No primeiro artigo desta série, explicamos o principal objetivo da Lei Geral de Proteção de Dados: dar maior controle aos titulares sobre os seus dados e sobre como eles serão tratados. Conceituamos dados pessoais, sensíveis e anonimizados; diferenciamos controlador, operador e encarregado; e elencamos os dez princípios da LGPD.
Neste segundo e último artigo, falaremos sobre o impacto da Lei na construção de produtos digitais como aplicativos e sistemas, e as suas implicações em algoritmos e na experiência de usuários. Vamos lá?
A LGPD já está em vigor no Brasil e, portanto, todos os produtos digitais precisam atender as suas diretrizes. Por isso, é necessário criar termos de privacidade e segurança transparentes, claros e objetivos, afim de informar usuários sobre o uso que será feito dos seus dados.
Para que esses termos sejam criados da forma correta, é essencial incluir – desde o início do processo de desenvolvimento – algumas etapas voltadas a segurança de dados. São elas:
Para seguir essas etapas, é importante que o negócio contrate profissionais que compreendam a LGPD em sua totalidade; ou que treinamentos sejam realizados para que todas as pessoas envolvidas na criação do produto digital estejam cientes sobre o assunto. Estamos no início da implementação da Lei no Brasil e existem muitas dúvidas sobre o tema. Portanto, quanto maior o número de profissionais capacitados, menor a chance de descumprimento e eventuais penalidades.
Outra possibilidade de buscar adequação à LGPD é adotar modelos de criação de produtos digitais que incentivem ações relacionadas à segurança de dados. O Microsoft Trustworthy Computing Security Development Lifecycle é um exemplo que integra questões de privacidade de dados em todas as fases do desenvolvimento de software.
Apesar de ter sido lançado em 2002, o conjunto de doze práticas é atualizado constantemente e continua a oferecer apoio para que pessoas desenvolvedoras criem softwares mais seguros, reduzindo o número e a gravidade de possíveis vulnerabilidades. São algumas de suas práticas:
O Microsoft SDL conta ainda com outras oito práticas que envolvem testes, definição de requisitos de design, uso de ferramentas seguras e determinação de processos de resposta a incidentes. Para saber detalhes, acesse: https://www.microsoft.com/en-us/securityengineering/sdl/practices.
Falando em padrões de criptografia, você sabe que existem algoritmos que colhem informações sobre o seu comportamento online, certo? Eles são programados dessa forma para, por meio de Machine Learning, oferecer experiências personalizadas para cada usuário, indicando as melhores notícias, músicas, filmes, propagandas, etc., de acordo com o perfil ou com a probabilidade de engajamento com aquele tipo de conteúdo.
Tais dados colhidos são criptografados e, para que seja possível extrair deles informações úteis, é preciso descriptografá-los. Nesse processo, além de ser necessário um grande recurso computacional, há a probabilidade de vazamento de dados, pois tal processamento é realizado em servidores externos (nuvem), sobre os quais normalmente não há controle.
Com a LGDP, a ideia é que tais algoritmos sejam criados de forma a garantir a privacidade do usuário, ou seja, a proteção dos seus dados. Esse é um dos motivos pelo qual a criptografia homomórfica tem ganhado espaço. Ela permite o trabalho de dados criptografados sem a necessidade de descriptografá-los, o que garante a sua integridade e confidencialidade e torna a tecnologia atrativa para produtos digitais variados.
Perceba na imagem abaixo que, na criptografia homomórfica, além da manutenção da integridade do dado, ele retorna ao usuário em menor tempo, pois o recurso computacional necessário é menor.
Essas são algumas possibilidades para trabalhar a adequação da Lei Geral de Proteção de Dados em produtos digitais. De acordo com o tamanho e a capacidade do seu negócio, você poderá direcionar maiores ou menores esforços nesse sentido.
O importante é construir uma nova mentalidade nos times de desenvolvimento em relação à privacidade dos dados das pessoas. Esse tema deve estar em discussão desde as primeiras conversas sobre o projeto, afinal, cada usuário tem o direito de saber como e porque suas informações serão usadas.
Primeiro artigo desta série: Os impactos da LGPD em Produtos Digitais: parte 1
26 de setembro de 2024
16 de agosto de 2024