Privacidade de dados para o profissional da informação: um passo a passo

A privacidade de dados não é apenas uma série de etapas ou tarefas que você faz; é uma filosofia que orienta o que você faz para implementar um programa de privacidade. Portanto, adotar essa filosofia é o ponto de partida para o profissional da informação superar os desafios de conformidade que vão surgindo conforme o volume de dados cresce.

Atualmente, se você está no campo de controle de informações. E, a menos que sua organização esteja muito à frente da curva – ou tão longe que você nem saiba que é uma preocupação – provavelmente há muita discussão sobre o que você deve fazer para colocar sua organização em conformidade com a privacidade.

O conceito principal por trás da privacidade como questão legal e de conformidade é que praticamente todas as informações sobre uma pessoa pertencem àquele indivíduo que, dentro de limites muito amplos, tem o direito de controlar como é usado. Parece bastante simples, mas há consequências profundas que derivam dessa filosofia, principalmente com a entrada, em data ainda a ser confirmada por conta da pandemia do coronavírus, da LGPD (Lei Geral de Proteção de Dados).

A privacidade nunca é única

Lembre-se de que a conformidade com a privacidade não é um ato único, algo que você faz ou implementa e depois não pensa mais nisso. A privacidade é mais uma posição filosófica que você deve adotar, o que gerará resultados em uma ampla variedade de processos, tecnologias e repositórios de dados. Alguns são processos e documentos padrão, como retenção de registros e tabelas de temporalidade.

Mas muitos outros, como a necessidade de fornecer divulgações, obter permissões antes de coletar dados pessoais e definir períodos de retenção, podem ser novos para sua organização e podem exigir que você desenvolva processos desconhecidos e implemente ferramentas novas ou revisadas.

Reter e proteger informações

Você não pode simplesmente manter as informações pessoais para sempre, armazenadas em um banco de dados ou arquivo e, portanto, você deve ter uma tabela de temporalidade e um cronograma de retenção. Você pode precisar descobrir como aplicar essa programação em um sistema eletrônico que pode não ser muito bom em retenção ou em um sistema de arquivamento físico sem controle caso não conte com um parceiro de gestão documental, capaz de entregar eficientes soluções.

E depois há problema do acesso: sua política de privacidade de dados deve conter restrições de acesso, especificando quem tem permissão para analisar as informações e por quê. A própria natureza das informações – digamos informações médicas pessoais ou números de contas bancárias – pode implicar claramente a necessidade de restrições de acesso, segurança de dados e similares. De qualquer forma, agora você precisa criar ou alterar alguns processos para garantir proteções razoáveis para os dados. Para outros tipos de informações pessoais, o acesso de autoatendimento às informações coletadas e o controle granular sobre essas informações podem ser ativados pela tecnologia.

Princípios de privacidade de dados

Ao final, existem alguns princípios gerais que devem servir de estrutura para praticamente todas as leis de privacidade de dados:

Se puder ser conectado a um ser humano específico, são informações pessoais. Algumas leis de privacidade contêm listas de informações específicas que são consideradas pessoais, mas muitas, incluindo a LGPD, são muito mais amplas e mais gerais – e o cenário continua mudando. Portanto, não é uma boa ideia supor que esta ou aquela informação pessoal não lhe interessa.

Menos é mais e menos é melhor. Se você não precisar de algumas informações pessoais, em primeiro lugar não as colete. Se você precisou e já terminou, livre-se dos dados. Essa noção de minimização de dados – reduzindo a quantidade de informações pessoais em sua posse – é um princípio central de todas as leis de privacidade de dados.

Em caso de dúvida, divulgue e pergunte. Você nem sempre precisa divulgar porque está coletando informações pessoais e nem sempre é necessário pedir permissão para fazer a coleta. Mas se a permissão é um requisito e você não cumpre, pode estar cometendo um erro muito caro. Nunca é demais divulgar e perguntar.

Ninguém deve ter acesso aos dados, a menos que precise. Privacidade é manter segredos, e não é tão secreto se todos na sua organização puderem ler. Se eles podem acessá-lo agora, isso precisa parar.

Como você pode ver, há muita engenharia de processo e reengenharia envolvidas na garantia da privacidade dos dados, e apenas começamos. O alinhamento do conceito básico de conformidade com a privacidade – solicitando permissão e divulgando os usos dos dados – envolve um esforço substancial e pode exigir um orçamento substancial. Se você estiver implementando um programa de privacidade de dados, tenha isso em mente. A filosofia pode parecer simples, mas a implementação raramente é.

Obviamente, implementar esses princípios simples é imensamente complicado. Enquanto isso, dê uma olhada em sua organização e pergunte até que ponto esses princípios estão sendo implementados no momento. Se houver lacunas, você já terá alguns pontos de partida óbvios para sua nova iniciativa de privacidade.