Os Impactos da LGPD em Produtos Digitais: parte 2

No primeiro artigo desta série, explicamos o principal objetivo da Lei Geral de Proteção de Dados: dar maior controle aos titulares sobre os seus dados e sobre como eles serão tratados. Conceituamos dados pessoais, sensíveis e anonimizados; diferenciamos controlador, operador e encarregado; e elencamos os dez princípios da LGPD.

Neste segundo e último artigo, falaremos sobre o impacto da Lei na construção de produtos digitais como aplicativos e sistemas, e as suas implicações em algoritmos e na experiência de usuários. Vamos lá?

Privacidade e Segurança Desde o Início

A LGPD já está em vigor no Brasil e, portanto, todos os produtos digitais precisam atender as suas diretrizes. Por isso, é necessário criar termos de privacidade e segurança transparentes, claros e objetivos, afim de informar usuários sobre o uso que será feito dos seus dados.

Para que esses termos sejam criados da forma correta, é essencial incluir – desde o início do processo de desenvolvimento – algumas etapas voltadas a segurança de dados. São elas:

• De acordo com a área de mercado do produto digital, avaliar a necessidade de um apoio jurídico quanto a privacidade e integridade de dados – aplicativos médicos, por exemplo, possuem dados sensíveis que devem ser resguardados;
• Mapear quais dados são necessários ao uso daquele produto digital e solicitar somente esses aos usuários, sem a criação de mecanismos de captação de informações adicionais;
• Explicar com qual finalidade tais dados serão usados e em qual momento da jornada, tanto para aprimorar a experiência do usuário, quanto para a venda de dados com objetivos publicitários;
• Avaliar se é necessário compartilhar os dados colhidos com outros softwares e, se for o caso, solicitar que os detentores desses garantam a privacidade e segurança dos dados aos usuários.

Para seguir essas etapas, é importante que o negócio contrate profissionais que compreendam a LGPD em sua totalidade; ou que treinamentos sejam realizados para que todas as pessoas envolvidas na criação do produto digital estejam cientes sobre o assunto. Estamos no início da implementação da Lei no Brasil e existem muitas dúvidas sobre o tema. Portanto, quanto maior o número de profissionais capacitados, menor a chance de descumprimento e eventuais penalidades.

Microsoft Security Development Lifecycle

Outra possibilidade de buscar adequação à LGPD é adotar modelos de criação de produtos digitais que incentivem ações relacionadas à segurança de dados. O Microsoft Trustworthy Computing Security Development Lifecycle é um exemplo que integra questões de privacidade de dados em todas as fases do desenvolvimento de software.

Apesar de ter sido lançado em 2002, o conjunto de doze práticas é atualizado constantemente e continua a oferecer apoio para que pessoas desenvolvedoras criem softwares mais seguros, reduzindo o número e a gravidade de possíveis vulnerabilidades. São algumas de suas práticas:

• Proporcionar Treinamento sobre segurança a todos os integrantes dos times de desenvolvimento, pois “segurança é um trabalho de todos”;
• Definir Requisitos de Segurança do produto digital, preferencialmente nas etapas inicias de desenvolvimento – estão relacionados a requisitos legais e do setor, padrões internos e práticas de codificação, revisão de incidentes anteriores e ameaças conhecidas;
• Definir Métricas e Relatórios de Conformidade para garantir que todos compreendam os níveis mínimos aceitáveis de segurança e os limites de gravidade das vulnerabilidades – esses KPIs devem ser acompanhados ao longo do projeto;
• Definir Padrões de Criptografia para garantir que todos os dados, inclusos informações confidenciais e dados de gerenciamento e controle, estejam protegidos contra divulgação ou alteração não intencional quando estiverem sendo transmitidos ou armazenados.

O Microsoft SDL conta ainda com outras oito práticas que envolvem testes, definição de requisitos de design, uso de ferramentas seguras e determinação de processos de resposta a incidentes. Para saber detalhes, acesse:­ https://www.microsoft.com/en-us/securityengineering/sdl/practices.

Modelo resumido do Microsoft SDL. Fonte: http://csharptuning.blogspot.com/2008/12/microsoft-security-development.html

Criptografia Mais Segura

Falando em padrões de criptografia, você sabe que existem algoritmos que colhem informações sobre o seu comportamento online, certo? Eles são programados dessa forma para, por meio de Machine Learning, oferecer experiências personalizadas para cada usuário, indicando as melhores notícias, músicas, filmes, propagandas, etc., de acordo com o perfil ou com a probabilidade de engajamento com aquele tipo de conteúdo.

Tais dados colhidos são criptografados e, para que seja possível extrair deles informações úteis, é preciso descriptografá-los. Nesse processo, além de ser necessário um grande recurso computacional, há a probabilidade de vazamento de dados, pois tal processamento é realizado em servidores externos (nuvem), sobre os quais normalmente não há controle.

Com a LGDP, a ideia é que tais algoritmos sejam criados de forma a garantir a privacidade do usuário, ou seja, a proteção dos seus dados. Esse é um dos motivos pelo qual a criptografia homomórfica tem ganhado espaço. Ela permite o trabalho de dados criptografados sem a necessidade de descriptografá-los, o que garante a sua integridade e confidencialidade e torna a tecnologia atrativa para produtos digitais variados.

Perceba na imagem abaixo que, na criptografia homomórfica, além da manutenção da integridade do dado, ele retorna ao usuário em menor tempo, pois o recurso computacional necessário é menor.

Diferença entre criptografia comum e homomórfica. Fonte: https://www.welivesecurity.com/br/2019/09/06/criptografia-homomorfica-um-esquema-de-criptografia-cada-vez-mais-usado/

Privacidade é um Problema de Todos

Essas são algumas possibilidades para trabalhar a adequação da Lei Geral de Proteção de Dados em produtos digitais. De acordo com o tamanho e a capacidade do seu negócio, você poderá direcionar maiores ou menores esforços nesse sentido.

O importante é construir uma nova mentalidade nos times de desenvolvimento em relação à privacidade dos dados das pessoas. Esse tema deve estar em discussão desde as primeiras conversas sobre o projeto, afinal, cada usuário tem o direito de saber como e porque suas informações serão usadas.

Primeiro artigo desta série: Os impactos da LGPD em Produtos Digitais: parte 1