+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

Framework de Privacidade sob a ótica do NIST

Conformidade, Proteção e Privacidade de Dados

   Boas Práticas Gestão de Riscos LGPD NIST    outubro 17, 2024  |  0

É indiscutível que as normas técnicas e demais documentos da International Organization for Standardization (ISO) são amplamente difundidos pelo mundo. E eu, com mais de vinte anos em contato com algumas delas, me tornei um apaixonado, colaborador e contribuidor para a adoção de algumas normas técnicas da ISO/ ABNT em organizações de todos os tamanhos, públicas e privadas. Mas existem outras referências que convém que sejam visitadas, como, por exemplo, os documentos produzidos pelo National Institute of Standards and Technology (NIST), do Departamento de Comércio dos Estados Unidos.

Hoje, trarei uma visão da privacidade sob a ótica do NIST. O framework de privacidade do NIST foi fundamentado na transparência, consenso e stakeholders públicos e privados. Além disso, este framework também adota conceitos como privacy by design.

O framework de privacidade do NIST segue a estrutura do Framework de Cybersecurity deste mesmo instituto, de modo a facilitar a integração de ambos. A estrutura do framework de privacidade é composta por três pilares:

  • Núcleo (core): o núcleo permite um diálogo do nível estratégico (executivo) com os níveis tático e operacional (de implementação/operações), sobre atividades importantes de proteção à privacidade e os resultados desejados;
  • Perfis (profiles): os perfis permitem a priorização dos resultados e atividades que melhor atendam aos valores de privacidade organizacional, às necessidades de missão ou aos negócios e riscos;
  • Níveis de Implementação (implementation tiers): os níveis de implementação apoiam a tomada de decisão e a comunicação sobre a suficiência de processos e recursos organizacionais para gerenciar riscos de privacidade.

Encontrar os melhores caminhos para o tratamento de dados pessoais e, ao mesmo tempo, zelar pelas boas práticas e gestão de riscos à privacidade dos indivíduos (titulares) não é trivial e tão pouco significa que a adoção de soluções one-size-fits-all seja indicada ou seja suficiente.

A abordagem do Privacy Framework do NIST quanto ao risco de privacidade é considerar os eventos de privacidade como sendo problemas potenciais que podem afetar os titulares destes dados pessoais e que são decorrentes de operações de sistemas, produtos ou serviços contendo dados pessoais, seja em formato digital ou não, no decorrer do ciclo de vida completo, desde a coleta de dados até o descarte.

O Privacy Framework descreve as operações com dados pessoais, de maneira singular, como sendo uma ação de dados (pessoais), e coletivamente, como processamento de dados (pessoais – tratamento de dados pessoais, à luz da LGPD), conforme descrito a seguir:

  • Ação de Dados: uma operação de ciclo de vida referente a dados, incluindo, dentre outros, coleta, retenção, registro, geração, transformação, uso, divulgação, compartilhamento, transmissão e descarte;
  • Processamento de dados: o conjunto coletivo de ações referentes aos dados.

As organizações podem adotar a gestão de risco de privacidade através de um conjunto de processos, entre organizações, que ajudam a entender como os seus sistemas, produtos e serviços podem criar situações indesejadas para os indivíduos e como podem desenvolver soluções eficazes para gerenciar tais riscos. A avaliação de risco de privacidade é um subprocesso para identificar e avaliar riscos específicos de privacidade. Nas normas técnicas ISO/ ABNT 27005 e 31000, o processo de avaliação de risco engloba: a identificação, a análise e a avaliação. A avaliação de riscos auxilia as organizações a colocarem na balança os benefícios e os riscos, auxiliando-as a refletirem sobre os seus apetites de riscos, levando-se em consideração as possíveis aceitações destes.

Em linhas gerais, ao se deparar com o resultado de uma avaliação de risco, uma organização pode responder de quatro maneiras:

  • Mitigação do risco: as organizações podem adotar medidas técnicas e/ou normativas referentes aos sistemas, produtos ou serviços que minimizem o risco a um grau aceitável;
  • Transferência ou compartilhamento do risco: os contratos representam uma maneira de compartilhar ou transferir riscos para outras organizações, sendo que os avisos de privacidade e os mecanismos de consentimento ou a adoção de outras hipóteses legais são um meio de compartilhar riscos;
  • Prevenção do risco: as organizações podem determinar que os riscos superam os benefícios e, portanto, abandonam ou encerram o tratamento daqueles dados pessoais; ou
  • Aceitação do risco: as organizações podem determinar que os problemas para os indivíduos são mínimos ou improváveis de ocorrer, portanto, os benefícios superam os riscos, não sendo necessário investir recursos em mitigação.

As avaliações de risco de privacidade são particularmente importantes porque, conforme observado acima, a privacidade é uma condição que oferece salvaguardas a múltiplos valores. Avaliações de risco de privacidade podem ajudar uma organização a entender, em um determinado contexto, os valores a serem protegidos, os métodos a serem adotados e como equilibrar a implementação de diferentes tipos de medidas.

Em suma, as avaliações de risco de privacidade permitem que as organizações diferenciem o risco de privacidade do risco de conformidade. Isso significa verificar se o tratamento de dados pessoais pode causar impactos negativos para os indivíduos, mesmo quando a organização está em compliance com as leis e regulamentos vigentes, facilitando decisões éticas relacionadas ao sistema, produto, ou ao design e implementação de serviços.

Informações básicas sobre o Privacy Framework

O Privacy Framework oferece uma linguagem comum para que se possa entender, gerenciar e comunicar riscos de privacidade com as partes interessadas internas e externas (stakeholders). Cabe destacar que este framework é adaptável às funções de qualquer organização no ecossistema de tratamento de dados pessoais.

Núcleo (core)

Quando retornamos ao pilar Núcleo, ele engloba funções, categorias e subcategorias, conforme a Figura 1, a seguir:

Figura 1: Estrutura do Núcleo do Privacy Framework

As funções organizam as atividades fundamentais de privacidade em seu mais alto nível. Elas ajudam uma organização a expressar a sua gestão do risco de privacidade, ao entender e gerenciar o tratamento de dados pessoais, possibilitando decisões concernentes à gestão de risco, e ao determinar como interagir com os indivíduos, além de estabelecer melhorias ao aprender com atividades anteriores. As funções estão descritas, a seguir:

  • Identificar P: Desenvolve o entendimento organizacional para gerenciar riscos de privacidade de indivíduos decorrentes do tratamento de dados pessoais;
  • Governar-P: Desenvolve e implementa a estrutura de governança organizacional para permitir uma compreensão contínua das prioridades de gestão de riscos da organização que são transmitidas pelo risco de privacidade;
  • Controlar-P: Desenvolve e implementa atividades adequadas para permitir que organizações ou indivíduos gerenciem dados pessoais com granularidade suficiente para gerenciar riscos de privacidade;
  • Comunicar-P: Desenvolve e implementa atividades adequadas para permitir que organizações e indivíduos tenham uma compreensão confiável e permaneçam engajados em um diálogo sobre como os dados são processados, além dos riscos de privacidade a eles associados;
  • Proteger-P: Desenvolve e implementa as devidas salvaguardas para o processamento de dados.

Perfis (profiles)

Sobre o pilar Perfis, trata-se de uma seleção de Funções, Categorias e Subcategorias específicas do Núcleo que foram priorizadas por uma organização para auxiliá-la no gerenciamento do risco de privacidade. Os perfis podem ser usados para descrever a situação atual e a situação-alvo desejada para as atividades de privacidade específicas. Um Perfil Atual indica resultados de privacidade que uma organização está conseguindo atualmente, enquanto um Perfil-Alvo indica os resultados necessários para se alcançar os objetivos desejados de gerenciamento de risco de privacidade. As diferenças entre os dois perfis permitem que uma organização identifique lacunas, desenvolva um plano de ação para melhorar e avalie os recursos que seriam necessários (ex: pessoal, financiamento) para alcançar os resultados de privacidade.

Ao desenvolver um perfil, a organização pode selecionar ou adaptar as funções, categorias e subcategorias para satisfazer necessidades específicas, incluindo o desenvolvimento das suas próprias funções, categorias e subcategorias para acomodar riscos organizacionais exclusivos. Uma organização determina quais são essas necessidades tendo em mente a sua missão ou objetivos de negócio, valores de privacidade, apetite ao risco, funções no ecossistema de processamento de dados ou setor da indústria, requisitos legais/ regulatórios e melhores práticas do setor, prioridades de gerenciamento de riscos e recursos, bem como necessidades de privacidade dos indivíduos que são servidos ou afetados direta ou indiretamente pelos sistemas, produtos e serviços da organização.

Níveis de Implementação (Implementation Tiers)

Os níveis oferecem apoio à tomada de decisão organizacional sobre como gerenciar riscos de privacidade levando em conta a natureza de tais riscos gerados pelos sistemas, produtos ou serviços de uma organização e a suficiência dos processos e recursos que vigoram em uma organização para que ela possa gerenciar os riscos.

Mapeamento para Referências Informativas

As referências informativas representam mapeamentos para as subcategorias que oferecem suporte de implementação, incluindo mapeamentos de ferramentas, orientação técnica, normas, leis, regulamentos e melhores práticas. As descrições comparativas que mapeiam as provisões sobre normas, leis e regulamentos referentes às subcategorias podem ajudar as organizações a determinar quais são as atividades ou resultados que devem ser priorizados para facilitar o compliance. O Privacy Framework é neutro em tecnologia, mas apoia a inovação tecnológica, já que qualquer organização ou setor da indústria pode desenvolver esses mapeamentos conforme a tecnologia e as necessidades de negócios relacionados evoluem.

Aumentando o Nível de Accountability

A Accountability é geralmente considerada um princípio fundamental em se tratando de privacidade, embora conceitualmente não seja usada exclusivamente para a privacidade. A responsabilização ocorre em toda a organização e pode ser expressa em vários níveis, como governança organizacional, processos e procedimentos operacionais e controles em nível técnico. Quando as partes interessadas exigem responsabilização, elas esperam que as organizações demonstrem como gerenciam as operações e os resultados relacionados a dados pessoais. A Figura 2 ilustra a colaboração e fluxos de comunicação dentro de uma organização.

Figura 2: Colaboração abstrata e fluxos de comunicação dentro de uma organização

A implementação do Privacy Framework do NIST oferece às organizações uma abordagem estruturada e eficaz para gerenciar os riscos de privacidade associados ao tratamento de dados pessoais. Ao integrar as funções, perfis e níveis de implementação do framework, as organizações podem não apenas garantir a conformidade com legislações relevantes, como a LGPD, mas também promover uma cultura de responsabilidade e transparência em relação à privacidade.

Próximos Passos

1. Avaliação Inicial: Realizar uma avaliação detalhada das práticas atuais de privacidade da organização, identificando lacunas e áreas que necessitam de melhorias. Isso inclui revisar políticas, procedimentos e controles existentes em relação ao tratamento de dados pessoais.

2. Desenvolvimento de Perfis: Com base na avaliação, criar perfis específicos que reflitam as necessidades e objetivos da organização. Esses perfis devem ser adaptados ao contexto organizacional, considerando fatores como missão, valores, regulamentações aplicáveis e expectativas dos indivíduos.

3. Implementação de Políticas e Processos: Estabelecer políticas e processos claros que atendam às subcategorias identificadas no núcleo do framework. Isso inclui a definição de controles, responsabilidades e fluxos de comunicação para assegurar que todos na organização compreendam e cumpram as normas de privacidade.

4. Treinamento e Conscientização: Promover programas de treinamento contínuo para todos os colaboradores, assegurando que eles estejam cientes das políticas de privacidade e entendam suas responsabilidades em relação à proteção de dados pessoais.

5. Monitoramento e Melhoria Contínua: Estabelecer um processo de monitoramento regular para avaliar a eficácia das medidas de privacidade implementadas. Isso deve incluir auditorias internas, revisões periódicas e feedback de partes interessadas para identificar oportunidades de melhoria.

6. Engajamento das Partes Interessadas: Fomentar um diálogo aberto com as partes interessadas, incluindo clientes, fornecedores e reguladores, para compreender suas expectativas e preocupações em relação à privacidade. Isso ajudará a fortalecer a confiança e a reputação da organização.

Ao seguir esses passos, as organizações podem não apenas atender às exigências legais, mas também criar um ambiente em que a privacidade é valorizada e respeitada, contribuindo para a construção de relacionamentos duradouros com os indivíduos cujos dados tratam.

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Próximos Eventos

BUSCAR POR MÊS
BUSCAR POR CATEGORIA

© 2024 ACPD Brasil. Desenvolvido por: Support Brasil.

Open chat
Powered by Joinchat
Olá 👋
Como podemos te ajudar?