Privacidade e proteção de dados pessoais desde a concepção 

Quando falamos de adequação das empresas à LGPD e a privacidade e proteção de dados pessoais, um item que ganha destaque é a implantação das boas práticas de Privacidade desde a Concepção ou do “Privacy by Design”, especialmente porque recentemente essas ações e práticas foram consolidadas em uma norma do sistema ISO, a ISO 31700 Privacy By Design for Consumer Goods and Services. 

Aproximadamente 14 anos depois de ter sido apresentado como um conjunto de boas práticas, o Privacy by Design (PbD) ou no bom português a Privacidade desde a Concepção está prestes a se tornar um padrão internacional de privacidade para a proteção de produtos e serviços de consumo. 

Pautada originalmente em sete princípios, a transformação de das boas práticas de PbD em uma norma (apesar de ainda não ser considerada um padrão de conformidade) agregará em muito na operacionalização dos princípios previstos, uma vez que um dos desafios da implantação de uma política de PbD é justamente transformar as previsões dos princípios em atividades e ações concretadas que possam ser executadas e evidenciadas. 

Assim, para além de observar meramente os princípios da Privacidade como configuração padrão, da Privacidade inserida no Design, da Abordagem centrada no usuário, da Visibilidade e transparência, da Abordagem de funcionalidade total, da Segurança de ponta a ponta e da Proatividade no lugar de reatividade, o grande desfio na prática é desenvolver controles e estratégias de operação capazes de evidenciar o respeito ao PbD. 

Nesse contexto o surgimento da ISO ISO 31700: Privacy By Design for Consumer Goods and Services pode fornecer importantes subsídios para a efetiva implantação de estratégias que comumente são adotadas na implantação dos princípios de PbD e que buscam dentre outras coisas: 

  • Diminuir a probabilidade de multas e penalidades, incluindo perdas financeiras e/ou responsabilidades associadas às possíveis violações de privacidade; 
  • Aumentar a relação de confiança com os titulares dos dados pessoais; 
  • Permitir um melhor controle dos incidentes envolvendo dados pessoais; 

A Privacidade e proteção de dados desde a Concepção opera mediante a implantação dos seguintes 7 passos: 

  1. Privacidade como configuração padrão – O objetivo das Práticas de Privacidade desde a Concepção é entregar o mais alto nível de privacidade possível aos usuários. Isso deve ser alcançado pela adoção de ações e tecnologias que garantam que os dados pessoais estarão protegidos em qualquer sistema de Tecnologia da Informação e Comunicação (TIC) ou práticas comerciais como uma configuração padrão. Nenhuma ação precisará ser requerida do titular a fim de proteger a sua privacidade, devendo as configurações de privacidade para utilização do serviço ou produto serem por definição as mais protetivas possíveis e balanceadas com as funcionalidades do serviço ou produto; 
  2. Privacidade inserida no Design – Deve funcionar como parte integrante do novo sistema ou prática comercial, deixando de ser um mero adicional aplicado após a sua criação. O respeito e a proteção à privacidade e a segurança devem ser um componente essencial da funcionalidade e deve ser observada desde os primeiros estágios de concepção do produto e do serviço; 
  3. Abordagem centrada no usuário – O desenvolvimento e a oferta de serviços e produtos devem ser centrados na proteção da privacidade e segurança do usuário devendo manter medidas organizacionais e tecnológicas capazes de propiciar sua fácil compreensão; 
  4. Visibilidade e transparência – A Privacidade desde a Concepção deve assegurar que todos os todos interessados, seja qual for a prática de negócios ou tecnologia envolvida, esteja de fato, operando e atuando de acordo com as finalidades, objetivos e normas comunicadas aos titulares e demais envolvidos no tratamento de dados pessoais. Devem ser comunicadas pelos canais institucionais todas as atividades de tratamento e as tecnologias utilizadas, quando isso não implicar em risco à segurança da informação, a segurança organizacional ou ao segredo do negócio; 
  5. Abordagem de funcionalidade total – O conceito de Privacidade desde a Concepção busca alinhar os interesses legítimos do responsável pelo desenvolvimento do produto ou serviço com proteção da privacidade e segurança dos titulares numa lógica de balanceamento e coordenação dos interesses das partes envolvidas. Busca-se eliminar falsos conflitos ou abordagens contrapostas como segurança versus privacidade, por exemplo. A proteção da privacidade deve sempre resultar em ações reais e práticas capazes de gerar efeitos benéficos e equilibrados, buscando, por exemplo, o desenho de ações que sejam capazes de atingir tanto a privacidade como a segurança; 
  6. Segurança de ponta a ponta (Proteção integral durante o ciclo de vida do tratamento) – A aplicação dos preceitos de Privacidade desde a Concepção demanda também a necessidade de incorporar nos primeiros estágios de desenvolvimento de serviços ou produtos que envolvam dados pessoais e medidas robustas de segurança capazes de alcançar de forma efetiva todo o ciclo de vida da atividade de tratamento e da vida útil dos dados tratados; 
  7. Proatividade no lugar de reatividade – A Privacidade desde a Concepção é caracterizada pela adoção de medidas proativas em detrimento de abordagens e posturas reativas, com o objetivo sempre de maximizar a proteção da privacidade e de minimizar riscos.

Desse modo, o surgimento da ISO 31700 e das medidas por ela estabelecidas constituem importantes orientações que devem ser observadas quando do planejamento e execução de atividades, processos, serviços ou produtos que utilizem dados pessoais em algumas de suas atividades, pois sempre é importante ressaltar que o estabelecimento de um sistema de proteção de dados pessoais exige cuidados pautados na prevenção e na produção de evidências do respeitos a regras de privacidade estabelecidas. 

Saiba mais sobre privacidade e proteção de dados pessoais clicando aqui.

João Monteiro

Advogado e Consultor especializado em Privacidade, Proteção de Dados Pessoais e Segurança da Informação com experiências nos setores da saúde, varejo e educação. Encarregado de Proteção de Dados (DPO) da UNIMED Fortaleza. Certificado pela Associação Internacional dos Profissionais de Privacidade IAPP, pela EXIN (PDPE), pela Onetrust (Privacy Fellow) e pela Cisco (Cybersecurity Essentials). Doutor em Direito pela Universidade de Kent no Reino Unido e ex-pesquisador nas áreas de privacidade e Internet na Universidade de Malta. Presidente da Comissão de Direito da Tecnologia da Informação da OAB/CE (Gestão 2022/2024).