Privacy by Design e as Demandas de TI

É comum ver e ouvir sobre proteção e privacidade de dados, no Brasil com a LGPD em questão, na Europa a GDPR com seus mais de 2 anos completos. São várias questões sobre direitos do titular, finalidades, bases ou princípios para tratamento de dados, todo aquele “juridiquês” que o pessoal da TI, eu me incluo aqui, normalmente não está familiarizada. Mas, no dia a dia, onde o calo vai apertar nas equipes de TI das empresas?

Foi nesse momento que percebi que na TI o portão de entrada para as solicitações de desenvolvimento, alterações, atualizações são as demandas, nesse momento revisar o processo de gerenciamento de demandas de TI é um trabalho importante da TI na adequação da empresa as leis de proteção e privacidade de dados pessoais.

A GDPR já pensando nesses quesitos já introduz os conceitos chamados de “Privacy by Design” e “Privacy by Default”, esses conceitos já servem como um guia, uma estrutura para a TI trazer uma nova atividade para o processo de gerenciamento da demanda.

“Privacy by Design” e a Demanda.

Todas etapas da demanda agora devem olhar para a privacidade dos dados pessoais como prioridade, a proteção e privacidade desses dados é parte do todo dessa entrega e está sendo observada em toda a concepção do produto. Em cada etapa da demanda a privacidade dos dados pessoais estão em primeiro plano nas discussões, a segurança deve está em mente desde o planejamento até a execução, implementação e na sustentação do produto.

Nossas demandas de TI têm que, agora mais do que nunca, envolver o time de Segurança da Informação no planejamento das demandas, o time de desenvolvimento tem de estar alinhado com os conceitos de desenvolvimento seguro. Levar o conceito de privacidade dos dados pessoais embutido na análise de todas as solicitações demandas pelas áreas de negócio de uma empresa.

E o “Privacy by Default”?

O olhar da privacidade como um padrão, ou seja, em tudo que envolver dados pessoais as configurações têm de ser no modo mais restritivo possível, respeitando a real finalidade e necessidade da coleta de dados pessoais, dando ao titular total transparência dos dados coletados e a possibilidade de consentir o tratamento de mais dados pessoais que por ventura possam ser necessários para o serviço ou produto.