O que é Privacy by Design e como implementá-la
Por Juliana Peixinho
A maior parte das empresas adota medidas reativas diante de um incidente de segurança à proteção dos dados pessoais ou de um tratamento de dados pessoais em desconformidade com a LGPD.
Diante desse cenário, torna-se cada vez mais importante evitar ações financeiramente onerosas e danosas à reputação das organizações por meio de medidas preventivas a serem adotadas no momento de desenvolver novos produtos e serviços.
O Privacy by Design responde a essa necessidade de adoção de medidas preventivas, vez que insere a preocupação com a privacidade dos indivíduos – “desde a concepção” – no desenvolvimento de novos produtos e serviços que venham a tratar dados pessoais.
Embora a LGPD tenha entrado em vigor em 2020, essa metodologia foi idealizada na década de 90, pela Ann Cavoukian, Comissária de Informação e Privacidade de Ontario, Canadá. Ann Cavoukian teve a convicção de que diante do avanço tecnológico que ocorria, os dados pessoais passariam a ter um valor maior de mercado, de forma que estes poderiam ser coletados de forma ilimitada, sem que fossem observados os direitos e liberdades dos indivíduos.
Desta forma, ela concluiu que apenas a existência de leis não seria o suficiente para garantir a privacidade do usuário, sendo necessário encorajar as empresas a adotarem a metodologia de Privacy by design no desenvolvimento de novos projetos de tecnologia.
Nesse contexto, foi criado a metodologia de Privacy by Design, a qual alcançou um reconhecimento internacional, passando a ser incorporado por legislações sobre proteção de dados. Em 1995 a Diretiva 95/46 da União Europeia sobre proteção de dados pessoais, mencionou o tema na Consideranda 46 e em 2016, o Regulamento Europeu de Proteção de Dados (RGPD) estabeleceu o Privacy by Design como pressuposto para a proteção de direitos e liberdades dos indivíduos na Consideranda 78 e em seu artigo 25. Assim, o Privacy by Design se consolidou como prática de adoção de medidas de privacidade e proteção de dados desde a concepção no desenvolvimento de novos produtos e serviços que tratem dados pessoais.
A LGPD, por sua vez, traz o conceito de Privacy by Design em seu artigo 46 §2º no Capítulo de Segurança e das Boas Práticas, o qual prevê que as medidas de segurança, técnicas e administrativas deverão ser observadas desde a fase de concepção do produto ou serviço até a sua execução.
A metodologia de Privacy by Design possui 7 princípios fundamentais, sendo estes:
- Proatividade e não Reatividade; Prevenir e não remediar
O primeiro princípio do Privacy by Design estabelece que a privacidade deve sempre ser considerada de forma proativa e não reativa. É importante antecipar e prevenir incidentes de segurança antes que estes aconteçam, bem como prevenir o desenvolvimento de um sistema ou serviço que possa gerar riscos aos direitos e liberdades dos indivíduos. Portanto, a metodologia de Privacy by Design não contempla medidas de remediação e sim procura evitar que eventuais danos ocorram.
- Privacidade como Padrão
A metodologia de Privacy by Design almeja alcançar o máximo grau de privacidade, assegurando que os dados pessoais sejam automaticamente protegidos em qualquer sistema de TI ou prática de negócio por padrão. Dessa maneira, um indivíduo não necessita realizar nenhuma ação positiva sobre um produto ou sistema para “optar” em preservar a sua privacidade pois tal escolha já estaria construída e integrada no sistema, por padrão.
- Privacidade embarcada no Design
O princípio privacidade embarcada no design estabelece que o design e a arquitetura de sistemas de TI e práticas de negócios devem considerar o Privacy by Design, ou seja, a arquitetura do sistema deve ser projetada a partir da proteção da privacidade como um componente essencial, integrado às suas finalidades.
- Funcionalidade Integral
Por seu turno, o quarto princípio estabelece que deverão ser acomodados todos os legítimos interesses e objetivos sem que seja reduzida as capacidades tecnológicas do produto ou do serviço, a fim de evitar prejuízo ao indivíduo. Esse princípio demonstra que é possível obter privacidade e segurança de forma conjunta, sem que haja detrimento de um por outro.
- Segurança em todo o ciclo de vida da informação
De acordo com o princípio da segurança, todo o ciclo de vida da informação, todos os dados devem estar seguros desde sua coleta até sua destruição ou compartilhamento com um terceiro. As organizações devem assumir a responsabilidade pela segurança dos dados pessoais por todo o seu ciclo de vida, assegurando a confidencialidade, integridade e disponibilidade do dado pessoal, incluindo métodos de destruição segura, criptografia, forte restrição de acesso e métodos de controle de logs.
É importante destacar que tal princípio, vai de encontro com o artigo 47 da LGPD, o qual prevê que os agentes de tratamento são obrigados a garantir a segurança da informação prevista na Lei, em relação aos dados pessoais, mesmo após o término do tratamento.
- Visibilidade e Transparência
A metodologia do Privacy by Design procura assegurar que as práticas de negócios e as tecnologias envolvidas deverão operar de acordo com as finalidades pretendidas, de forma que as operações devem ser mantidas visíveis e transparentes para os indivíduos, bem como devem estar sujeitas a uma verificação independente. Tal princípio também vai de encontro com o princípio da finalidade, adequação e transparência do artigo 6º da LGPD.
- Respeito à Privacidade do Usuário
A melhor prática de Privacy by Design prevê que os produtos e serviços devem ser desenhados em torno dos interesses e necessidades dos indivíduos, de maneira que deve ser oferecido medidas fortes de privacidade por padrão, notificação apropriada, transparência e maior poder decisório ao indivíduo. Em um comparativo com a LGPD tal prática vai de encontro com o respeito à privacidade e a autodeterminação informativa, fundamentos da disciplina da proteção de dados.
O conceito de Privacy by Design traz a harmonia entre a privacidade e a tecnologia, de forma que ambos podem caminhar lado a lado a fim de observar os direitos e liberdades dos titulares sem impedir que os desenvolvimentos tecnológicos avancem.
No mais, a adoção de tais práticas nas organizações contribuirá para uma adequação à LGPD mais profunda, uma vez que será incutido uma cultura de privacidade e proteção de dados no desenvolvimento dos novos serviços e produtos, sendo mitigado eventuais riscos da atividade de negócio, bem como aos direitos e liberdades dos indivíduos, conferindo uma maior competitividade da empresa no mercado ao adotar tais práticas por padrão.
Nosso escritório possui profissionais preparados para assessorar sua empresa na adoção de práticas de Privacy by Design e na adequação à LGPD. Em caso de dúvidas sobre proteção de dados ou direito digital, procure o Chenut Oliveira Santiago.
¹ Privacy by Design – The 7 Foundational Principles; Implementation and Mapping of Fair Information Practices. Cavoukian, Ann. Link: *pbd_implement_7found_principles.pdf (iapp.org)