Para quem trabalha na área de segurança da informação, “privacy by design” não é exatamente uma novidade. Em uma rápida analogia com outra indústria, aplicar o “privacy by design” é como desenhar um novo avião e garantir que todos os controles de segurança de voo estejam já embutidos no projeto logo na concepção. O objetivo é garantir que a aeronave cumpra com todos os requisitos regulatórios, mas, acima de tudo, seja segura suficiente para o transporte aéreo de passageiros.
No setor de TI, o “privacy by design” acontece quando os arquitetos e especialistas em tecnologia já incluem todas as características de proteção dos dados pessoais durante todo o ciclo de desenvolvimento, desenhando controles que sejam implementados de maneira a preservar a privacidade do usuário. Em uma tradução livre, seria a “privacidade como requisito funcional”.
A proliferação das regulações que visam a proteção de dados individuais ao redor do mundo acelerou a definição de uma série de recomendações para adequação das aplicações atuais aos conceitos-chave de privacidade. Isso inclui, claro, a proteção do dado individual e a remoção segura de informações sensíveis.
Com o passar do tempo, os especialistas entenderam que essas características se tornaram requisitos obrigatórios de qualquer nova plataforma ou sistema de informação que venha a manipular dados individuais — daí a ideia da privacidade como requisito funcional e obrigatório do próprio projeto, que, no inglês, convencionou-se como “privacy by design”.
Na prática, o conceito de “privacy by design” se mistura com o próprio conceito de “secure by design”, em que os atributos de segurança se tornam requisitos funcionais do projeto de uma plataforma ou sistema. Essa prática indica que os arquitetos e idealizadores consideraram controles necessários de segurança em todo o ciclo de desenvolvimento da tecnologia.
Em tempos de Lei Geral de Proteção de Dados, a LGPD (Lei nº 13.709/2018), o “privacy by design” é um convite a repensar exclusivamente as características de privacidade como requisitos indissociáveis do projeto. Não só pelo caráter obrigatório das novas regulações, mas principalmente por colocar nas mãos do usuário o controle e a responsabilidade da gestão dos seus dados. Isso permite ao dono dos dados saber exatamente como essas informações serão consumidas por terceiros e empresas, além de garantir que ele possa revogar esse acesso ou remova suas informações sensíveis a qualquer momento, de acordo com sua vontade.
Fundamental para o sucesso do Open Finance
Esse princípio é fundamental também para o sucesso do open finance. Os usuários do sistema financeiro já estão acostumados com a solidez e segurança de uma instituição financeira regulada. Com a “abertura das portas” para um novo ecossistema de cooperação entre instituições reguladas e não reguladas, o usuário precisa ter certeza de que as características de proteção de seus dados pessoais estarão preservadas nesse novo paradigma. É chave para garantir que esse novo conceito ganhe rápida adoção entre os usuários novos e tradicionais.
De acordo com duas pesquisas recentes, uma realizada pela PwC, na Inglaterra, e outra pela EY, no Brasil, mais de 50% dos usuários relataram que sua principal preocupação com a adesão ao open finance é a segurança dos seus dados, especialmente com relação à privacidade. Desta forma, o sucesso da implementação das APIs (do inglês Application Programming Interface) e dos aplicativos desse ecossistema passa necessariamente pela capacidade de demonstrar e garantir essa proteção ao usuário final.
O “privacy by design” tem envergadura para se tornar um novo padrão de qualidade que irá diferenciar os concorrentes entre si e, provavelmente, tem ainda o potencial de se transformar em um critério importante para a escolha do próprio consumidor final.
A maioria das empresas está se preparando de alguma forma para cumprir com suas obrigações frente às novas regulações de privacidade. Entretanto, o “privacy by design” é um tema cultural, que precisa ser inserido na mentalidade dos times de desenvolvimento e projetos. É preciso garantir que o conceito faça parte de todo o ciclo de desenvolvimento, desde as fases iniciais de projeto, passando pelo desenvolvimento da tecnologia, testes funcionais até a garantia da entrega dos controles na produção. É necessário ainda que sua eficácia será preservada ao longo de todo o tempo de vida.
Desafios para a trilha da privacidade
O maior desafio desse novo ecossistema é a sua característica de ampla abertura. Diferentemente dos sistemas bancários tradicionais, o ecossistema do open finance se mantém vivo com APIs públicas, disponíveis sem restrição para todas as entidades reguladas e, de alguma forma, também para as não reguladas. A principal recomendação é que todos os arquitetos e responsáveis pelo desenvolvimento das tecnologias que participem do ecossistema do open finance utilizem o princípio do “secure by design”.
Tal como aquela analogia do desenvolvimento de uma nova aeronave e os requisitos funcionais de segurança de voo, deve-se empregar os conceitos de segurança logo no início do projeto, considerando que os sistemas serão abertos e consumidos de maneira ampla e pública. Deve-se pensar especialmente em controles de proteção dos dados em toda a camada de transporte até o armazenamento, aliando esses mecanismos com um bom sistema de autenticação forte com múltiplos fatores, seja por meio de senhas de curta duração ou biometria.
Cabe, portanto, aos implementadores também pensar em testes frequentes de segurança, simulando ataques e resolvendo as vulnerabilidades antes que elas sejam expostas ao público em geral. Trilhar esses passos será uma boa estratégia para implantar resiliência, mitigar eventuais ataques e conquistar a confiança dos donos dos dados.