Skip to main content

Aplicar princípios de privacidade de dados

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

  • Listar 10 princípios essenciais de privacidade.
  • Explicar como os princípios podem ser implementados em sua organização.

Princípios de privacidade

Agora que você tem uma boa compreensão do básico sobre privacidade de dados, vamos mergulhar em alguns princípios e em como eles se aplicam à sua organização. Embora os requisitos legais variem globalmente, existem alguns princípios comuns que são a base de muitas leis de privacidade. Vamos nos aprofundar nesses princípios que apresentamos na unidade anterior.

Imparcialidade e transparência

As organizações devem processar dados pessoais legalmente, de forma imparcial e transparente.

Sua organização pode implementar esse princípio processando dados pessoais de acordo com as leis aplicáveis e os compromissos de privacidade ou acordos de nível de serviço (SLAs, Service level agreements) celebrados com seus clientes e usuários finais. Como mencionado acima, também é uma boa ideia publicar uma declaração de privacidade em seu site detalhando quais dados pessoais são coletados na qualidade de controlador de dados e o motivo, incluindo informações coletadas por meio de cookies e análises. Em sua declaração de privacidade, é importante indicar os tipos de informações que você não coletará. Em última análise, independentemente de como recebe os dados de privacidade, você deve obter consentimento antes de processá-los. 

Limitação do propósito

As organizações devem processar dados pessoais apenas para fins especificados, explícitos e legítimos. 

Na sua organização, isso significa que sempre que coletar dados pessoais, você comunicará claramente e será específico sobre como os dados serão usados. Na maioria dos casos, se você quiser usar os dados para algo diferente do que foi comunicado, deverá apresentar uma razão jurídica válida e pedir permissão antes de processá-los.

Minimização de dados

As organizações devem coletar apenas a quantidade mínima de dados necessária para a finalidade de processamento em questão. 

Sua organização não deve coletar dados pessoais, a menos que seja necessário para realizar os serviços oferecidos. De acordo com o Regulamento geral de proteção de dados (RGPD), os dados pessoais serão "adequados, relevantes e limitados ao necessário em relação aos propósitos para os quais são processados", enquanto a Lei de portabilidade e responsabilização de seguros de saúde (HIPAA, Healthcare Insurance Portability and Accountability Act) chama isso de regra do "mínimo necessário".

Então, como funciona a minimização de dados? Digamos que você está criando um aplicativo móvel interno para o ônibus gratuito da sua organização oferecido aos funcionários. Os dados que o aplicativo precisa coletar e processar incluem dados pessoais dos funcionários, como seus endereços residenciais e comerciais e outras informações básicas (ou seja, nome e número de telefone). No entanto, o aplicativo não precisa de informações de data de nascimento, etnia, saúde ou financeiras de um funcionário. Como essas informações adicionais não são necessárias, você não deve coletá-las.

Precisão

Os dados pessoais devem estar sempre corretos e atualizados.

Como provedor de serviços para seus clientes, sua organização precisa garantir que seus sistemas conterão registros precisos e refletirão as alterações dos clientes nos dados quando elas ocorrem. Quaisquer dados considerados imprecisos precisam ter mecanismos para apagá-los ou corrigi-los imediatamente.

Exclusão e retenção de dados

As organizações só devem armazenar dados pessoais pelo tempo necessário e para o propósito originalmente pretendido.

Sua organização não deve manter os dados por tempo indeterminado, mesmo que possam ser usados no futuro. Devem ser estabelecidos prazos claros para quando os dados serão excluídos, com a justificativa desse tempo de manutenção. Por exemplo, você pode precisar reter arquivos de registro de segurança por determinados períodos de tempo para identificar e rastrear comportamentos prejudiciais maliciosos. No entanto, o período ainda deve ser definido e com fundamentação. Você também deve estar ciente das leis de retenção de dados para tipos específicos de dados, como documentos jurídicos, no país onde sua organização presta o serviço em causa.

Segurança

As organizações devem usar medidas de segurança técnicas e organizacionais apropriadas para proteger dados pessoais contra processamento não autorizado, divulgação acidental, perda, destruição e alteração. 

Sua organização precisa garantir que os sistemas de segurança protegerão os dados adequadamente. Você também pode ajudar a proteger os dados que armazena por meio de técnicas de aprimoramento de privacidade. Vamos discutir algumas.

  • Segregação de dados é a divisão de dados em várias categorias de dados com o propósito de dividir ou restringir o acesso a diferentes classes de dados. O uso dessa técnica permite que sua organização crie regras de acesso diferentes para conjuntos de dados ou diferentes grupos de usuários, garantindo que apenas indivíduos autorizados terão acesso.
  • Criptografia é um método de segurança pelo qual as informações são embaralhadas em um formato ilegível que pode ser acessado ou descriptografado apenas por um usuário com a chave correta. A criptografia protege a confidencialidade dos dados.
  • Pseudonimização substitui as informações que podem identificar um sujeito por pseudônimos ou identificadores. Ela reduz a chance de que registros de dados e identificadores pessoais possam identificar um indivíduo.
  • Anonimização é o processo de proteção de informações privadas ou confidenciais apagando, ofuscando (mascarando) ou criptografando-as. Ele remove todos os identificadores associados a uma pessoa.

Outras medidas de segurança podem existir em sua organização para dar suporte à proteção de dados. Recomenda-se que todos os funcionários com acesso a sistemas de computação recebam treinamento sobre privacidade, independentemente do cargo, e leiam e reconheçam políticas de uso aceitáveis para funcionários.

Responsabilidade

Sua organização deve criar políticas e implementar processos que demonstrem que você está em conformidade com leis, regulamentos e princípios sobre privacidade de dados.

Você deve tomar medidas para promover a privacidade por meio da aplicação de design e privacidade por padrão.

  • Privacidade por design: a privacidade por design ocorre quando uma organização começa a planejar um processo novo ou melhorado, ou atividade, ou quando desenvolve um novo produto, serviço ou recurso.

Quando sua organização cria um produto, ela deve considerar políticas e princípios de privacidade durante a fase de planejamento e design. É importante incluir todas as partes interessadas relevantes nesse processo de planejamento e design, além das equipes jurídicas, para garantir que a privacidade será uma prioridade e que sua organização cumprirá a lei.

  • Privacidade por padrão: as organizações devem escolher as configurações padrão que priorizem mais a privacidade na hora de coletar, processar ou armazenar dados pessoais. Por exemplo, se você se inscrever em uma conta de mídia social online e planejar usar um de seus serviços, eles podem dizer que estão em conformidade com o princípio de privacidade por padrão, exigindo apenas seu nome e endereço de email para funcionar. No entanto, se a conta da mídia social começar imediatamente a compartilhar sua localização ou outro dado que não seja nome e endereço de email, eles não estarão aderindo ao princípio da privacidade por padrão.

Direitos individuais

As leis de privacidade também detalham os direitos de um titular de dados sobre seus dados pessoais. Os direitos incluem:

  • Solicitação de acesso ao titular dos dados: os titulares de dados têm o direito de acessar uma cópia de quaisquer dados pessoais que um controlador possua sobre eles e de receber a confirmação de que um controlador está processando seus dados pessoais. Eles também têm direito a detalhes sobre os propósitos do processamento, as categorias que estão sendo processadas, por quanto tempo os dados são armazenados e com quem os dados pessoais foram compartilhados.
  • Direito de oposição: os titulares de dados podem, em certos casos, se opor à forma como seus dados pessoais são usados.
  • Correção de dados: os titulares de dados podem solicitar que seus dados pessoais sejam corrigidos ou completados se estiverem imprecisos ou incompletos.
  • Restrição: os titulares de dados podem solicitar que uma empresa pare de processar seus dados pessoais em circunstâncias limitadas.
  • Direito à exclusão: também conhecido como "o direito de ser esquecido" ou, nos termos do RGPD, o direito ao apagamento, isso permite que os titulares de dados solicitem que um controlador exclua seus dados pessoais sob determinadas condições. Como os EUA são setoriais em relação à privacidade, a maioria das leis de privacidade dos EUA não tem esse direito. Uma exceção é a Lei de proteção à privacidade online das crianças (COPPA, Children’s Online Privacy Protection Act).
  • Portabilidade de dados: quando aplicável ao tipo de processamento, os titulares de dados têm o direito de pedir a um controlador que forneça seus dados pessoais em um formato exportável para que eles possam transmitir seus dados a outro controlador.

A obrigação de sua organização como prestadora de serviços é ajudar seus clientes a gerenciar essas solicitações. Como controlador, você é responsável por cumprir as solicitações dos titulares dos dados, e os sistemas que você usa para gerenciar dados pessoais devem acomodar tais solicitações, incluindo acesso, correção, exclusão e portabilidade.

Transferências internas

Certos países e regiões, como a União Europeia (UE), restringem a transferência de dados pessoais para fora do país ou da região de origem, a menos que o destino tenha implementado proteções suficientes para garantir que os dados são protegidos. Se sua organização opera internacionalmente, você deve implementar medidas que garantam que pode transferir legalmente dados pessoais para lá dessas fronteiras.

Globo com setas indo de um país para outro, que simboliza transferências internacionais de dados

Avaliações de impacto da proteção de dados 

Quando sua organização coleta, armazena ou usa dados pessoais, os indivíduos cujos dados você está processando estão expostos a riscos. Esses riscos vão desde roubo, com a intenção de se fazer passar por um indivíduo, até a divulgação acidental. De acordo com o RGPD, sua organização é obrigada a realizar uma Avaliação de impacto de proteção de dados (DPIA, Data Protection Impact Assessment). De acordo com a Commission Nationale de l'Informatique et des Libertés (CNIL), a DPIA destina-se a avaliar dados, que possam resultar em um alto risco para os direitos e as liberdades das pessoas, e identificar e minimizar esses riscos o mais cedo possível. Sua organização pode querer considerar a realização de uma DPIA antes de iniciar atividades de coleta ou processamento de dados que representem maiores riscos para os titulares de dados.  

Resumo

Agora, você tem uma melhor compreensão dos princípios de privacidade e de como aplicá-los à sua organização. Na próxima unidade, você aprenderá sobre os dados dos clientes e o papel que os guardiões de dados desempenham para protegê-los.

Recursos

Compartilhe seu feedback do Trailhead usando a Ajuda do Salesforce.

Queremos saber sobre sua experiência com o Trailhead. Agora você pode acessar o novo formulário de feedback, a qualquer momento, no site Ajuda do Salesforce.

Saiba mais Continue compartilhando feedback