Além disso, precisam adotar práticas e arquiteturas tecnológicas que considerem a proteção de dados por padrão, denominado de Security by Design, como, por exemplo, a encriptação nativa de dados pessoais quando forem coletados, a guarda segura destes dados em ambientes controlados e seguros, e o acesso controlado dos dados por meios seguros.

​

É recomendável que as empresas sigam quatro etapas fundamentais de segurança:

​

1. A primeira é identificar e realizar o inventário de dados pessoais, incluindo sua classificação, quem controla, quem a processa e como é transferida;

​

2. Gerenciar e avaliar o nível de proteção de dados em todos os envolvidos, sejam próprios ou terceiros;

​

3. Proteger, definir e implantar soluções, políticas e governança de dados em toda a organização;

​

4. Monitorar, controlar e auditar continuamente o nível de proteção, assim como avaliar constantemente possíveis vazamentos internamente e externamente.

​

Privacidade desde o início do projeto

​

Os CIOs (Chief Information Officer) devem agora planejar um ambiente tecnológico que garanta a segurança dos dados e que ao mesmo tempo incorpore ferramentas que ampliem a flexibilidade, a mobilidade, a colaboração e a produtividade.

​

A entrada em vigor da GDPR – lei de proteção de dados implantada pela União Europeia em 2018 – serviu como base para o desenvolvimento de mais um conceito: Privacy by Design, que consiste na ideia de que a privacidade deve estar presente desde o início do planejamento de todos os ambientes tecnológicos e processos de engenharia de aplicativos e páginas na internet, entre outros.

​

Aliás, desenvolvedores de sites de hotéis deveriam estudar mais esse conceito. Testes realizados pela Symantec – parceira da Softline – em sites de 1.500 hotéis, em 54 países, constataram que 67% deles vazam dados de reserva de hóspedes inadvertidamente para sites de terceiros e permitem acesso a dados pessoais, contrariando normas da GDPR e da LGPD.

​

Mas, voltando ao conceito de Privacy by Design, que prega a ideia de que a proteção de dados é melhor aceita quando já está integrada ao ambiente de tecnologia, são sete os seus princípios básicos:

​

- Proativo e não reativo (prevenir e não corrigir) – Prever e antecipar eventos que possam comprometer a privacidade
antes que eles ocorram.

​

- Privacidade como configuração padrão – Por padrão, as configurações referentes à privacidade devem estar definidas considerando a máxima proteção possível da privacidade do usuário.

​

- Privacidade incorporada ao projeto – A proteção dos dados pessoais deve ser pensada como parte indissociável do planejamento do ambiente tecnológico ou da prática de negócio, ou seja, desde a concepção.

​

- Funcionalidade total – Soma positiva e não soma zero – Esse princípio visa assegurar que a proteção de dados pessoais esteja alinhada com os interesses e objetivos legítimos de quem é responsável pelo tratamento dessas informações, sem abrir mão da segurança para obter mais dados. O princípio em questão estabelece uma relação de ganha-ganha entre o titular e os agentes de tratamento de dados.

​

- Segurança de ponta a ponta – A segurança das informações pessoais deve ser garantida durante todo o seu ciclo de vida, desde a sua coleta até a sua destruição ou compartilhamento com um terceiro.

​

- Visibilidade e transparência – Abrange diversos aspectos, como informar ao titular do dado quando e para qual finalidade as suas informações estão sendo coletadas até a abertura da plataforma para realização de auditorias assegurando que as informações pessoais estejam de fato protegidas.

​

- Respeito pela privacidade do usuário (solução centrada no usuário) – Toda a arquitetura e operacionalidade do sistema ou da prática de negócio devem estar centradas na privacidade do usuário, oferecendo medidas robustas de proteção de dados, notificando-o de forma clara e oportuna e tornando as configurações referentes à privacidade amigáveis.

​

No caso da LGPD, o ideal é construir serviços e soluções já fundamentados na segurança. Inclusive já existem aplicações que estão em conformidade com a nova lei, como o Microsoft 365, por exemplo, que unifica a segurança da companhia e produtividade do usuário. A ferramenta permite que todos os processos de determinado documento sejam acessados e monitorados de qualquer lugar e dispositivo.

​

Os desafios de adequar o planejamento de ambientes tecnológicos aos requisitos da LGPD são grandes, com certeza. Mas estar dentro das normas, com regras claras sobre como a sua empresa está realizando a coleta, armazenamento, tratamento e compartilhamento de dados pessoais é uma oportunidade para ganhar competitividade, atraindo e ganhando a confiança dos clientes.

​

​