As novas diretrizes relacionadas aos princípios de Privacy by design e Privacy by default

Notícias da empresa | 10.02.2021

Em outubro de 2020, o Conselho Europeu de Proteção de Dados publicou as novas diretrizes relativas aos princípios de Privacy by design e Privacy by default. Esta necessidade surge da convicção de que a privacidade e a proteção dos dados pessoais são fundamentais e necessárias, especialmente na definição e desenvolvimento de processos operacionais.

Essas novas diretrizes referem-se, em particular, à interpretação do art. 25 do GDPR e o princípio fundamental segundo o qual o desenvolvedor deve compreender plenamente os princípios de proteção de dados pessoais e os direitos e liberdades relacionados, desenvolvendo sistemas adequados e medidas de proteção necessárias para a proteção de dados pessoais e a liberdade de desenvolvimento.

As novas diretrizes elaboram ainda mais os princípios de Privacy by design e Privacy by default, bem como recomendações para desenvolvedores e produtores, a fim de atingir os objetivos de proteção definidos, também por meio da adoção de certificações ad hoc e códigos de conduta.

Os princípios de proteção de dados by design devem ser implementados quando o proprietário define os meios para o tratamento de dados pessoais. Este período refere-se ao momento em que são estabelecidos os meios, métodos e mecanismos que serão utilizados na realização do processamento. É neste momento que o desenvolvedor já deve implementar todas as medidas necessárias para a implementação efetiva da proteção da Privacy by design, levando em consideração fatores como o estado da técnica, o custo das implementações necessárias, a natureza, o propósito, contexto, objetivo e risco. Portanto, num contexto de análise de custo-benefício, o empreendedor deve levar imediatamente em consideração o objetivo da Privacy by design, pois certamente poderia ser muito mais caro intervir posteriormente para sanar um processo já iniciado.

Uma vez iniciado o procedimento, o desenvolvedor ainda tem o encargo de manter o padrão definido, levando também em consideração o nível de risco que pode mudar durante a fase de projeto e obrigando o empresário a reavaliar as medidas de segurança já implementadas.

As novas diretrizes especificam como essa obrigação de manter / supervisionar / adaptar o sistema de Privacy by design e Privacy by default é obrigatória também com referência aos sistemas pré-existentes ao RGPD, que devem, portanto, cumprir as novas diretrizes, se necessário.

“By default” refere-se às escolhas relacionadas às opções de configuração e processamento fornecidas num sistema, como um aplicativo de software. O proprietário deve primeiro definir os motivos pelos quais os dados pessoais são coletados e armazenados. Conclui-se que, by default, o proprietário não pode:

  • coletar mais dados do que realmente necessário;
  • manter os dados por um período de tempo mais longo do que o necessário;
  • processar os dados por motivos além dos previamente autorizados pelo interessado.

No caso dum controlador de dados usar software de terceiros, o mesmo tem o encargo de realizar uma avaliação preventiva de risco do produto, a fim de verificar a sua conformidade com os regulamentos aplicáveis e os objetivos de proteção de dados pessoais dado pelo empresário. Em geral, os processos operacionais devem ser desenvolvidos de forma a processar o mínimo de dados pessoais possível para atingir o objetivo pretendido, inclusive no que se refere a autorizações e acesso ao próprio software.

Em conclusão, as novas diretrizes definem como um sistema eficaz para a implementação de medidas técnicas e organizacionais no contexto da Privacy by design e by default pode ser resumido na identificação dum sistema de dimensionamento e minimização de dados pessoais com referência ao específico objetivo.

Artigos relacionados
Quem somos

Arca24 é uma HR Tech Factory especializada no desenvolvimento de software cloud para o setor de recursos humanos.

Mais artigos da categoria “RGPD para RH”