1. OBJETIVO

     

    A presente A presente Cartilha visa esclarecer os objetivos de cada um dos 07 (sete) princípios que compõem a expressão privacy by design[1], ou seja, princípios que norteiem o desenvolvimento de um produto ou serviço com atenção à privacidade e proteção de dados desde o início/concepção do produto ou serviço. Os princípios norteadores trazem como fundamento:

    De tal forma, a adoção desses princípios pela A1 visa:

    • Minimizar riscos de descumprimento da legislação;
    • Minimizar riscos de vazamento, uso indevido, ilícito ou inadequado de dados pessoais;
    • Reduzir, a longo prazo, os custos para o atendimento de direitos e obrigações estabelecidas pela regulação em proteção de dados no Brasil e no mundo;
    • Aumentar a confiança junto ao cliente e usuários;
    • Aumentar a credibilidade da A1 no mercado;
    • Garantir um diferencial competitivo;
    • Gerenciar melhor incidentes e ter transparência junto ao mercado;

    Os princípios norteadores deverão ser aplicados sempre que novos produtos ou serviços fizerem o uso, no meio digital ou físico, direto ou indireto de dados pessoais de clientes, terceiros ou colaboradores da A1.

    2. APLICAÇÃO

    Apresentaremos abaixo uma listagem de condutas prévias que poderão ser analisadas durante as fases de implementação e desenvolvimento (em especial tecnológico) de produtos ou serviços com privacidade desde a sua concepção.

    1ª FASE: IDEALIZAÇÃO DO PRODUTO OU SERVIÇO

    • Discutir com o Encarregado e/ou Comitê Interno acerca do produto ou serviço idealizado;
    • Identificar as finalidades e propósitos com os dados, sua fonte/origem e para o que serão destinados;
    • Identificar os direitos e deveres junto aos titulares afetados ou a ser garantido;
    • Mapear os riscos existentes nos processos de desenvolvimento e execução do produto ou serviço junto com o Encarregado e o time de Segurança da Informação;
    • Verificar a necessidade de Avaliação de Impacto;
    • Identificar e definir padrão mínimo de segurança a ser observado;
    • Atualizar o registro de atividades de tratamento de dados (ROPA ou RIPD) da A1 juntamente com o Encarregado;
    • Documentar e registrar as decisões.

    2ª FASE: CONCEPÇÃO/CRIAÇÃO DO PRODUTO OU SERVIÇO

    • Identificar quais são os dados estritamente necessários para a criação do produto ou serviço;
    • Mapear o ciclo de vida demonstrando o caminho e o papel do dado pessoal durante a execução do produto ou serviço;
    • Comunicar ao Encarregado todo o fluxograma do dado pessoal, durante a execução do produto ou serviço, para registros e atualizações necessárias nos documentos internos e políticas;
    • Garantir o registro e armazenamento de log´s nos aceites dos titulares e ações críticas no sistema;
    • Dar preferência para fatores adicionais de segurança, em especial, para ações críticas;
    • Aplicar mecanismos para mitigar os riscos apresentados na primeira fase;
    • Assegurar os direitos dos titulares previstos e identificados na primeira fase, mediante a incorporação da privacidade ao design e arquitetura dos sistemas;
    • Assegurar a privacidade como padrão do produto e garantir a funcionalidade integral do produto ou serviço sem prejuízo à privacidade do titular;
    • Assegurar que as Políticas e documentos internos foram atualizados antes do lançamento do produto ou serviço ao mercado;
    • Manter o registro e controle de qualquer compartilhamento desses dados, seja com provedores de armazenamento, hospedagem, clientes, etc.;
    • Exigir de terceiros, que estejam envolvidos na criação/desenvolvimento de produtos ou serviços, regras e condições mínimas de segurança e privacidade;
    • Adotar linguagem simples e clara aos titulares;
    • Coletar consentimentos prévios dos titulares, se necessário;
    • Utilizar parceiros, fornecedores ou ferramentas que garantam medidas técnicas e administrativas necessárias à proteção de dados pessoais.

    3ª FASE: DURANTE A UTILIZAÇÃO DO PRODUTO OU SERVIÇO

    • Garantir a segurança do titular mediante, por exemplo, a utilização de: tokens para autenticação de usuários, duplo fator de autenticação, utilização de senhas seguras e troca periódica obrigatória, registros de log´s de acesso, alteração, download;
    • Manter o canal de atendimento aos titulares preservando, de tal forma, o livre acesso e transparência;
    • Comunicar quaisquer alterações de finalidades, destinações ou propósitos dos dados coletados ao Encarregado previamente;
    • Realizar testes periódicos de segurança nos processos do serviço ou produto;
    • Reavaliar e analisar os controles aplicados aos riscos e seus indicadores;
    • Realizar auditorias nos terceiros parceiros, ao menos os mais críticos;

    4ª FASE: CANCELAMENTO, DESATIVAÇÃO OU DESISTÊNCIA DO PRODUTO OU SERVIÇO  

    Nos casos em que o produto ou serviço seja interrompido ou o cliente/titular manifeste a intenção de descontinuar sua utilização, é necessário que a A1 assegure que:

    • Os dados e registros do uso do serviço ou produto sejam mantidos por prazo determinado e adequado;
    • Após esse prazo, os dados deverão ser descartados ou anonimizados;
    • Em caso de envolvimento de terceiros durante a execução do produto ou serviço é necessário que esses também realizem o descarte ou anonimize os dados;
    • Que os dados coletados durante a utilização do produto ou serviço, não sejam utilizados para outras finalidades não lícitas.

    Contato: privacidade@a1consulting.com.br

    Deixe um comentário

    O seu endereço de email não será publicado. Campos obrigatórios marcados com *