O crescimento impressionante do Privacy by Design
Em um mundo cada vez mais digital, empresas, em particular startups, estão caminhando rumo à adoção do Privacy by Design, uma estratégia de segurança que coloca a privacidade do usuário em primeiro lugar. Dada a relevância, a aceitação desse conceito tem experimentado um crescimento significativo desde os anos 90, especialmente após sua incorporação no GDPR, a regulamentação de proteção de dados da Europa. Por sua vez, no Brasil, a Lei Geral de Proteção de Dados (LGPD) segue de perto a mesma linha, corroborando o valor do Privacy by Design na conformidade legal e como prática exemplar na manipulação de dados pessoais.
Os pilares do Privacy by Design
Incorporando em sua essência um conjunto de princípios, o Privacy by Design estabelece um arcabouço sólido para a proteção de dados e privacidade. Surpreendentemente, esses princípios abrangem proatividade, prevenção, privacidade como padrão, transparência, segurança, justiça, responsabilidade, minimização de dados, proporcionalidade, usabilidade e qualidade. Ademais, o objetivo primordial do Privacy by Design é garantir a inserção da proteção de dados pessoais em todas as etapas dos projetos de uma organização, desde seu nascedouro.
A gênese e implementação do Privacy by Design
Foi a Dra. Ann Cavoukian, uma respeitada especialista canadense em privacidade de dados, que concebeu a metodologia do Privacy by Design nos anos 90. Mais tarde, ela foi além e delineou um conjunto de princípios vitais que, hoje, representam a espinha dorsal dessa abordagem. Essa metodologia, que se destaca pela garantia do controle dos usuários sobre suas informações pessoais, propicia uma vantagem competitiva às organizações que a empregam. Nesse sentido, seus princípios permeiam todo o sistema de informação, abarcando tecnologias, operações de negócios, infraestruturas e até mesmo arquiteturas físicas.
As sete diretrizes norteadoras do Privacy by Design
Para efetiva prática do Privacy by Design, são fundamentais sete princípios-chave:
1. Proteger a privacidade de forma proativa: é imperativo que a privacidade seja considerada desde o início do processo de desenvolvimento.
2. Planejar para um ambiente de controle múltiplo: é crucial que o usuário tenha domínio sobre o uso de seus dados.
3. Incorporar a privacidade no design: a privacidade precisa ser um componente integrante no design do produto.
4. Dar prioridade à segurança e à privacidade: medidas de segurança e controles que garantam a privacidade devem ser implementadas.
5. Garantir transparência: é imprescindível fornecer informações claras sobre o uso dos dados do usuário.
6. Assumir responsabilidade: mecanismos devem ser desenvolvidos para permitir aos usuários gerenciar e controlar seus dados de forma proativa.
7. Capacidade de adaptação: as organizações devem estar prontas para responder a mudanças na legislação e nos requisitos de privacidade.
1. Tomando a iniciativa: Prevenção é Melhor que Reparação
Começamos com uma metodologia conhecida como Privacy by Design que incentiva uma postura pró-ativa. Essa abordagem se concentra em antecipar e prevenir incidentes de privacidade antes que eles ocorram, ao invés de apenas lidar com as consequências. Por isso, ao implementar um novo projeto, nosso primeiro passo é assegurar a privacidade desde o começo. Assim, evitamos a necessidade de grandes esforços e gastos futuros.
Com o objetivo de garantir essa privacidade, aderimos a padrões de segurança elevados, muitas vezes mais rigorosos do que as regulamentações de proteção de dados, como a LGPD.
Além disso, desenvolvemos métodos para identificar vulnerabilidades, prever práticas e riscos, a fim de proteger a privacidade dos dados. O nosso principal objetivo é corrigir essas falhas de maneira precoce e sistemática.
2. Configurando a privacidade como padrão (Privacy by Default)
A seguir, temos o princípio da “Privacidade como Padrão”, que envolve configurar um sistema de tal forma que a privacidade do usuário seja a regra, não a exceção. Isso significa que os usuários não precisam se preocupar com a configuração de privacidade, já que estabelecemos o nível mais alto de proteção como padrão.
Ao aplicar esse princípio, levamos em consideração alguns pontos cruciais. Primeiro, garantimos que o propósito do processamento de dados é específico, claro, limitado e relevante para a situação.
Além disso, a coleta de dados é feita de maneira legal e é limitada ao necessário para atingir o objetivo do processamento.
Para aplicar esse princípio, consideramos os seguintes pontos:
- O objetivo do tratamento de dados é específico, claro, limitado e relevante para as circunstâncias.
- A aquisição de dados é feita legalmente e limitada ao necessário para atingir o objetivo do tratamento.
- Por padrão, os sistemas priorizam a coleta de informações não identificáveis, minimizando a coleta de dados pessoais.
- O uso, retenção e divulgação de dados são restritos ao necessário para alcançar o propósito informado ou para cumprir uma obrigação legal, após o que os dados são descartados de forma segura.
3. Incorporando a privacidade no design
Prosseguindo, o terceiro princípio é a incorporação da privacidade no design. Nesta etapa, garantimos que a privacidade seja um elemento fundamental no design e na arquitetura dos sistemas de TI e práticas de negócios.
Ao mesmo tempo, mantemos sua operacionalidade. Adotamos uma abordagem integrativa e criativa para preservar os princípios do Privacy by Design.
4. Funcionalidade plena – Soma positiva, não zero
Depois, temos o conceito de soma positiva, evitando falsos dilemas, como privacidade versus otimização.
Nos esforçamos para adicionar privacidade às tecnologias, processos e sistemas, sem sacrificar sua funcionalidade total. Portanto, consideramos todos os objetivos e interesses, não apenas aqueles relacionados à privacidade.
5. Proteção integral
No quinto princípio, o foco é a proteção de ponta a ponta. Implementamos medidas de segurança robustas e eficazes, garantindo que os dados coletados estejam protegidos desde o início do ciclo de vida até o descarte.
Compreendemos que, sem segurança adequada, a privacidade é impossível.
6. Promovendo a transparência
A seguir, buscamos garantir a transparência. Isso significa que nos certificamos de que organizações, tecnologias ou negócios operem conforme prometido.
Por isso, realizamos auditorias independentes para verificar se as entidades comprometidas com o Privacy by Design estão cumprindo os requisitos.
Para garantir o cumprimento deste princípio, nos concentramos em detalhes particulares:
- Responsabilidade: registramos e comunicamos todos os assuntos e procedimentos envolvendo privacidade de forma adequada.
- Acessibilidade e Transparência: tornamos nossas políticas e práticas de privacidade disponíveis para os usuários.
- Conformidade: implementamos mecanismos que permitem controlar, avaliar e verificar o cumprimento das políticas de privacidade.
7. Respeitando a privacidade do Usuário
Por fim, o sétimo princípio é o respeito pela privacidade do usuário. Damos prioridade aos direitos do usuário, fornecendo configurações de privacidade robustas, informações transparentes e opções intuitivas.
Seguimos a abordagem de Cavoukian, concentrando-nos nos interesses e necessidades individuais dos usuários. Acreditamos que a melhor maneira de lidar com abusos de privacidade e uso indevido de dados é permitir que os usuários sejam ativos na gestão de seus próprios dados.
Para isso, consideramos os seguintes aspectos:
- Consentimento do usuário.
- Precisão dos dados manipulados.
- Direito do usuário de acessar seus próprios dados.
- Utilização de mecanismos de compliance.
Entendendo a interação entre Privacy by Design e a Lei Geral de Proteção de Dados (LGPD)
Mesmo que a LGPD não faça menção explícita ao Privacy by Design, é importante notar que esta metodologia não é um requisito obrigatório para a conformidade com a lei. Contudo, é possível que sua aplicação simplifique o cumprimento da LGPD, o que é especialmente relevante ao considerarmos um artigo específico.
Art. 46. Aqueles que processam dados devem aplicar medidas de segurança técnicas e administrativas para prevenir acesso não autorizado, assim como situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito dos dados pessoais.
Com base nisso, a metodologia do Privacy by Design destaca-se por garantir a segurança dos dados desde o início do projeto, conforme preconizado pelo Artigo 46 da LGPD.
Ainda mais, o Privacy by Design surge como uma estratégia eficiente para reduzir custos associados à conformidade com a LGPD. Esta metodologia possibilita que projetos, serviços ou tecnologias sejam inicialmente alinhados à LGPD, mesmo que com recursos limitados.
Adotando proteção desde o início: redução de custos e prevenção
Comumente, é percebido que incorporar a proteção de dados desde o princípio tem um custo menor do que realizar adequações posteriormente. Além disso, é provável que essa abordagem previna multas e danos provenientes de incidentes de privacidade.
Ao implementar o Privacy by Design, empresas podem se destacar no mercado. A priorização da privacidade pode melhorar a imagem corporativa, demonstrando o compromisso da empresa com a privacidade do usuário.
Inovando com o princípio de Privacy by Design
Em contrapartida, a Truzzi Advogados possui uma equipe de especialistas em segurança de dados pronta para auxiliar empresas na adoção do Privacy by Design. Isso vale para o desenvolvimento de novas iniciativas, como projetos, produtos, processos, negócios, aplicativos e tecnologias.
Orientamos todo o processo de conformidade com a LGPD.