O artigo “7 Laws of Identity: The Case for Privacy-Embedded Laws of Identity in the Digital Age” de Ann Cavoukian, Ph.D., oferece uma visão profunda e perspicaz sobre a importância da privacidade e identidade em nossa era digital em constante evolução.
O documento, realiza uma atualização das Leis de Identidade permeadas pela privacidade, em especial, pelo Fair Information Practices (Práticas Justas de Informação).
Pode-se perceber também, uma intrínseca relação com Privacy by Design, ou Privacidade desde a concepção, framework desenvolvido por Cavoukian enquanto Comissária de Informação e Privacidade da Província de Ontário, que recentemente foi acentuado com a criação da norma ISO 31700, adotada a partir de fevereiro de 2023.
O objetivo deste artigo é demonstrar, de forma breve, a aplicabilidade de controles dispostos na norma ISO para a implementação das 7 Leis de Identidade no programa de governança em privacidade de uma organização.
Com esse foco, elencamos três tópicos: 1. O que são as 7 Leis da Identidade? 2. A nova ISO 31700 e o Privacy By Design. 3. Controles da ISO 31700 aplicados.
O que são as 7 Leis da Identidade?
A era digital trouxe consigo inúmeras inovações tecnológicas que transformaram a maneira como vivemos, trabalhamos e nos conectamos. No entanto, esse avanço tecnológico também levanta questões significativas sobre a privacidade e a proteção dos dados pessoais.
O surgimento de tecnologias de identidade digital é, sem dúvida, um avanço e facilitador universal para identificar pessoas. Contudo, devemos ser cautelosos para que um sistema interoperável de identidade não seja distorcido e se torne uma estrutura de vigilância (CAVOUKIAN).
Dessa forma, as 7 Leis da identidade foram formuladas em um blog aberto de especialistas sob a liderança de Kim Cameron, o então chefe de arquitetura da identidade da Microsoft, no ano de 2005.
A Professora Ann Cavoukian, reformulou as Leis de Identidade, ou, os também chamados de Princípios Tecnologicamente Necessários no Gerenciamento de Identidade, que podem servir como base para um sistema de identidade digital mais seguro e centrado na privacidade. Estas leis são:
- LEI 1: Controle pessoal e Consentimento
- Sistemas técnicos de identificação devem apenas revelar informações que identificam um usuário com o consentimento do próprio usuário. O controle pessoal é fundamental para a privacidade, assim como a liberdade de escolha. O consentimento é fundamental para ambos.
- LEI 2: Divulgação mínima para uso limitado: Minimização de dados
- O sistema de identidade deve divulgar a menor quantidade de informações identificáveis possível, pois essa é a solução mais estável e de longo prazo. Além disso, é a solução que oferece a maior proteção à privacidade.
- LEI 3: Partes Justificáveis: Acesso apenas a quem precisa saber
- Os sistemas de identidade devem ser projetados de forma que a divulgação de informações identificáveis seja limitada às partes que necessitem e seja justificável seu acesso. Isso está de acordo com a imposição de limitações na divulgação de informações pessoais e permitindo o acesso apenas com base na necessidade de saber.
- LEI 4: Identidade Direcionada: Proteção e Responsabilidade
- Um sistema de identificação universal deve ser flexível e respeitar a privacidade das pessoas. Os identificadores que usamos online podem ser secretos, usados apenas entre nós e quem estamos conversando, ou públicos, fornecidos por entidades confiáveis para confirmar nossa identidade. Isso ajuda a manter nossas informações pessoais seguras e controladas.
- LEI 5: Pluralismo de operadores e tecnologias: minimizando a vigilância
- A interoperabilidade de diferentes tecnologias de identidade e seus provedores deve ser possibilitada por um sistema de identidade universal. Isso oferece aos usuários mais opções e controle sobre os meios de identificação em diferentes contextos, minimizando o rastreamento indesejado e a criação de perfis com base em informações pessoais obtidas por meio da vigilância em diversos sites.
- LEI 6: A Face Humana: Entendimento é a chave
- Os usuários devem desempenhar um papel relevante em qualquer sistema, sendo integrados por meio de comunicações claras. Isso promoverá o controle do usuário, mas somente se os usuários realmente entenderem. Portanto, uma linguagem simples em todas as comunicações usadas para interagir com indivíduos é fundamental para o entendimento e maior proteção.
- LEI 7: Experiência consistente em diversos contextos: maior empoderamento e controle do usuário
- O sistema de identificação universal deve ser fácil de usar e consistente. Ele deve permitir que os usuários controlem suas informações em diferentes lugares. Isso significa que as pessoas têm o poder de decidir quem pode ver suas informações. Ter opções claras e controles ajudam o indivíduo a tomar decisões informadas sobre suas informações pessoais e a ter mais controle sobre elas.
(Tradução por: Matheus Bicca)
Como pode-se observar, esse framework busca empoderar o usuário do sistema de identidade, ou seja, a própria pessoa identificada. Trazendo orientações que, se aplicadas, devem garantir o controle dos dados pelo titular da informação.
A nova ISO 31700 e o Privacy By Design
Com um bom entendimento, pode-se auferir que as 7 Leis da da Identidade, possuem extrema correlação com o Privacy by Design – PbD, tendo em vista que seus sete princípios são:
- Proativo, não reativo; preventivo, não reparador.
- Privacidade como padrão.
- Privacidade incorporada ao design.
- Funcionalidade total: soma positiva, não soma zero.
- Segurança de ponta a ponta – proteção completa do ciclo de vida.
- Visibilidade e transparência.
- Respeito pela privacidade do usuário – ele está no centro de tudo.
A abordagem do PbD é fundamental e essencial ao criar e desenvolver tecnologia, modelos de negócios ou infraestrutura física. De acordo com esse conceito, a privacidade deve ser integrada ao produto ou serviço desde o início, evitando a necessidade de ajustes ou correções posteriores que podem ser dispendiosos e pouco eficazes.
Nesse sentido, em fevereiro de 2023 foi publicada a nova norma ISO 31700, que visa dar diretrizes para organizações de como realizar a aplicação prática do PbD.
É entendimento deste autor, que diante das correlações existentes entre o Privacy By Design e as 7 Leis da identidade, podemos utilizar alguns controles disponibilizados pela norma ISO, para a aplicação em sistemas universais de identidade digital.
Exemplos de Controles da ISO 31700 aplicados à Identidade Digital
No intuito de melhor ilustrar, utilizaremos de exemplos práticos onde a aplicação da ISO 31700, e consequentemente, do Privacy By Design, podem trazer valor para mitigação de riscos de privacidade em sistemas de identificação digital.
Exemplo n°1:
Quanto à utilização indevida de dados, ou o uso ético de dados por funcionário da empresa de fornecimento da ID digital.
Lei de identidade: LEI 6: A Face Humana: Entendimento é a chave.
Princípio de Privacy By Design: Visibilidade e transparência.
Controle ISO 31700 aplicável: 5.2 Fornecimento de informação de privacidade.
Aqui, o ponto central é quanto à informar ao usuário exatamente a forma como seus dados estão sendo tratados.
Exemplo n°2:
Para que sua identidade seja utilizada e enviada a outros ambientes,é necessário o consentimento do usuário do sistema.
Lei de identidade: LEI 1: Controle pessoal e Consentimento
Princípio de Privacy By Design: Privacidade como Padrão.
Controle ISO 31700 aplicável: 4.2 Projetando recursos para permitir que os consumidores façam com que seus direitos de privacidade sejam cumpridos.
A ideia é dar o poder de controle ao usuário, no melhor sentido da autodeterminação informativa.
Exemplo nº3:
A garantia de que os dados de identificação serão tratados apenas entre as partes interessadas e autorizadas no processo.
Lei de identidade: LEI 4: Identidade Direcionada: Proteção e Responsabilidade
Princípio de Privacy By Design: Segurança de ponta a ponta – proteção completa do ciclo de vida.
Controle ISO 31700 aplicável: 6.6 Incluindo riscos à privacidade no design de resiliência em cibersegurança.
Ora, é evidente que a aplicação de medidas técnicas de segurança da informação são imprescindíveis para a garantia da privacidade do usuário e a efetividade de outros controles.
Sem o intuito de se exaurir a matéria de correlação apresentada, considerando todo o exposto, é evidente que os frameworks apresentados neste artigo guardam forte envolvimento.
Enquanto o Privacy by Design e, consequentemente a ISO 31700, possuem uma aplicação generalizada às organizações, as 7 Leis da Identidade se dedicam a orientar provedores de sistemas de identificação digital, podendo utilizar dos demais controles e princípios apresentados para uma melhor tradução do terceiro framework.
Um profissional do direito na era digital deve conhecer essas nuances que envolvem o mundo atual. Hoje, como podemos observar, já não é suficiente o mero conhecimento do direito positivado, sendo necessário buscar conhecimentos e meios de resolução nos mais diversos campos do conhecimento.
A pós-graduação em direito digital e proteção de dados do IDP possui uma ampla gama de disciplinas que abordam a inovação tanto jurídica quanto tecnológica, trazendo conhecimento multi-setoriais para o aluno.
Além disso, os professores são profissionais reconhecidos nacional e internacionalmente em suas áreas de conhecimento, trazendo insights do mercado e de tendências diretas do mercado.
Não deixe de nos acompanhar nas redes sociais e compartilhar nossos artigos do Blog do IDP.
Referências
CAVOUKIAN, ANN. 7 Laws of Identity: The Case For Privacy-Embedded Laws of Identity in the Digital Age. Canada, 2006.
CAVOUKIAN, ANN. Privacy by Design: The 7 Foundational Principles. Canada, 2009.
ISO 31700. 2023.