Privacidade por design e privacidade por padrão (proteção de dados projetada e privacidade padrão pelo GDPR)

Em maio de 2018, entrou em vigor uma nova lei sobre a proteção de dados pessoais - o Regulamento Geral de Proteção de Dados ou o Regulamento do Parlamento Europeu e do Conselho da União Europeia de 2016/679, de 27 de abril de 2016, sobre a proteção das pessoas no tratamento de dados pessoais e a livre circulação desses dados, e a revogação da Diretiva 95/46 / CE (doravante GDPR ), que fornece aos residentes da UE ferramentas para controle total sobre seus dados pessoais, cuja proteção é um direito fundamental na União Europeia. Artigo 25 O GDPR exige que as empresas criem sistemas com proteção embutida de dados pessoais e sistemas de privacidade por padrão - privacidade por design e privacidade por padrão . No presente material, analisaremos esses conceitos.

O texto do artigo 25 do Regulamento em inglês e em russo:

1. Tendo em conta o estado da arte, o custo de implementação e a natureza, escopo, contexto e finalidades do processamento, bem como os riscos de probabilidade e severidade variadas dos direitos e liberdades das pessoas singulares representadas pelo processamento, o responsável pelo tratamento deve, no momento da determinação dos meios de processamento e no próprio momento do processamento, implementar medidas técnicas e organizacionais apropriadas, como a pseudonimização, projetadas para implementar princípios de proteção de dados, como minimização de dados, em de forma eficaz e integrar as salvaguardas necessárias ao tratamento, a fim de cumprir os requisitos do presente regulamento e proteger os direitos dos titulares dos dados.

1. Levando em conta o estado de desenvolvimento da ciência e da tecnologia, os custos de implementação, a natureza, a extensão, as características e os objetivos do processamento, bem como a provável ocorrência de riscos e perigos para os direitos e liberdades dos indivíduos como resultado do processamento, o responsável pelo tratamento deve, durante a determinação dos meios de processamento, e durante o processamento propriamente dito, introduza medidas técnicas e organizacionais apropriadas, por exemplo, pseudonimização, projetadas para implementar efetivamente os princípios de proteção de dados, por exemplo, para minimizar dados e integrar As garantias necessárias para o tratamento, a fim de cumprir os requisitos do presente regulamento e proteger os direitos dos titulares dos dados.

2. O responsável pelo tratamento deve implementar medidas técnicas e organizacionais adequadas para garantir que, por padrão, apenas os dados pessoais necessários para cada finalidade específica do processamento sejam processados. Essa obrigação se aplica à quantidade de dados pessoais coletados, à extensão de seu processamento, ao período de seu armazenamento e à sua acessibilidade. Em particular, essas medidas devem garantir que, por padrão, os dados pessoais não sejam acessíveis sem a intervenção do indivíduo a um número indefinido de pessoas físicas.

2. O controlador deve implementar medidas técnicas e organizacionais apropriadas para garantir que, por padrão, apenas sejam processados ​​os dados pessoais necessários para cada objetivo de processamento específico. Esta obrigação se aplica à grande quantidade de dados pessoais coletados, à quantidade de seu processamento, ao período de seu armazenamento e à possibilidade de acesso a eles. Em particular, essas medidas devem garantir que, por padrão, o acesso a dados pessoais não seja fornecido a um número indefinido de indivíduos sem a participação de um indivíduo.

3. Um mecanismo de certificação aprovado nos termos do artigo 42. O pode ser utilizado como um elemento para demonstrar a conformidade com os requisitos estabelecidos nos n. Os 1 e 2 do presente artigo.

3. Um mecanismo de certificação aprovado nos termos do artigo 42. O pode ser utilizado como um elemento para confirmar o cumprimento dos requisitos estabelecidos nos n. Os 1 e 2 do presente artigo.

O que é isso

Privacidade por design

Isso significa que o controlador de dados se compromete a integrar o sistema de proteção de dados em todos os processos de negócios (incluindo os processos de desenvolvimento de produtos ou serviços) em um estágio inicial de seu design e se compromete a manter esse sistema continuamente no futuro. A proteção de dados incorporada em seu design é uma obrigação de prever a proteção de dados pessoais com antecedência em todas as ações, empreendimentos e decisões da empresa. Por exemplo, ao criar um aplicativo móvel, é necessário analisar e evitar possíveis riscos associados à confidencialidade e estabelecer mecanismos para gerenciar esses riscos antes de escrever o código.

De acordo com a filosofia da privacidade por design, a melhor maneira de reduzir os riscos associados à confidencialidade é, antes de tudo, não criá-los.

Privacidade por padrão

Por padrão, a privacidade implica que o usuário não precisa executar nenhuma ação para proteger sua privacidade. As configurações para manter a confidencialidade e proteger seus dados pessoais são definidas por padrão. Os supervisores não devem assumir automaticamente que o usuário concorda com a troca de dados. Somente os dados necessários para atingir objetivos de processamento específicos estão sujeitos à coleta. Para garantir essa confidencialidade, por padrão, os supervisores devem implementar medidas técnicas e organizacionais apropriadas.

A caixa de seleção com o consentimento do usuário para transferir seus dados para terceiros não deve ser automaticamente marcada no site no perfil do usuário. O usuário deve marcar esta caixa de seleção, expressando assim o consentimento explícito (consulte o consentimento explícito nos artigos 4 (11), 6 (1) (a), 7 do RGPD). Ou, por exemplo, ao coletar dados necessários para o registro do usuário, o aplicativo não deve exigir que o usuário forneça dados que não são necessários para o registro.

Quanto menos dados uma empresa coleta e processa, menor o risco de violar o GDPR.

Histórico de privacidade por design, privacidade por padrão

De acordo com a Autoridade Europeia para a Proteção de Dados (a seguir denominada EDPS), os termos “privacidade incorporada” e “privacidade padrão” foram desenvolvidos nos anos 90 por Ann Cavoukian, Comissária para Proteção de Informações e Dados Pessoais na província canadense de Ontário. Em 2009, ela publicou Privacidade Integrada: 7 Princípios Fundamentais , que explica que “privacidade incorporada” significa que as empresas devem considerar ativamente questões de privacidade durante todo o ciclo de vida dos dados, começando na fase de design. Essa "proteção total do ciclo de vida" garante que todos os dados sejam armazenados com segurança e destruídos em tempo hábil. Dessa forma, a privacidade por design fornece gerenciamento contínuo e seguro do ciclo de vida dos dados, do início ao fim. De acordo com esses princípios, essa proteção pode e deve agir sem comprometer a funcionalidade do negócio ou sistema.

Kavukyan desenvolveu os seguintes princípios:

1. Medidas preventivas (proativas), não apenas mitigação
2. Privacidade padrão
3. Privacidade Integrada
4. Funcionalidade completa com benefício mútuo
5. Proteção de informações pessoais durante todo o ciclo de coleta, armazenamento, processamento e destruição
6. Acessibilidade e transparência
7. Respeito à privacidade do usuário: o sistema deve ser orientado ao usuário

A privacidade padrão, por sua vez, significa que o princípio da privacidade interna deve ser incluído por padrão em qualquer sistema ou empresa - para que os dados pessoais sejam protegidos automaticamente sem nenhuma ação por parte do titular dos dados. Uma pessoa não deve ser obrigada a tomar nenhuma ação para proteger sua privacidade - tudo é incorporado ao sistema por padrão.

A EDPS explica que esta configuração padrão significa que o titular dos dados não deve arcar com o ônus de proteger seus dados ao usar quaisquer serviços ou produtos. O direito à privacidade será protegido "automaticamente" como a configuração padrão.

Os princípios de privacidade por design e privacidade por padrão, desenvolvidos por Kavukyan, foram logo adotados pelos legisladores europeus como um padrão no campo da proteção de dados pessoais.

Projetos de recomendações
Conselho Europeu de Proteção de Dados 13 de novembro de 2019

Em 13 de novembro de 2019, uma autoridade independente de proteção de dados pessoais em nível europeu, o European Data Protection Board (EDPB), publicou projetos de recomendações sobre a aplicação do artigo 25 do GDPR no sistema de privacidade incorporado. Esta versão não é final, a EDPB aceita comentários de todas as partes interessadas até 16 de janeiro de 2020, após o que, levando em conta esses comentários, publica a versão final das recomendações. As recomendações não têm força de lei, mas, apesar de sua natureza não normativa, os reguladores de proteção de dados nos países e empresas da UE as seguem.

Listados abaixo estão os principais pontos dessas recomendações que ajudarão a interpretar e entender corretamente os requisitos do Artigo 25 do RGPD.

1. Privacidade por design

• Os supervisores podem mostrar a eficácia das medidas destinadas a cumprir o requisito de confidencialidade incorporada usando indicadores de desempenho . Por exemplo, indicadores quantitativos: uma diminuição no número de reclamações, uma diminuição no tempo de resposta às solicitações do usuário por sua confidencialidade. Ou indicadores de qualidade: análise de desempenho, uso de escalas de classificação ou opiniões de especialistas.
• As medidas técnicas ou organizacionais podem ser o uso de tecnologias integradas avançadas e o treinamento básico para funcionários, por exemplo, como lidar com os dados dos titulares dos dados (usuários). Ou seja, não há necessidade de tomar medidas complexas - o principal é que as medidas funcionem efetivamente.
• As medidas podem incluir: fornecer aos titulares a oportunidade de intervir no processamento de seus dados, um lembrete sobre o armazenamento de dados no banco de dados, a introdução de um sistema de detecção de malware e a cibernética básica.
• Um exemplo de medida técnica: pseudonimização de dados (consulte o artigo 4 (5) GDPR). Isso é, em particular, hash e criptografia.
• Embora não haja necessidade de usar tecnologias avançadas, as medidas devem levar em consideração o desenvolvimento de tecnologias ( "estado da arte" é o nível tecnológico de um serviço ou produto que existe no mercado e é mais eficaz para atingir seus objetivos). Isso significa que os controladores devem estar cientes dos mais recentes avanços tecnológicos e tomar as medidas organizacionais apropriadas. A falta de medidas organizacionais adequadas pode reduzir ou até minar completamente a eficácia da medida técnica selecionada. Portanto, é mais provável que o uso de software de segurança com vulnerabilidades conhecidas não seja considerado uma medida que leva em consideração as tecnologias modernas.
• O artigo 25 (1) do GDPR em discussão afirma que o custo de implementação deve ser levado em consideração na escolha das medidas a serem aplicadas. As recomendações esclarecem que esses custos devem ser considerados em um sentido amplo. Assim, estamos falando não apenas de custos de caixa, mas também de custos de tempo, recursos humanos. "A falta de arcar com os custos não justifica a não conformidade com os requisitos do GDPR." No entanto, a EDPB também alerta que o alto custo da tecnologia não significa que seja necessariamente eficaz. De fato, em alguns casos, soluções simples de baixo custo podem ser mais eficazes como resultado do que tecnologias caras.

2. Privacidade por padrão

• Os termos "medidas técnicas e organizacionais" devem ser considerados apenas dentro da estrutura do princípio de minimização de dados, como na privacidade por design.
• “Por padrão” em ciência da computação significa um valor pré-selecionado, um parâmetro configurável atribuído a um programa ou dispositivo de computador. Portanto, de acordo com a EDPB, "proteção de dados padrão" é a tarefa do controlador para estabelecer predefinições . Tais pré-configurações devem, em particular, regular a quantidade de dados pessoais coletados, o grau de processamento, o prazo de validade e a disponibilidade. Se não houvesse configurações padrão, os titulares dos dados seriam sobrecarregados com várias opções que eles não podem analisar e entender.
• As medidas organizacionais também devem ter como objetivo garantir que, desde o início, a quantidade mínima de dados pessoais seja processada ou apenas dados pessoais necessários para operações e finalidades específicas.
• Tais medidas devem minimizar o processamento desnecessário de dados pessoais, restringir o acesso a dados pessoais a pessoas relevantes.

3. A responsabilidade pelo cumprimento da privacidade por design, por padrão, cabe ao controlador de dados, mas a EDPB enfatiza que processadores e fornecedores também desempenham um papel importante na adesão aos princípios . Os controladores geralmente transmitem dados para processamento para um processador (por exemplo, um provedor de serviços em nuvem) ou adquirem soluções tecnológicas para processamento de dados (por exemplo, um dispositivo que permite o processamento de dados biométricos). Esses indivíduos são mais capazes de identificar os riscos associados aos dados pessoais como parte do uso de um serviço. Processadores e fornecedores devem usar sua experiência para desenvolver produtos que incorporam privacidade por design, por padrão. Exemplos de decisões do fornecedor: exclusão automática de dados após um certo tempo ou pseudonimização imediata dos dados após a coleta.

4. A certificação em conformidade com o artigo 42 do GDPR também pode ser usada para demonstrar conformidade com a privacidade por design e a privacidade por padrão, e fornecer uma vantagem competitiva no mercado fornecedor. É importante acrescentar que existem recomendações de certificação para os artigos 42, 43 do GDPR, também desenvolvidos pelo EDPB.

5. As recomendações também fornecem exemplos práticos sobre os elementos importantes da privacidade por design, privacidade por padrão: transparência, legalidade, integridade, limitação de finalidade, precisão, limitação de armazenamento, integridade e confidencialidade.

Por exemplo, para o elemento "exatidão", a EDPB apresentou a seguinte situação e sua solução potencial:

O controlador é uma instituição médica que está procurando maneiras de garantir a integridade e a precisão dos dados pessoais em seus registros de clientes. Nas situações em que duas pessoas chegam à instituição ao mesmo tempo e recebem o mesmo tratamento, existe o risco de erro se o único parâmetro que as distinguir for o nome. Para garantir a precisão, o controlador precisa de um identificador exclusivo para cada pessoa e, portanto, mais informações do que apenas o nome do cliente. A instituição utiliza vários sistemas que contêm informações pessoais dos clientes e deve garantir que as informações relacionadas ao cliente sejam corretas, precisas e consistentes em todos os sistemas a qualquer momento. Foram identificados vários riscos que poderiam surgir se as informações fossem alteradas em um sistema, mas não em outro. Para reduzir riscos, o controlador decide usar um método de hash para garantir a integridade dos dados nos registros de tratamento. Assinaturas de hash permanentes são criadas para registros de tratamento e o funcionário associado, para que quaisquer alterações possam ser reconhecidas, correlacionadas e rastreadas, se necessário.

Como mencionado acima, essa não é a versão final das recomendações, portanto, você deve seguir a atualização levando em consideração os comentários das partes interessadas.

Grande multa nos termos do art. 25 GDPR

Em 30 de outubro de 2019, a empresa imobiliária alemã Deutsche Wohnen SE foi multada em € 14,5 milhões por armazenamento incorreto de dados apenas com referência ao artigo 25 (1) GDPR. A empresa utilizou um sistema de arquivamento para armazenar dados pessoais dos inquilinos, o que não permitia excluir dados que não eram mais necessários. Os dados pessoais dos inquilinos foram armazenados sem verificar a validade de seu armazenamento adicional. Assim, foi possível acessar dados pessoais que foram armazenados por anos quando, como eles não serviam mais ao objetivo de sua coleta inicial. As informações foram armazenadas sobre a situação pessoal e financeira dos inquilinos, certificados de salário, formulários de auto-divulgação, extratos de contratos de trabalho e treinamento, dados sobre impostos, previdência social e seguro médico, além de extratos bancários .

A pena máxima por violação do artigo 25 (1) do RGPD é de 10 milhões de euros ou 2% do faturamento mundial. Uma multa de € 14,5 milhões foi calculada usando as diretrizes publicadas anteriormente pela BBDI (Autoridade Alemã de Proteção de Dados, Berliner Beauftragte für Datenschutz und Informationsfreiheit).

Neste site (GDPR Enforcement Tracker), você pode monitorar multas e penalidades impostas na UE sob o GDPR.

Conclusão

O artigo 25 do GDPR impõe um ônus significativo ao fornecer proteção e privacidade padrão incorporadas de dados pessoais. Para cumprir os requisitos desta norma e evitar grandes multas, os controladores devem analisar como, onde e quando processam as informações e garantir que o direito à privacidade seja levado em consideração em todas as etapas do processamento, começando com o design de um produto / serviço, um novo processo de negócios. Isso deve incluir o seguinte:

• O desenvolvimento de um programa de confidencialidade para toda a organização, que determina onde e quando os dados pessoais são processados ​​e garante que cada departamento que processa dados pessoais tenha um plano de proteção de dados pessoais.
• Um plano de proteção de dados pessoais que deve fazer parte de qualquer novo processo comercial que inclua o processamento de dados pessoais.
• Minimização do processamento de dados pessoais (processando apenas os dados pessoais necessários para atingir as metas de processamento).
• Pseudônimo ou criptografar dados quando possível.
• Garantir a transparência de qualquer processamento de dados pessoais para os titulares de dados e informar os titulares sobre como seus dados pessoais são usados.
• .
• , , .
• EDPB.