Objetivo

Estabelecer as diretrizes para a aplicação do conceito de privacidade desde a concepção de qualquer novo produto pela Instituição (Privacy By Design).

1. Concepção de Novos Produtos

O termo “privacy by design” refere-se à metodologia que visa proteger a privacidade do usuário – desde a concepção – de quaisquer sistemas de tecnologia da informação ou de quaisquer práticas de negócio.

A proteção da privacidade deve ser o ponto de partida para o desenvolvimento de qualquer projeto dentro da Instituição, sendo incorporada à própria arquitetura técnica dos produtos ou serviços desenvolvidos.

A Instituição deve aplicar medidas técnicas e organizacionais para assegurar que, por padrão, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica de tratamento.

A privacidade deve ser considerada na determinação da quantidade de dados pessoais coletados, da extensão do tratamento destes dados e dos prazos de retenção dos mesmos. Todos os procedimentos utilizados no processamento destes dados devem estar em conformidade com as legislações e regulamentações aplicáveis.

Toda a manipulação, aquisição ou experimentação de base de dados para a criação de novos produtos ou negócios deve respeitar os procedimentos e diretrizes previstos na Política de Privacidade e Proteção de Dados.

O desenvolvimento de novos produtos ou negócios deve sempre prever a possibilidade de minimização dos Dados Pessoais do titular, nos termos da Política de Privacidade e Proteção de Dados da Instituição.

2. Princípios da Privacidade “by design”

Os seguintes princípios fundamentais para a Privacidade e Proteção de Dados devem ser observados na concepção e design de todos os produtos e negócios da Instituição:

a) Proatividade e Prevenção

A Instituição utilizará metodologias que permitam a sua atuação de maneira proativa no desenvolvimento de novos negócios ou produtos, visando evitar que ações corretivas tenham que ser tomadas, garantindo assim uma maior economia de recursos e ativos da Instituição.

A Instituição deve sempre considerar os direitos do titular de dados em momento anterior à concepção de qualquer tipo de produto ou negócio, prevenindo a ocorrência de incidentes de segurança da informação e de eventuais danos econômicos e reputacionais à Instituição.

b) Privacidade como Configuração Padrão

A Instituição deverá proteger a privacidade do titular como padrão na concepção de seus novos produtos ou serviços. As configurações de qualquer novo produto ou serviço criado pela Instituição serão ajustadas desde o início para preservar os dados pessoais do titular, por meio de permissões específicas para a utilização de novas funcionalidades pelo titular ou através do seu consentimento livre, informado e inequívoco.

Para tal, Instituição fará revisões regulares de seus processos de tratamento que envolvam a criação de novos produtos ou negócios, visando identificar eventuais excessos de coleta e uso inadequado de dados pessoais, ajustando-os de acordo com a legislação e regulamentação de privacidade de dados aplicável.

c) Privacidade Incorporada ao Design

A Instituição incorporará a privacidade do titular de dados na arquitetura de seus produtos e nos seus modelos de negócio desde a sua concepção, visando a redução de danos materiais e imateriais aos negócios da Instituição.

A Instituição aplicará processos periódicos de análises de vulnerabilidade no início de cada projeto, ou seja, desde a sua concepção até a sua implantação e lançamento, devendo adotar medidas para o tratamento de vulnerabilidades identificadas e a minimização de riscos de acesso não autorizado.

d) Funcionalidade Integral

A Instituição considerará de maneira positiva a integração entre os interesses e objetivos legítimos dos titulares de dados com os seus próprios interesses e objetivos legítimos.

O desenvolvimento de novos produtos ou serviços deverá repelir noções ultrapassadas acerca da privacidade e proteção de dados, como supostas incompatibilidades entre segurança e privacidade, entre praticidade e segurança ou entre privacidade e funcionalidade dos produtos.

A privacidade, a segurança, praticidade e funcionalidade deverão ser desenvolvidas de forma integral, adaptadas e incorporadas na concepção de novos produtos e negócios, incluindo:

• O registro das bases legais de tratamento nos sistemas internos da Instituição, de forma a permitir os direitos de acesso do titular às suas informações, conforme descrito na Política de Registros de Logs da Instituição;
• O registro dos formulários de consentimento do titular nos sistemas internos, de forma a permitir a ampla disponibilidade destas informações ao titular, inclusive com a possibilidade de remoção do consentimento, conforme descrito na Política de Registros de Logs da Instituição;

e) Segurança de Ponta a Ponta

A Instituição deve observar a Política de Criptografia para adotar, desde a concepção do produto ou negócio, todas as medidas e procedimentos que possibilitem a proteção dos dados do titular durante todo o ciclo de coleta, tratamento e eliminação destes dados.

f) Visibilidade e Transparência

A Instituição deve gerir suas políticas e procedimentos relacionados à Privacidade e Proteção de Dados Pessoais de forma clara e transparente, de forma a promover a confiança da empresa perante os titulares de dados pessoais, bem como estabelecer boas práticas de colaboração com empresas parceiras, fornecedores e demais partes interessadas.

g) Respeito pela Privacidade do Usuário

A Instituição colocará os interesses e objetivos legítimos do titular de dados no centro de todas as suas condutas e decisões, garantindo a existência de instrumentos de materialização do consentimento do titular e de outros dos seus direitos previstos na legislação ou regulamentação aplicáveis.

O desenvolvimento de novos produtos e serviços levará em conta a privacidade do titular de dados pessoais como o principal fator de garantia contra incidentes de segurança da informação.