Migalhas de Peso

ISO 31.700 – A privacidade como padrão no uso de dados pessoais

A partir de 8 de fevereiro de 2023 a International Organizations for Standardization (ISO) irá adotar o conceito de Privacy By Design (PbD) como padrão ISO 31700.

23/1/2023

Como muitos sabem, mas sempre é relevante reforçar, a ISO é uma organização mundial que estabelece padrões através de comitês técnicos, padrões possíveis de serem estabelecidos e implementados por empresas de todos os tamanhos e localizadas em qualquer lugar do mundo. 

A Dra. Ann Cavoukian, a mente por trás do conceito de Privacy by Design pontuou que a adoção do conceito pela ISO “Dá vida a operacionalização ao conceito de Privacy by Design, ajudando organizações a compreender como colocar tal conceito em prática. O padrão é criado para ser utilizado por muitas companhias – startups, multinacionais, organizações de todos os tamanhos. Com todo tipo de produto é possível estabelecer esse padrão de trabalho pois é fácil de adotar. Nós esperamos que a privacidade seja incorporada proativamente ao modelo de operação e esteja de acordo com as leis de proteção de dados1.

São sete os princípios norteadores do PbD. porém a ISO 31.700 em sua versão é ainda mais detalhista e aponta cerca de 30 requerimentos, e o documento que consolida o padrão tem aproximadamente 33 páginas. Pelo que se percebe pelo sumário já disponibilizado é que a ISO 31.700 será dividida em 5 grandes temas e pormenorizados em cada um deles por subitens, como destacamos abaixo:

  1. Primeiro capítulo: é a parte Geral do padrão e se desmembra em (i) Criação de meios para viabilizar os direitos de privacidade do consumidor, (ii) Desenvolvimento de meios de determinar as preferencias de privacidade do consumidor (iii) Projetar interface “human-computer”(HCI) para privacidade, (iv) Designação de papéis relevantes e autoridades, (v) Estabelecer responsabilidade multidisciplinares, (vi) Desenvolvimento de conhecimentos, habilidades e capacidades de privacidade, (vii) Garantir o conhecimento e controles de privacidade e, (viii) Gerenciamento da documentação das informações.
  2. Segundo capítulo: Mostrando a primazia pelo princípio da transparência trata da Transparência de comunicação com o consumidor durante todo o ciclo de vida dos dados coletados, subdividido nos subtemas: (i) Clara responsabilidade pela transparência ao providenciar informação compreensível ao consumidor, (ii) Prestação de contas aos Responsáveis, (iii) Respostas aos questionamentos e reclamações dos consumidores, (iv) Comunicação para um grupo diverso de consumidores e, (v) Design de comunicação após descontinuação do bem ou serviço.
  3. Terceiro capítulo: trata do Gerenciamento de Risco, abordando a (i) Identificação de entrada para avaliação de riscos de privacidade, (ii) Condução de uma avaliação de risco de privacidade, (iii) Avaliação de recursos de privacidade de terceiros, (iv) Avaliação de riscos de descontinuação do bem ou serviço, (v) Estabelecimento de requerimentos para controles de privacidade, (vi) Desenvolvimento de controle de privacidade para descarte, (vii) Monitoramento e atualização de avaliação de riscos e, (viii) Inclusão dos riscos de privacidade no design de resiliência de cybersecurity.
  4. Quarto capítulo: Chamado de Integração da privacidade ao serviço de produto e seu ciclo de vida, foi subdividido em: (i) Integrar o projeto de privacidade ao desenvolvimento do serviço, (ii) Identificar controles de privacidade a desenvolver, (iii) Desenvolver ferramentas de privacidade, (iv) Gerenciar a transição de serviços de privacidade, (v) Gerenciar a operação de serviços de privacidade, (vi) Preparo para quebra de gerenciamento, (vii) Projeto de teste de controle de privacidade e, (viii)  Operar os controles de privacidade para processos e alinhamento de produtos durante o seu ciclo de vida.
  5. Quinto capítulo: trata do Projeto de controles de privacidade para o encerramento de uso do produto.

E o que é Privacy by Design?

Para as pessoas ainda não estão familiarizadas com o conceito de Privacy by Design, ou, em tradução literal, “Privacidade por definição”, trata-se de uma metodologia desenvolvido pela Dra. Ann Cavoukian, Comissária de Informação e Privacidade da Provincia de Ontário, no Canadá. 

Cavoukian idealizou que os avanços tecnológicos possibilitariam a coleta indiscriminada de dados e informações pessoais, sendo necessário o desenvolvimento de um conceito a ser adotado para que fossem postos em prática regramentos de privacidade para a oferta de serviços e bens de consumo por empresas dos mais diversos ramos.

Ao longo das últimas décadas, com os holofotes cada vez mais voltados para questão da privacidade de dados, órgãos e entidades a nível mundial passaram a divulgar e enaltecer os conceitos cunhados por Cavoukian, sendo obviamente privilegiados pela legislação específica, como a General Data Protection Regulation (GDPR) e a Lei Geral de Proteção de Dados (LGPD).

Hoje, é notório o fato de que a abordagem do Privacy by Design é a mais efetiva para estabelecer níveis de privacidade adequado a processos de todas as ordens, e está presente na maior parte das empresas e organizações que hoje possuem um nível de maturidade elevado.

Os sete princípios

Cabalisticamente, são sete os princípios norteadores do conceito de PbD, podendo ser resumidamente descritos como:

  1. Proatividade e não reatividade: primazia da antecipação aos possíveis evento que possam vir a comprometer a privacidade do titular de dados pessoais, objetivando sempre a vigilância constante, através de análises de riscos e desenvolvimento de correções para minimizar ou eliminar qualquer possível falha antevista pela análise, privilegiando sempre a prevenção. O popular é melhor prevenir do que remediar.
  2. Privacidade como padrão – estabelecer o mais alto índice de proteção à privacidade do usuário como padrão em todo e qualquer produto e serviço disponibilizado, dispensando qualquer ação do usuário para garantir sua privacidade.
  3. Privacidade incorporada ao projeto: tornar a privacidade parte vital e indispensável a todo e qualquer produto e/ou serviço desenvolvido e não como um item acessório.
  4. Funcionalidade total: Soma de interesses, é o famigerado “win – win”. A proteção de dados deve sempre estar alinhada com os interesses daquele que terá sua privacidade protegida, mas também para empresa fornecedora desse bem ou serviço.
  5. Segurança de ponta a ponta: primazia da proteção durante todo o ciclo de vida da informação. Toda a trajetória dos dados, desde o momento de sua coleta, até o momento de seu descarte, inclusive no momento de compartilhamento. 
  6. Visibilidade e transparência: deve estar sempre clarividente para o titular do dado a finalidade para qual seus dados estão sendo coletados, os tratamentos a serem realizados, quem tem acesso a elas e até mesmo sobre a possibilidade de que entidades independentes possam realizar auditorias para certificar-se que as informações estão sendo protegidas.
  7. Respeito pela privacidade do usuário: sempre focando no usuário, o processo deverá sempre ter como ponto central o titular de dados. Toda a arquitetura e operacionalidade do sistema ou da prática de negócio devem ser centradas na privacidade do usuário, pensando sempre na proteção completa dos seus dados do modo mais íntegro possível.

Percebe-se que o foco dos princípios formulados privilegia sempre o titular de dados pessoais e sua proteção é elevada ao mais alto nível possível, dentro das configurações disponibilizadas. 

Essa abordagem, juntamente com a primazia pelo princípio da transparência, inerente à proteção de dados pessoais, torna a abordagem de Privacy by Design a mais adequada a ser implementada para a oferta de bens e serviços a serem disponibilizados para os titulares de dados, quais sejam, os consumidores.

Reforço na aplicação do PbD e na proteção dos dados

O estabelecimento do conceito de Privacy by Design é um grande avanço para incutir na cultura dos negócios e projetos da privacidade como um dos pilares de sustentação de todo e qualquer processo que envolva o tratamento de dados de pessoa natural, um movimento extremamente necessário diante da realidade vivenciada com cada vez mais pautada na coleta de dados e informações.

A adoção do Privacy by Design como padrão através da ISO 31.700 dá corpo e torna mais tangível para empresas no mundo e, de todos os tamanhos, a adoção do Privacy by Design em todos os seus processos, fomentado a cultura da privacidade no meio corporativo e dando um novo fôlego para a adequação da empresa e procedimentos como um todo.

----------

1 https://www.itworldcanada.com/article/privacy-by-design-to-become-an-iso-standard-nextmonth/521415?mkt_tok=MTM4LUVaTS0wNDIAAAGJS0qqk5b0zucGs92N4XHjZq7ERy-YFWrbe_rPpqy9xnBksdS8Qv3tWUPQm4kXl_GL85_VqSoiARyuUAGKqJ-bYt3T_Q7mU3KkV5IhOfK7-Lo

 

Camila Guimarães
Advogada formada pela Universidade Presbiteriana Mackenzie, e Mestranda em Direito Comercial Internacional pela Universidade de Lisboa. Pesquisadora da área de Resolução de Conflitos, enveredou pela área do Direito Digital pela sua grande afinidade com tema, sendo seu mais recente trabalho a tese “A Arbitrabilidade Smart Contracts sob a égide da Convenção de Nova York de 1958”. Cursando especialização em Proteção de Dados nas Relações de Trabalho pela Data Privacy Br.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

ITBI na integralização de bens imóveis e sua importância para o planejamento patrimonial

19/11/2024

Cláusulas restritivas nas doações de imóveis

19/11/2024

A relativização do princípio da legalidade tributária na temática da sub-rogação no Funrural – ADIn 4395

19/11/2024

Transtornos de comportamento e déficit de atenção em crianças

17/11/2024

Prisão preventiva, duração razoável do processo e alguns cenários

18/11/2024