K

kompar.ti

Guia de Aplicaçao do Privacy By Design (PbD)

Este guia foi elaborado com base nos materiais fornecidos, integrando os conceitos fundamentais de Privacy by Design (PbD), as exigências da Lei Geral de Proteção de Dados (LGPD) e as diretrizes práticas da Autoridade Nacional de Proteção de Dados (ANPD) e de especialistas em tecnologia e direito.

Guia de Aplicação do Privacy by Design (PbD)

Para o Desenvolvimento de Produtos, Serviços e Soluções

Este guia visa orientar a incorporação da privacidade e da proteção de dados desde a fase de concepção até a execução de qualquer projeto, em conformidade com o art. 46, § 2º da LGPD, que determina que as medidas de segurança devem ser observadas desde a fase de concepção do produto ou serviço.

1.

Imagem de um Guia para que o desenvolvedor possa fazer uma implementação segura e no padrão

Roteiro de Aplicação por Fase do Projeto

Fase 1: Concepção e Planejamento

Nesta etapa, define-se a viabilidade do produto sob a ótica da privacidade.

  • Definição de Base Legal e Finalidade: Identifique claramente para qual finalidade cada dado será coletado e qual a base legal (Art. 7º ou 11 da LGPD) que sustenta o tratamento,. Evite finalidades genéricas.

  • Minimização de Dados: Aplique o princípio da necessidade. Pergunte: “Este dado é estritamente necessário para o funcionamento do produto?” Se não for, não colete,.

  • Avaliação de Impacto (RIPD/DPIA): Se o produto envolver alto risco (ex: uso de novas tecnologias, dados sensíveis, vigilância em larga escala, IA), elabore um Relatório de Impacto à Proteção de Dados Pessoais antes do início do tratamento,.

  • Análise de Fluxo de Dados: Mapeie o ciclo de vida do dado dentro da solução: coleta, armazenamento, uso, compartilhamento e descarte,.

Fase 2: Desenvolvimento e Engenharia

Tradução dos requisitos legais em requisitos técnicos.

  • Padrões de Privacidade (Privacy Patterns): Utilize padrões de design testados para resolver problemas comuns de privacidade.

    • Exemplo: Para serviços que coletam localização (como no caso de IoT ou Apps), aplique padrões que minimizem a granularidade da localização ou usem ofuscação quando a precisão exata não for necessária.

  • Segurança da Informação:

    • Implemente criptografia para dados em trânsito e em repouso,.

    • Estabeleça controles de acesso rigorosos baseados na necessidade de saber (need to know) e privilégio mínimo,.

    • Evite o uso de senhas padrão (default) em dispositivos e sistemas.

  • Anonimização e Pseudonimização: Sempre que possível, desvincule os dados da identidade do titular, especialmente em ambientes de testes ou análises estatísticas,.

Fase 3: Interface com o Usuário (UI/UX)

O design deve comunicar claramente as práticas de privacidade e empoderar o usuário.

  • Transparência e Avisos: Utilize linguagem simples, clara e acessível, evitando “juridiquês”.

  • Gestão de Consentimento: Se a base legal for o consentimento, ele deve ser livre, informado e inequívoco. Não utilize caixas pré-marcadas (opt-out), o usuário deve marcar ativamente (opt-in).

  • Evitar Dark Patterns: Não utilize designs que manipulem o usuário a compartilhar mais dados do que deseja ou dificultem o exercício de seus direitos.

3. Diretrizes Específicas por Tipo de Solução

A. Para Websites e Portais (Gestão de Cookies)

  • Banners de Cookies: Devem apresentar botões de “Aceitar todos”, “Rejeitar todos” (ou não necessários) e “Gerenciar preferências” com o mesmo destaque visual.

  • Configuração Padrão: Cookies não necessários (publicidade, analíticos) devem vir desativados por padrão (Privacy by Default).

  • Segundo Nível: Ofereça um painel para gestão granular de consentimento por finalidade.

B. Para Aplicativos Móveis (Apps)

  • Permissões: Solicite permissões (câmera, microfone, localização) apenas no momento em que forem necessárias para o uso (just-in-time) e justifique o motivo.

  • Desinstalação: Garanta que a desinstalação do app ou a exclusão da conta permita também a eliminação dos dados armazenados nos servidores, salvo guarda legal,.

C. Para Soluções de IoT (Internet das Coisas)

  • Processamento Local: Sempre que possível, processe os dados no próprio dispositivo (edge computing) em vez de enviá-los para a nuvem, reduzindo riscos de interceptação.

  • Luzes e Avisos Físicos: Em dispositivos que monitoram o ambiente (câmeras, assistentes de voz), inclua indicadores físicos (luzes LED) que mostrem quando o dispositivo está gravando ou transmitindo,.

D. Para Inteligência Artificial (IA)

  • Transparência Algorítmica: O sistema deve ser capaz de explicar a lógica por trás de decisões automatizadas que afetem o usuário.

  • Prevenção de Vieses: Utilize dados de treinamento diversos e representativos para evitar discriminação algorítmica.

  • Dados de Treinamento: Garanta que os dados usados para treinar a IA tenham base legal adequada. Se o titular pedir a exclusão de seus dados, avalie a viabilidade técnica de removê-los do conjunto de treinamento.

4. Manutenção e Governança

  • Revisão Contínua: A privacidade não termina no lançamento. Realize testes de penetração e revisões de código periodicamente para identificar novas vulnerabilidades.

  • Gestão de Incidentes: Tenha um plano de resposta a incidentes pronto e testado para agir rapidamente em caso de violação.

  • Treinamento: Capacite desenvolvedores e equipes de produto sobre os princípios de PbD e segurança da informação,.

Checklist Rápido de Verificação

  1. [ ] O produto funciona com a configuração de privacidade mais restritiva por padrão?

  2. [ ] A coleta de dados foi minimizada ao essencial?

  3. [ ] A finalidade do uso dos dados está clara para o usuário?

  4. [ ] Os dados são criptografados em trânsito e repouso?

  5. [ ] Existe um canal fácil para o usuário exercer seus direitos (exclusão, acesso)?

Detalhes

por

Camila L. Oliveira
em

Compartilhe nas redes:

+ da Kompa: