Você sabe quando a nova LGPD (Lei Geral de Proteção de Dados) irá entrar em vigor? Não? Na verdade, ninguém sabe. Segundo nota da assessoria de imprensa, “o Senado Federal aprovou nesta quarta-feira (26/08) a medida provisória nº 959/2020 que adiava, em seu art. 4º, o início da vigência da LGPD (Lei Geral de Proteção de Dados). Ocorre que o art. 4º, foi considerado prejudicado e, assim, o adiamento nele previsto não mais acontecerá.

No entanto, a LGPD não entrará em vigor imediatamente, mas somente após sanção ou veto do restante do projeto de lei de conversão, nos exatos termos do § 12 do art. 62 da Constituição Federal:

“Art. 62 (…)
§ 12. Aprovado projeto de lei de conversão alterando o texto original da medida provisória, esta manter-se-á integralmente em vigor até que seja sancionado ou vetado o projeto.”

Assim, ressaltamos que a Lei Geral de Proteção de Dados – LGPD só entra em vigor após a sanção ou veto dos demais dispositivos da MP 959/2020”.

Em resumo, ninguém sabe quando entrará em vigor e pode pegar todas as empresas de surpresa, já que a própria assessoria inicialmente anunciou que a LGDP começaria a valer no dia seguinte, 27/08/2020.

Não seja pego de surpresa!

John Montaña, especialista em Governança da Informação da Access, indica que uma estratégia de Privacy by Design é um excelente caminho para estar em conformidade com leis de proteção de dados.

Mas o que é Privacy by Design? Segundo Montaña, “em sua essência, Privacy by Design é a noção de que os valores de privacidade – e com eles, os requisitos legais associados, limitações e controles, padrões éticos, princípios – todos estão incorporados em sistemas e processos que coletam, usam, processam e armazenam informações pessoais desde o início do processo de conceituação e design.

“É algo chamado como Design Sensível ao Valor – o conceito de que a tecnologia deve ser projetada de uma forma que leve em conta os valores humanos de uma maneira abrangente e baseada em princípios, na qual os valores éticos das partes interessadas diretas e indiretas são construídos no design de um sistema”.

Essa abordagem tem alguns princípios básicos fundamentais específicos para impulsionar seus resultados:

  • SER PROATIVO, NÃO REATIVO; PREVENTIVO, NÃO CORRETIVO
  • PRIVACIDADE EMBARCADA NO DESIGN
  • PRIVACIDADE COMO CONFIGURAÇÃO PADRÃO
  • SEGURANÇA PONTA A PONTA – PROTEÇÃO TOTAL DO CICLO DE VIDA DO DOCUMENTO
  • FUNCIONALIDADE TOTAL
  • VISIBILIDADE E TRANSPARÊNCIA
  • RESPEITO PELA PRIVACIDADE DO USUÁRIO – CENTRADO NO USUÁRIO

O ponto principal de tudo isso é que a abordagem Privacy by Design tem tudo a ver com a prevenção de problemas e riscos, em vez de remediá-los depois que acontecem, e garantir que quaisquer representações feitas às partes interessadas possam ser atendidas. Então, fundamentalmente, é uma união entre design de processo e tecnologia.

A implementação, no entanto, é outra questão. Colocar os princípios em ação e alcançar o verdadeiro conceito de Privacy by Design é uma questão complexa e desafiadora que requer um planejamento abrangente e cuidadoso. Considere em primeiro lugar a lei. A GDPR (General Data Protection Regulation), norma da União Europeia que trata da segurança dos dados privados e na qual a LGPD se baseia, já incorpora a abordagem Privacy by Design em seus requisitos.

Para projetar e implementar um sistema compatível, você deve primeiro analisar e determinar o que esses novos requisitos que chegam com a LGPD realmente significam no ambiente específico que você pretende construir. Isso significa não apenas interpretar os próprios princípios e requisitos de alto nível, mas também compreender plenamente como eles interagem com todas as leis que dizem respeito ao assunto. Isso também significa compreender totalmente seus próprios requisitos e processos internos, incluindo gerenciamento de exceções para itens como retenções legais.

Isso, por sua vez, significa que itens como políticas e procedimentos, cronogramas de retenção de registros e muitas outras coisas também devem ser totalmente desenvolvidas. Lembre-se de que você está construindo um mecanismo para executar algumas regras potencialmente complexas e de alto risco. Se você não entende suas próprias regras desde o início, não é possível construir um sistema que as execute com precisão.

Não caia em armadilhas!

Então, por onde você começar? Em primeiro lugar, evitando uma das armadilhas mais comuns no gerenciamento de informações: comprar ou construir um sistema antes de ter analisado totalmente seus requisitos. Lembre-se, o sistema executa regras. Se você não sabe quais são as regras, certamente não pode construir um sistema que as execute.

Toda essa análise deve ser baseada em especificações funcionais muito detalhadas de exatamente o que o sistema precisa fazer. Só então você pode iniciar o processo de design, sempre mantendo um olho nessa especificação.

“Então aí está”, diz Montaña. “Uma receita rápida, mas completa para construir um sistema usando o conceito de Privacy by Design. Tudo o que você precisa fazer agora é construir”