Série: Dicas práticas para implementação de Privacy by Design – Parte IV de IV
9 de agosto de 2021Neste último artigo da série, vamos falar sobre Privacy by Design e gestão de riscos sob a ótica do framework criado por Ann Cavoukian
Daniela M. Monte-Serrat Cabella – Head of Privacy & Data Compliance e DPO 
Raíssa Moura Ferreira
Autoras: Daniela M. Monte-Serrat Cabella – Head of Privacy & Data Compliance e DPO
Raíssa Moura Ferreira – Head of Legal & Privacy e DPO
Introdução
Neste último artigo da série, vamos falar sobre Privacy by Design e gestão de riscos sob a ótica do framework criado por Ann Cavoukian para tratar de riscos à privacidade. Esse é um modelo que pode ser aplicado não somente à tecnologia e desenvolvimento dos produtos, mas também aos processos e rotinas organizacionais.
Privacy by Design e Gestão de Risco
É inegável que os riscos à privacidade têm crescido significativamente e, em seu artigo de 2010 intitulado “Privacy Risk Management: building privacy protection into a risk management framework to ensure that privacy risks are managed, by default”, Ann Cavoukian traz insights sobre como uma organização pode integrar o framework de Privacy by Design aos processos já existentes de gestão de risco e ainda ganhar uma vantagem competitiva no mercado.
Nessa publicação, ela lembra que os dados pessoais são ativos da organização e devem ser gerenciados, protegidos e ter seus riscos mapeados da mesma forma que qualquer outro ativo corporativo de alto valor, por meio de práticas operacionais estruturadas e documentadas, com papéis e responsabilidades bem definidos e previsão de recompensas e consequências.
A proposta de Ann Cavoukian é que uma abordagem que deve ser entendida como complementar aos frameworks já existentes de gestão de risco, sendo “proativa e preventiva” para buscar tratar o risco antes que se concretize, incorporada “por padrão” na tecnologia e nos processos da organização, e atuando no formato “soma positiva” junto a outras questões.
Adotar essa perspectiva significa direcionar a organização para a otimização de seus processos internos e para a criação de valor, que vai além da simples conformidade com a legislação.
Fases da Gestão de Risco
1- Estabelecendo o contexto – Nesta etapa, devem ser observados os objetivos do tratamento, o apetite de risco, a existência ou não de uma cultura forte de privacidade, a responsabilização e todos os demais fatores que afetam a esfera do tratamento. Destacamos, neste ponto, que alguns princípios de Privacy by Design pesam positivamente na criação de um contexto de mitigação de risco, como:
Proativo e não reativo; preventivo e não corretivo, pois, se os membros da organização já estão condicionados a essa postura proativa e preventiva devido à cultura e ações de conscientização, as chances de um alto risco à privacidade ser gerado são menores.
Privacidade como padrão e Incorporada ao Design também diminuem as chances de altos riscos à privacidade serem criados e, portanto, tendem a diminuir o volume de riscos a ser gerenciado.
Respeito pela privacidade do usuário é outro princípio que, quando aplicado de forma adequada, gera um contexto externo de aproximação e maior confiança do titular de dados em relação à organização. Com medidas fortes de privacidade por padrão, avisos transparentes e compreensíveis e experiência amigável, resta pouco espaço para riscos.
2- Identificando os riscos à privacidade – A identificação de riscos deve levar em consideração os processos formais e informais da organização e todo o ciclo de vida do dado, desde sua coleta, passando pelo armazenamento, uso, eventual transferência, dentre outras operações possíveis, até sua eliminação.
Nesse processo de detecção dos aspectos de privacidade que geram riscos e precisam ser tratados, entendemos que é importante também identificar, conjuntamente, os interesses da organização envolvidos no tratamento de dados, as questões de segurança que o impactam e a experiência do titular de dados em relação à forma de tratamento e sua comunicação, para que todos esses fatores possam ser considerados na etapa de tratamento dos riscos sob a perspectiva da funcionalidade total – soma positiva, e não soma zero.
3- Análise e avaliação de riscos – Tanto os critérios para identificação dos riscos à privacidade como a estruturação de sua análise e avaliação podem seguir frameworks consolidados, como o da ISO 29134 (Privacy Impact Assessment – PIA). Independente de se adotar uma forma quantitativa, semi-quantitativa ou qualitativa de análise, o importante é garantir que todos os riscos sejam mapeados e tratados de acordo com a matriz e o apetite de risco da organização.
4- Tratamento dos riscos – Há formas variadas de tratar os riscos, como adotar a postura de evitação, mitigação ou transferência. Conforme destaca Ann Cavoukian (p.13), as “organizações maduras reconhecerão que o tratamento de risco mais eficaz é aquele realizado antes que o risco seja concretizado.” E complementa lembrando a importância da aplicação do framework de Privacy by Design, uma vez que “praticar PbD obriga uma organização a se concentrar em tornar a privacidade o modo padrão de operação, integrando-a em sistemas de TI, processos e locais de negócios.”
5- Monitoramento para melhoria contínua – Ann destaca que os riscos à privacidade são complexos e, como tais, evoluem de acordo com o contexto e demandam uma “necessidade de revisitar ou introduzir novas estratégias para abordar a tecnologia em evolução, bem como as expectativas legais e públicas” (p.16).
Nesse cenário, lembramos que, por vezes, novos riscos identificados nesse processo de monitoramento poderão demandar uma abordagem de Privacy by “re-Design”em relação a produtos, serviços ou processos já estabelecidos. Mudanças na tecnologia poderão colocar em cheque, por exemplo, medidas de segurança da informação antes tidas como aderentes ao princípio de segurança de ponta a ponta, sendo necessário aplicar novos controles de segurança mais adequados ao novo contexto.
6- Comunicação e consulta – O alinhamento contínuo sobre os processos de gestão de risco junto aos interessados é previsto pela ISO 31000. Entendemos que essa recomendação de comunicação contínua relacionada à gestão de riscos à privacidade tem intersecção com o princípio da “visibilidade e transparência” do framework de Privacy by Design, respeitados os segredos comerciais e industriais.
Maturidade da Gestão de Privacidade & Risco
Segundo Ann Cavoukian, o grau de maturidade da gestão de privacidade e risco pode ser classificado em cinco níveis, quais sejam: (1) Ad hoc, (2) Inicial, (3) Repetível, (4) Gerenciado, e (5) Liderança.
A organização precisa identificar em qual desses níveis ela se encontra em cada uma das dimensões consideradas, e trabalhar para atingir o nível máximo (Liderança) em todas elas. As dimensões estabelecidas são; Governança, Responsabilização, Abordagem de Gestão das Informações Pessoais, Relacionamento com a Função de Gestão de Risco, e Programas de Privacidade.
Considerações Finais
A aplicação integrada da gestão de riscos e Privacy by Design, quando realizada com nível de maturidade adequado, traz maior eficiência para o monitoramento e mitigação de riscos à privacidade e agrega valor à organização.
Série: Dicas práticas para implementação de Privacy by Design – Parte I de IV
Série: Dicas práticas para implementação de Privacy by Design – Parte II de IV
Série: Dicas práticas para implementação de Privacy by Design – Parte III de IV
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!
