Últimas notícias

Fique informado

Série: Dicas práticas para implementação de Privacy by Design – Parte IV de IV

9 de agosto de 2021

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

LGPD exige que a inovação digital siga o conceito “Privacy by Design”

Líderes brasileiros em inovação digital estão avaliando o impacto da LGPD (Lei Geral de Proteção de Dados) sobre seus processos de inovação

23 de abril de 2021

Série: Dicas práticas para implementação de Privacy by Design – Parte III de IV

Neste artigo da série, vamos focar no princípio de segurança de ponta-a-ponta do framework de Privacy by Design.

7 de janeiro de 2021

Série: Dicas práticas para implementação de Privacy by Design – Parte II de IV

Continuando nossa série de dicas práticas para implementação de Privacy by Design, neste artigo, focaremos nos princípios de “respeito pelo usuário”

18 de novembro de 2020

Série: Dicas práticas para implementação de Privacy by Design – Parte I de IV

Embora os princípios do Privacy by Design sejam amplamente difundidos, muitos profissionais ainda encontram dificuldade em implementá-los

16 de outubro de 2020

Neste último artigo da série, vamos falar sobre Privacy by Design e gestão de riscos sob a ótica do framework criado por Ann Cavoukian

Autoras: Daniela M. Monte-Serrat Cabella – Head of Privacy & Data Compliance e DPO

    Raíssa Moura Ferreira – Head of Legal & Privacy e DPO   

Introdução

Neste último artigo da série, vamos falar sobre Privacy by Design e gestão de riscos sob a ótica do framework criado por Ann Cavoukian para tratar de riscos à privacidade. Esse é um modelo que pode ser aplicado não somente à tecnologia e desenvolvimento dos produtos, mas também aos processos e rotinas organizacionais.

Privacy by Design e Gestão de Risco

É inegável que os riscos à privacidade têm crescido significativamente e, em seu artigo de 2010 intitulado “Privacy Risk Management: building privacy protection into a risk management framework to ensure that privacy risks are managed, by default”, Ann Cavoukian traz insights sobre como uma organização pode integrar o framework de Privacy by Design aos processos já existentes de gestão de risco e ainda ganhar uma vantagem competitiva no mercado.

Nessa publicação, ela lembra que os dados pessoais são ativos da organização e devem ser gerenciados, protegidos e ter seus riscos mapeados da mesma forma que qualquer outro ativo corporativo de alto valor, por meio de práticas operacionais estruturadas e documentadas, com papéis e responsabilidades bem definidos e previsão de recompensas e consequências.

A proposta de Ann Cavoukian é que uma abordagem que deve ser entendida como complementar aos frameworks já existentes de gestão de risco, sendo “proativa e preventiva” para buscar tratar o risco antes que se concretize, incorporada “por padrão” na tecnologia e nos processos da organização, e atuando no formato “soma positiva” junto a outras questões.

Adotar essa perspectiva significa direcionar a organização para a otimização de seus processos internos e para a criação de valor, que vai além da simples conformidade com a legislação.

Fases da Gestão de Risco

1- Estabelecendo o contexto – Nesta etapa, devem ser observados os objetivos do tratamento, o apetite de risco, a existência ou não de uma cultura forte de privacidade, a responsabilização e todos os demais fatores que afetam a esfera do tratamento. Destacamos, neste ponto, que alguns princípios de Privacy by Design pesam positivamente na criação de um contexto de mitigação de risco, como:

Proativo e não reativo; preventivo e não corretivo, pois, se os membros da organização já estão condicionados a essa postura proativa e preventiva devido à cultura e ações de conscientização, as chances de um alto risco à privacidade ser gerado são menores.

Privacidade como padrão e Incorporada ao Design também diminuem as chances de altos riscos à privacidade serem criados e, portanto, tendem a diminuir o volume de riscos a ser gerenciado.

Respeito pela privacidade do usuário é outro princípio que, quando aplicado de forma adequada, gera um contexto externo de aproximação e maior confiança do titular de dados em relação à organização. Com medidas fortes de privacidade por padrão, avisos transparentes e compreensíveis e experiência amigável, resta pouco espaço para riscos.

2- Identificando os riscos à privacidade – A identificação de riscos deve levar em consideração os processos formais e informais da organização e todo o ciclo de vida do dado, desde sua coleta, passando pelo armazenamento, uso, eventual transferência, dentre outras operações possíveis, até sua eliminação.

Nesse processo de detecção dos aspectos de privacidade que geram riscos e precisam ser tratados, entendemos que é importante também identificar, conjuntamente, os interesses da organização envolvidos no tratamento de dados, as questões de segurança que o impactam e a experiência do titular de dados em relação à forma de tratamento e sua comunicação, para que todos esses fatores possam ser considerados na etapa de tratamento dos riscos sob a perspectiva da funcionalidade total – soma positiva, e não soma zero.

3- Análise e avaliação de riscos – Tanto os critérios para identificação dos riscos à privacidade como a estruturação de sua análise e avaliação podem seguir frameworks consolidados, como o da ISO 29134 (Privacy Impact Assessment – PIA). Independente de se adotar uma forma quantitativa, semi-quantitativa ou qualitativa de análise, o importante é garantir que todos os riscos sejam mapeados e tratados de acordo com a matriz e o apetite de risco da organização.

4- Tratamento dos riscos – Há formas variadas de tratar os riscos, como adotar a postura de evitação, mitigação ou transferência. Conforme destaca Ann Cavoukian (p.13), as “organizações maduras reconhecerão que o tratamento de risco mais eficaz é aquele realizado antes que o risco seja concretizado.” E complementa lembrando a importância da aplicação do framework de Privacy by Design, uma vez que “praticar PbD obriga uma organização a se concentrar em tornar a privacidade o modo padrão de operação, integrando-a em sistemas de TI, processos e locais de negócios.”

5- Monitoramento para melhoria contínua – Ann destaca que os riscos à privacidade são complexos e, como tais, evoluem de acordo com o contexto e demandam uma “necessidade de revisitar ou introduzir novas estratégias para abordar a tecnologia em evolução, bem como as expectativas legais e públicas” (p.16).

Nesse cenário, lembramos que, por vezes, novos riscos identificados nesse processo de monitoramento poderão demandar uma abordagem de Privacy by “re-Design”em relação a produtos, serviços ou processos já estabelecidos. Mudanças na tecnologia poderão colocar em cheque, por exemplo, medidas de segurança da informação antes tidas como aderentes ao princípio de segurança de ponta a ponta, sendo necessário aplicar novos controles de segurança mais adequados ao novo contexto.

6- Comunicação e consulta – O alinhamento contínuo sobre os processos de gestão de risco junto aos interessados é previsto pela ISO 31000. Entendemos que essa recomendação de comunicação contínua relacionada à gestão de riscos à privacidade tem intersecção com o princípio da “visibilidade e transparência” do framework de Privacy by Design, respeitados os segredos comerciais e industriais.

Maturidade da Gestão de Privacidade & Risco

Segundo Ann Cavoukian, o grau de maturidade da gestão de privacidade e risco pode ser classificado em cinco níveis, quais sejam: (1) Ad hoc, (2) Inicial, (3) Repetível, (4) Gerenciado, e (5) Liderança.

A organização precisa identificar em qual desses níveis ela se encontra em cada uma das dimensões consideradas, e trabalhar para atingir o nível máximo (Liderança) em todas elas. As dimensões estabelecidas são; Governança, Responsabilização, Abordagem de Gestão das Informações Pessoais, Relacionamento com a Função de Gestão de Risco, e Programas de Privacidade.

Considerações Finais

A aplicação integrada da gestão de riscos e Privacy by Design, quando realizada com nível de maturidade adequado, traz maior eficiência para o monitoramento e mitigação de riscos à privacidade e agrega valor à organização.

Série: Dicas práticas para implementação de Privacy by Design – Parte I de IV

Série: Dicas práticas para implementação de Privacy by Design – Parte II de IV

Série: Dicas práticas para implementação de Privacy by Design – Parte III de IV

Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!

CATEGORIAS

Destaques Notícias