O que são Práticas de Informação Justa?| FIPPs

Os Princípios de Práticas de Informação Justa, ou FIPPs, são um conjunto de princípios para privacidade de dados que muitas organizações seguem atualmente.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Relacionar as Práticas de Informação Justa
  • Descrever como as FIPPs foram desenvolvidas
  • Explicar por que as FIPPs são tão amplamente referenciadas

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

Quais são os Princípios de Práticas de Informação Justas (FIPPs)?

As Práticas de Informação Justas, também conhecidas como Princípios de Práticas de Informação Justas (FIPPs), são um conjunto de oito princípios relacionados ao uso, coleta e privacidade de dados. Eles foram publicados em 1980 pela Organização para Cooperação e Desenvolvimento Econômico (OCDE) e vários países concordaram com eles em princípio.

Embora não façam parte oficialmente de nenhuma legislação de privacidade, esses princípios continuam sendo relevantes e influentes atualmente. Muitas organizações os usam como orientação sobre como lidar com dados pessoais. Vários dos princípios listados nos FIPPs estão incluídos em importantes estruturas de privacidade, como o Regulamento Geral de Proteção de Dados (GDPR) e a Lei de Privacidade do Consumidor da Califórnia (CCPA).

Os oito Princípios de Práticas de Informação Justas são:

  1. Princípio de limitação de coleta. Deve haver limites para a coleta de dados pessoais e tais dados devem ser obtidos por meios legais e justos e, quando apropriado, com o conhecimento ou consentimento do titular dos dados.
  2. Princípio de qualidade de dados. Os dados pessoais devem ser relevantes para os fins a que se destinam e, na medida do necessário para esses fins, devem ser exatos, completos e atualizados.
  3. Princípio de especificação da finalidade. As finalidades para as quais os dados pessoais são coletados devem ser especificadas o mais tardar no momento da coleta de dados e o uso subsequente limitado ao cumprimento dessas finalidades ou outras que não sejam incompatíveis com essas finalidades e conforme especificado em cada ocasião de alteração de finalidade.
  4. Princípio de limitação de uso. Os dados pessoais não devem ser divulgados, disponibilizados ou usados de outra forma para outros fins que não os especificados de acordo com [o Princípio de especificação da finalidade], exceto: a) com o consentimento do titular dos dados; ou b) pela autoridade da lei.
  5. Princípio de salvaguardas de segurança. Os dados pessoais devem ser protegidos por salvaguardas de segurança razoáveis contra riscos como perda ou acesso, destruição, uso, modificação ou divulgação de dados não autorizados.
  6. Princípio da abertura. Deve haver uma política geral de abertura sobre desenvolvimentos, práticas e políticas em relação aos dados pessoais. Devem estar prontamente disponíveis meios para estabelecer a existência e natureza dos dados pessoais e as principais finalidades da sua utilização, bem como a identidade e residência habitual do controlador de dados.
  7. Princípio da participação individual. Um indivíduo deve ter o direito de:
    1. obter de um controlador de dados, ou de outra forma, confirmação se o controlador de dados possui ou não dados relacionados a ele;
    2. receber comunicação sobre os dados que lhe digam respeito num prazo razoável; a um custo, se houver, que não seja excessivo; de forma razoável; e de uma forma que seja facilmente inteligível para ele;
    3. receber explicações caso uma solicitação feita nos termos das alíneas (a) e (b) for negada e ter a possibilidade de contestar tal recusa; e
    4. contestar os dados relativos a ele e, se a contestação for bem-sucedida, os dados serão apagados, retificados, completados ou alterados.
  8. Princípio de responsabilidade. Um controlador de dados deve ser responsável pelo cumprimento das medidas que estão de acordo com os princípios acima indicados.

Como se desenvolveram as Práticas de Informação Justa?

Os FIPPs como eles aparecem atualmente são baseados em recomendações propostas por um comitê consultivo para o Departamento de Saúde, Educação e Bem-Estar dos EUA em 1973. O relatório do comitê observou que "As salvaguardas para a privacidade pessoal baseadas em nosso conceito de mutualidade na manutenção de registros seriam exigir a adesão das organizações de manutenção de registros a certos princípios fundamentais da prática de informações justa”. Em seguida, passou a descrever vários princípios para a proteção de dados.

Em 1980, a OCDE expandiu essas recomendações e as dividiu nos oito FIPPs listados acima. Desde então, os FIPPs têm sido usados como referência muitas vezes, especialmente nos EUA. Eles continuam a formar uma parte importante das diretrizes de privacidade e proteção de dados.

As Práticas de Informação Justa fazem parte de alguma legislação de privacidade?

Os FIPPs não fazem parte de nenhum requisito oficial ou legal. No entanto, eles têm sido a base para várias diretrizes de privacidade diferentes. Eles também refletem muitos princípios de privacidade amplamente aceitos que aparecem em outras estruturas oficiais de privacidade.

Por exemplo, o princípio de participação individual (nº 7) lista uma série de direitos que as pessoas devem ter. A CCPA codificou alguns deles em lei que inclui o "direito de saber", muito parecido com o que é descrito nas partes a) e b) do princípio da participação individual. O GDPR também inclui um "direito ao apagamento", semelhante à capacidade de "ter os dados apagados", conforme descrito na parte d) do princípio de participação individual.

Como outro exemplo, o princípio de qualidade de dados do FIPPs tem uma contrapartida no GDPR. O Artigo 5 exige que os dados pessoais sejam "precisos e, quando necessário, atualizados; todas as medidas razoáveis devem ser tomadas para garantir que os dados pessoais imprecisos, tendo em conta os fins a que se destinam, sejam apagados ou retificados sem demora".

É importante observar que essas estruturas de privacidade não correspondem exatamente aos FIPPs em suas descrições e requisitos. As organizações que desejam cumprir o GDPR, a CCPA ou qualquer outra legislação de privacidade precisam garantir que seguem os requisitos dessas leis específicas, não apenas os FIPPs.

A Cloudflare segue as Práticas de Informação Justa?

Todos os funcionários da Cloudflare devem fazer um treinamento sobre proteção de dados no qual são apresentados às Práticas de Informação Justa, além do GDPR e outras leis importantes de proteção de dados. Além disso, a Cloudflare lançou vários produtos (alguns dos quais são gratuitos) para aprimorar a privacidade do usuário. Esses produtos incluem:

Para saber mais sobre o compromisso da Cloudflare com a privacidade de dados, leia as atualizações mais recentes no blog da Cloudflare.