durante o processo de design.
A Agilidade da “Privacidade por Design” na Adaptação às Mudanças Regulatórias
Uma abordagem ágil, por exemplo, pode ser benéfica ao fornecer feedback rápido dos usuários. Além disso, testes de desempenho devem ser realizados para garantir que os aplicativos atendam aos requisitos funcionais e não funcionais sob várias cargas, confirmando que os requisitos de privacidade não são sacrificados inadvertidamente.
Exemplos do mundo real de como esse conselho pode economizar dinheiro para as empresas, evitar multas e acelerar o lançamento de novos aplicativos ao redor do mundo incluem empresas como a Netflix. O gigante do streaming começou a implementar práticas alinhadas aos princípios do GDPR antecipadamente. Isso economizou custos de conformidade para a Netflix e acelerou a entrega de novos serviços nos mercados da UE para capturar uma participação e receita regional maior do que os concorrentes.
Por outro lado, a multa imposta à Meta, mencionada acima, estava muito relacionada à falta de Privacidade por Design, uma vez que manipulou indevidamente os dados das pessoas ao transferi-los entre a Europa e os Estados Unidos.
Privacidade por Design é uma abordagem vital para os desenvolvedores de software em empresas de tecnologia global para navegar nos requisitos regulatórios relacionados à privacidade de dados. Ao aplicar os princípios de minimização de dados, consentimento do usuário, transparência, metodologia de P&D e coleta e análise de feedback dos usuários, os líderes de P&D em tecnologia podem adaptar e aprimorar suas operações para estar de acordo com regulamentações em constante mudança, proteger a privacidade do usuário, evitar multas pesadas e fornecer aplicativos de alta qualidade em vários mercados, permitindo um implantação sem problemas nessas regiões.