Aplicação do PbD e introdução do PIA – Privacy Impact Assessment
8 de abril de 2021“Privacy by Design, de forma objetiva, é utilizar a privacidade desde a concepção do projeto, produto ou serviço, integrá-la desde a criação”, afirma a advogada Maria Sbaite Gonçalves
Por Mariana Sbaite Gonçalves
Falar em Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.709/2018 já não é mais novidade e, desde a vigência da Lei, em setembro de 2020, esse é um dos temas mais comentados no mundo dos negócios.
O ponto de dificuldade é encontrado na hora de aplicar a teoria à prática.
Clientes enviam os mais diversos questionamentos, diariamente, e para muitas das perguntas ainda não há respostas exatas ou tão simples como se vende no mercado.
Um dos tópicos mais interessantes é a tal da Privacy by Design: o que é e como aplicá-la em determinadas atividades. Essa foi uma pergunta real de um cliente, durante uma reunião sobre LGPD.
Privacy by Design, de forma objetiva, é utilizar a privacidade desde a concepção do projeto, produto ou serviço, integrá-la desde a criação (a mantendo posteriormente, durante a execução).
Para executá-la, a realização de um PIA (Privacy Impact Assessment), que é um processo que ajuda as organizações a identificar e gerenciar os riscos de privacidade decorrentes de novos projetos, iniciativas, sistemas, processos, estratégias, políticas, relações de negócios, se torna uma facilitadora.
O objetivo é analisar, antes de qualquer tomada de decisão, se o novo projeto, produto ou serviço não irá de encontro ao que dispõe as leis vigentes de privacidade.
No Brasil e na LGPD, não se encontra referência ao PIA, no entanto, ele pode ser utilizado como boa prática, se adequando ao que dispõe os artigos 46 e 50 da LGPD, que tratam de medidas de segurança e boas práticas.
Com base no que estabelece a autoridade nacional francesa, o CNIL (Comission Nationale de L’Informatique et des Libertés), o Privacy Impact Assessment se pautaem: (i) princípios e direitos fundamentais não negociáveis, estabelecidos em leis que devem ser respeitados e não podem ser alterados, independentemente da natureza, gravidade, ou avaliação de riscos; e (ii) gerenciamento dos riscos à privacidade dos titulares, os quais determinam as medidas de controle, técnicas e administrativas, à proteção dos dados pessoais.
O Privacy Impact Assessment tem um foco direcionado para a privacidade, envolvendo proteção de dados pessoais e segurança da informação, e geralmente é realizado quando há a criação de um novo produto/serviço ou a aquisição de uma nova empresa. Inclusive, é uma avaliação utiliza quando da aquisição de novos sistemas, por exemplo.
Quando da ocorrência do assessment, alguns pontos são relevantes, para que o PIA atinja seu objetivo: quais atividades necessitam de PIA, ter informações sobre o projeto, produto ou serviço, saber a forma que os dados são coletados, transferidos, armazenados e descartados, quais as medidas de segurança existentes, se há utilização de cookies, dentre outros.
A sugestão para estrutura é criação do PIA, preenchimento do PIA, análise do PIA, validação final e acompanhamento do projeto, produto ou serviço.
Ainda que haja diversas ferramentas, apoio tecnológico e inovador, a privacidade tem que partir sim, de dentro para fora da organização. Mesmo que não seja uma obrigação legal, adotar melhores práticas coopera para um ambiente seguro.
A conscientização de todos os envolvidos no tratamento de dados pessoais e privacidade, bem como ter uma consultoria jurídica especializada em proteção de dados pessoais, já colabora para que o caminho seja mais tranquilo.
Executar, avaliar e evidenciar a prevenção é essencial, não apenas para o cumprimento das legislações vigentes, mas também para evitar prejuízos financeiros e fortalecer a relação de confiança e transparência entre as empresas e consumidores.
Série: Dicas práticas para implementação de Privacy by Design – Parte III de IV
Série: Dicas práticas para implementação de Privacy by Design – Parte II de IV
Surprisingly, A Massive And Ongoing Apple Privacy Breach Is Thanks To Apple’s Security Focus
No Crypto ID você lê excelentes artigos sobre a legislação brasileira e internacional relacionada à tecnologia e a segurança da informação e também novidades sobre ferramentas e aplicações da tecnologia na prática jurídica. Acesse agora mesmo!