Com a entrada da LGPD em vigor, o tema da proteção de dados ganhou novo tom de importância, deixando de ser algo que muitos acreditavam caber unicamente a instituições financeiras e passando a elemento de grande relevância para todos os setores econômicos façam operações de tratamentos de dados.
Essa mudança de mentalidade no Brasil vem seguindo os ideais já explorados e testados em outros cantos do mundo, especialmente os que dizem respeito a União Europeia, pois, em maio de 2018, entrou em vigor a General Data Protection Regulation (GDPR), que serviu de base para o desenvolvimento da nossa legislação nacional.
Bem antes da entrada em vigor do GDPR, ainda na década de 90, Ann Cavoukian, ex-Comissária de Privacidade e Informações de Ontário, Canadá, já estudava e expunha a importância do tema da proteção de dados, dado que a tecnologia seria responsável pela integração e disseminação das informações, o que significaria grande trânsito de dados pessoais via forma digital.
Em seus estudos, Ann concluiu que “o futuro da privacidade não pode ser assegurado apenas pela conformidade com os marcos regulatórios; em vez disso, a garantia da privacidade deve, idealmente, tornar-se um padrão no modo de operação da organização”. Essa afirmação é extremamente aplicável ao Brasil, pois, como o processo legislativo precisa respeitar inúmeras regras, não há como a legislação nacional seguir o mesmo ritmo das inovações tecnológicas, fazendo com que sempre esteja alguns passos atrás do que esteja acontecendo na sociedade.
Tendo isso em mente, desenvolveu o conceito do Privacy by Design, o qual descreve uma metodologia que coloca a proteção da privacidade do usuário em primeiro plano, de modo que, qualquer serviço ou produto, desde sua concepção, deve elencar a privacidade como ponto de partida para seu desenvolvimento.
Nesta metodologia as empresas deveriam, por conta própria, adotar todas as medidas possíveis para assegurar a privacidade de seus clientes, sendo estas aplicáveis a três campos: 1) sistemas de TI; 2) práticas de negócios e 3) projetos físicos e infraestrutura de rede.
Mesmo parecendo muito abrangente, a aplicação dessa metodologia deve ser analisada caso a caso, pois, devido às inúmeras modalidades comerciais existente no mercado, cada empresa necessitará de um grau de proteção diferente, não existindo um único padrão que aborde todo o mercado.
Ann expõe que, para atingir os objetivos do Privacy by Design, pode-se seguir sete princípios fundamentais, quais sejam:
1) Proativo, não Reativo; Preventivo, não Corretivo
Aqui temos que um dos objetivos da citada metodologia é de evitar a ocorrência de incidentes e danos aos titulares de dados pela adoção de iniciativas que assegurem a privacidade desde o desenvolvimento do produto ou serviço. Não se deve esperar a ocorrência de situações que representem riscos para depois adotar as medidas de segurança necessárias, o Privacy by Design deve ser considerado antes da configuração do risco.
2) Privacidade como configuração padrão
Desde o início do tratamento de dados, a privacidade deve ser configuração padrão a ser seguida, não sendo necessário que o titular tome qualquer medida para que isso seja assegurado, ou seja, a privacidade deve ser parte integrante, e disponibilizada sempre, de qualquer sistema, seja tecnológico ou negocial.
3) Privacidade embarcada no Design
A privacidade deve fazer parte da construção e arquitetura dos sistemas tecnológicos e negociais, não devendo ser incluída posteriormente como um adendo. Por ser parte integrante dos componentes essenciais do sistema, sua aplicação não resultará na diminuição das funcionalidades daquele.
4) Funcionalidade integral
O Privacy by Design traz a ideia de que a privacidade não deve ser utilizada em detrimento de outra funcionalidade, como, por exemplo, a ideia de que com o aumento da privacidade haverá queda na segurança. Essa metodologia comprova demonstra que é possível ter segurança e privacidade coexistindo simultaneamente em seus graus máximos, não sendo necessária a diminuição de um para que o outro seja alcançado.
5) Segurança de ponta a ponta – Proteção em todo ciclo de vida
Como a privacidade já deve ser parte essencial da construção de um sistema, ou seja, anterior ao momento de entrada dos dados, é garantida segurança e privacidade de todos os dados desde o momento de captação até o seu descarte definitivo.
6) Visibilidade e Transparência
Além de garantir a segurança e a privacidade, também deve ser garantida, a quem quer que seja, acesso e transparência sobre as operações adotadas, ressalvados segredos comerciais, visto que, desse modo, resta demonstrado que tudo está decorrendo em conformidade com os métodos e objetivos expostos. Isso ajuda a gerar maior grau de confiança perante o mercado, pois demonstra a preocupação e o cuidado que a empresa tem com os dados que estão sendo tratados.
7) Respeito à privacidade do usuário
O usuário deve ser considerado como o centro de todas as operações, devendo, deste modo, ser respeitado todos os seus interesses, como, por exemplo, garantia do maior nível possível de segurança e privacidade, acesso a todas as informações necessárias para o correto entendimento das operações de tratamento de dados realizadas, interface de fácil utilização etc.
Após a leitura dos princípios norteadores do Privacy by Design, é possível extrair algumas vantagens que poderão ser obtidas, pelos agentes de tratamento de dados, quando da sua aplicação.
Inicialmente podemos ver que, como a aplicação de técnicas que assegurem a privacidade e a segurança devem ser pensadas desde o início do desenvolvimento do sistema, haverá menores riscos da ocorrência de incidentes que podem gerar danos aos titulares de dados, o que pode ocasionar menores chances de condenações judiciais ou sanções administrativas.
Além disso, espera-se que haja redução de custos relativos à segurança, pois, como se sabe, a implementação de qualquer nova funcionalidade em um produto/sistema já concluído demanda maior tempo e investimento do que a sua integração quando da fase de desenvolvimento.
Ainda, é possível dizer que haverá vantagem comercial frente a seus concorrentes, pois a imagem da empresa que demonstra tomar todas as precauções necessárias para o correto tratamento de dados é bem melhor do que a de outra empresa que já sofreu com a ocorrência de algum incidente e não adotou medidas para prevenir ocorrências futuras. Isso significa maior atração de clientes e de possibilidades negociais com outras empresas.
Diante do exposto, entende-se que a adoção da metodologia do Privacy by Design acabará por se tornar um padrão no futuro, pois, além de servir como reforço na proteção dos direitos dos titulares de dados e como forma de cumprimento com as disposições da LGPD, pode representar grande vantagem comercial frente aos concorrentes que não o façam.
Cartilha com os sete princípios: https://www.ipc.on.ca/wp-content/uploads/resources/7foundationalprinciples.pdf
Gustavo Batagini Advocacia e Consultoria Jurídica
Tel: 41 99209-1810