Bom Dia LGPD

Privacy by Design e Base Legada

#bomdialgpd


Bases legadas são um desafio para a LGPD. Em todo o mundo a TI cresceu de forma caótica devido às diversas mudanças na tecnologia, nos negócios, nas estruturas das organizações e na gestão. Encaixar uma modelo estruturado e organizado como a proteção de dados pessoais não é uma tarefa simples pois o próprio ambiente não está preparado, sem contar que, além do ambiente tecnológico, a conformidade com a LGPD também abrange outros sistemas, mídias e canais que vão além dos sistemas e processos internos e sob gestão da organização.


Em um artigo passado dei exemplo do caso de um sistema de CRM que não se integra com o sistema de diretórios local e permite que as senhas sejam de qualquer tamanho. Este tipo de conflito é um desafio pois ao mesmo tempo o sistema é importante para o negócio da organização, mas não é possível (até que o fabricante disponibilize este recurso) associá-lo à política de controle de acesso da organização e, pior, se o usuário cadastra neste sistema uma senha igual à que ele usa na rede, acaba por aumentar o risco da organização.


Os desafios de alinhar o legado com a conformidade com a LGPD acaba por deixar algumas situações que - pelo menos por um tempo - é necessário conviver fora da conformidade.

Por outro lado, no caso de novas operações de tratamento de dados pessoais, as boas práticas disponibilizam o conceito de Privacy by Design, cujos conceitos foram desenvolvidos pela professora Ann Cavoukian da Universidade de Toronto (link no comentário).


Na LGPD o Privacy by Design aparece de forma tímida no segundo parágrafo do artigo 46, associado à segurança da informação:


§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução


Simplificando, o Privacy by Design é um mini projeto de conformidade com a LGPD associado ao contexto da nova operação de tratamento de dados pessoais. As áreas de negócio, em especial as responsáveis por comunicação, gestão de mudanças, processos, planejamento, sistemas e projetos, devem estar alertas para que, no caso de novos processos ou sistemas que realizem o tratamento de dados pessoais de forma, que seja submetido ao encarregado (DPO) para que seja aplicado o processo de Privacy by Design.


Uma boa prática é definir um processo de Privacy by Design que essencialmente tem as fases de:


  • Definição do contexto (ciclo de vida do dado pessoal, tipos de dados, tipos de titulares, segurança, ...), preferencialmente com o desenho do fluxograma da(s) operação(ões) de tratamento de dados pessoais;
  • Avaliação da conformidade com a LGPD;
  • Recomendações;
  • Decisão.


Aprofundaremos o tema em artigos futuros, quem quiser conhecer o assunto, o site da Prof Ann Cavoukian é uma excelente fonte.


Obrigado,


Abraço,


FNery

(Art 46 § 2) Privacy by Design e Privacy by Default
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato