[Segurança] Os 7 princípios fundamentais da Privacidade Por Design

Quando falamos na importância de aplicar cuidados de segurança e privacidade, um dos principais princípios é a "privacidade por design" ("privacy by design", em inglês). No conceito de "privacidade por design", os cuidados e controles de privacidade são incorporados à própria arquitetura dos sistemas e processos desde a sua especificação e seu desenvolvimento. Desta forma, visamos garantir, pela infraestrutura do serviço prestado, condições para que o usuário seja capaz de preservar e gerenciar sua privacidade e a coleta e tratamento de seus dados pessoais.

A norma européia General Data Protection Regulation (GDPR) estabelece a importância da privacidade por design em seu artigo 25, de seguinte forma:

"Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects."

A International Association of Privacy Professionals (IAPP) propõe 7 princípios fundamentais da Privacidade por Design:

1. Proativo não reativo; Preventivo, não reparador: A abordagem de Privacy by Design (PbD) é caracterizada por medidas proativas, em vez de reativas. Ele antecipa e evita eventos invasivos de privacidade antes que eles aconteçam. O PbD não espera que os riscos de privacidade se materializem, nem oferece soluções para resolver infrações de privacidade uma vez que ocorram - tem como objetivo evitar que ocorram. Resumindo, a privacidade projetada vem antes do fato, não depois.
2. Privacidade como configuração padrão: A Privacy by Design visa fornecer o máximo grau de privacidade, garantindo que os dados pessoais sejam protegidos automaticamente em qualquer sistema de TI ou prática comercial. Se um indivíduo não fizer nada, sua privacidade ainda permanecerá intacta. Nenhuma ação é necessária por parte do indivíduo para proteger sua privacidade - isso é integrado ao sistema, por padrão.
3. Privacidade incorporada ao design: A privacidade está embutida no design e na arquitetura dos sistemas de TI e nas práticas de negócios. Não é adicionado como um add-on, após o fato. O resultado é que a privacidade se torna um componente essencial da funcionalidade central que está sendo entregue. A privacidade é parte integrante do sistema, sem diminuir a funcionalidade.
4. Funcionalidade total - Soma positiva, não soma zero: A Privacy by Design busca acomodar todos os interesses e objetivos legítimos de uma maneira de soma positiva “ganha-ganha”, não por meio de uma abordagem datada e de soma zero, onde compensações desnecessárias são feitas. A Privacy by Design evita a pretensão de falsas dicotomias, como privacidade x segurança, demonstrando que é possível ter as duas.
5. Segurança ponta a ponta - Proteção total do ciclo de vida: A privacidade desde o design, tendo sido incorporada ao sistema antes do primeiro elemento de informação ser coletado, se estende com segurança por todo o ciclo de vida dos dados envolvidos - fortes medidas de segurança são essenciais para a privacidade, do início ao fim. Isso garante que todos os dados sejam retidos com segurança e, em seguida, destruídos com segurança no final do processo, em tempo hábil. Assim, o Privacy by Design garante do início ao fim, o gerenciamento seguro do ciclo de vida das informações, de ponta a ponta.
6. Visibilidade e transparência - mantenha aberto: A Privacy by Design visa garantir a todos os interessados ​​que, seja qual for a prática comercial ou tecnologia envolvida, ela está, de fato, operando de acordo com as promessas e objetivos declarados, sujeita a verificação independente. Suas partes componentes e operações permanecem visíveis e transparentes para usuários e provedores. Lembre-se, confie, mas verifique.
7. Respeito pela privacidade do usuário - Mantenha-se centrado no usuário: Acima de tudo, o Privacy by Design exige que os arquitetos e operadores mantenham os interesses do indivíduo em primeiro lugar, oferecendo medidas como fortes padrões de privacidade, aviso apropriado e valorizando opções amigáveis ​​ao usuário. Mantenha-se centrado no usuário.

Referências:

• IAPP: "A Guide to Privacy By Design"
• IAPP: Privacy by Design - The 7 Foundational Principles
• Implementing Privacy By Design