Símbolo do Jus.com.br Jus.com.br

“PRIVACY BY DESIGN” E COMPLIANCE NA LGPD

Agenda 11/10/2018 às 13:28

“Privacy by Design é uma metodologia na qual a proteção de dados pessoais é pensada desde a concepção de sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais.”

A legislação brasileira, desde a Constituição Federal de 1988, protege de maneira expressa a privacidade dos cidadãos independentemente do meio ou da natureza, da forma mais abrangente possível. Dentre os direitos fundamentais previstos no artigo 5º estão a inviolabilidade da intimidade e da vida privada, que representam, numa interpretação lógica, a própria privacidade. O Código Civil é ainda mais direto e inclui o direito à privacidade e à intimidade entre os direitos da personalidade em seu Capitulo II, com amplas e irrevogáveis proteções.

Durante a evolução humana o termo tecnologia sempre remeteu apenas a benefícios e desenvolvimento, sem nos atentarmos para seu verdadeiro potencial. Além dos problemas típicos de privacidade que normalmente atingiam as pessoas publicas, a tecnologia colocou na mira, também, de forma democrática, todas as outras pessoas, numa espécie de massificação da informação e da exposição.

A Doutora Ann Cavoukian, ex Comissaria de Informação e Privacidade da Provincia de Ontario e Diretora executiva do Instituto de Privacidade e Big Data da Universidade Ryerson, é especialmente reconhecida na área porque, ainda no inicio da informatização, quando a tecnologia ainda engatinhava, previu que, por conta do desenvolvimento tecnológico, as relações e processos envolveriam, quase que obrigatoriamente, a coleta de dados e informações pessoais e que essas informações, num certo momento, seriam muito valiosas.

Uma das novidades destacadas pela Doutora Ann naquela época e que teve muita relevância em todo o processo de regulação do meio digital, é o conceito do Privacy by Design.

“Privacy by Design é uma metodologia na qual a proteção de dados pessoais é pensada desde a concepção de sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais.”

Esse conceito se consolida no âmbito internacional por volta de 2010, quando é inicialmente reconhecido e chancelado pela Autoridade Europeia de Proteção de Dados e pela Federal Trade Comission dos Estados Unidos e mais recentemente quando incorporado definitivamente pela GDPR, principal norma na área e referencia para as demais legislações internacionais.[1] A GDPR, estabeleceu o ideal da proteção dos dados pessoais como forma de amparar o cidadão e as entidades dos riscos da nova realidade digital, servindo de base e inspiração para as demais nações do mundo que viram-se obrigadas a se estruturar para acompanhar os novos direitos e riscos envolvidos. O Brasil, seguindo essa tendência, aprovou recentemente a LGPD para se adequar as normas do restante do mundo.

No Brasil, algumas normas infraconstitucionais previram regras que desde o inicio remetiam, na essência, ao que hoje se identifica como Proteção de Dados, como o Código de Defesa do Consumidor, por exemplo, que desde o inicio estabeleceu regras relacionadas à formação de bancos de dados de consumidores, e mais recentemente, com o Marco Civil da Internet que estabeleceu como princípios básicos do uso da internet no Brasil a proteção da privacidade e dos dados pessoais, e os direitos e garantias dos internautas, como a “inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação”.

Por ser mais recente, editada já na Era Digital, o Marco Civil se destacou ao impor regras aos provedores de internet, até então entes pouco conhecidos e fiscalizados, e que passaram a ter obrigações legais como o fornecimento de informações claras e completas acerca de todo o processo de tratamento dos dados, como a coleta, o uso, o armazenamento, bem como previu a necessidade de consentimento expresso para o tratamento. Essa necessidade de consentimento livre, expresso e informado do usuário foi repetida expressamente na nova Lei Geral de Proteção de Dados.

Corroborando a importância do tema, o Marco Civil da Internet, em seu artigo 7º, ressaltou que: “O acesso à internet é essencial ao exercício da cidadania”, elevando-o praticamente ao patamar de um direito fundamental do cidadão.

O “PRIVACY BY DESIGN”

Por ser um conceito com natureza principiológica e orientadora, o “Privacy by Design” guia seus tutelados de forma a projetar, construir e implementar suas tecnologias tendo como foco e objetivo principal a segurança e a privacidade dos dados. A necessidade e a capacidade de detectar os interesses envolvidos na relação, garantindo às partes a segurança necessária para as atividades oferecidas, é a missão principal dos desenvolvedores de conteúdos e tecnologias.

Assine a nossa newsletter! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos

Com a intensificação das relações digitais, as tecnologias e plataformas de captura e coleta de dados cada vez mais se especializaram em analisar e identificar os hábitos e insights dos usuários, criando estudos de comportamento e preferencias que podem ser usados de forma muito prejudicial para o usuário ou para o meio no qual ele está inserido. Dessa forma, meios seguros e transparentes de captura e tratamento desses dados são cruciais para um ambiente saudável.

Regra implícita do meio digital é que “a transparecia deve ser diretamente proporcional ao poder; a privacidade deve ser inversamente proporcional ao poder.”[3] Portanto a transparência deveria ser a principal preocupação das entidades que capturam dados dos seus usuários, mas não é o que se verifica diante dos últimos escândalos divulgados, dentre eles o caso Facebook e o caso Ashley Madson.

Nesse interim, o Privacy by Design foi resumido e simplificado em 7 princípios básicos:

  1. Pró-ativo não reativo; preventivo não corretivo

Inicialmente, como regra trazida pelas novas concepções de compliance, a proatividade como regra de conduta representa que os desenvolvedores devem prever e antecipar os eventos passiveis de interferência ou de comprometimento da privacidade. O principio se contrapõe as antigas técnicas empresariais, geralmente reativas a partir da constatação dos danos ou do resultado de auditorias, mas sempre “post fact”.

Além dos benefícios internos, de aprimoramento de processos, as empresas se viram compelidas a se adequar aos novos princípios por força das normas aplicáveis ao setor que passaram a prever pesadas multas no caso de ocorrências, independentemente da constatação do dano especifico. Pelas novas normas passou-se a entender que a ocorrência de um evento no setor de privacidade significa que os dados pessoais já foram comprometidos, portanto já esta caracterizado o fato punível.

  1. Privacidade como configuração padrão

A configuração referente a privacidade deve prever a proteção e a segurança como regra geral, devendo qualquer tratamento ser tratado como exceção e condicionado a autorização expressa do titular.

Esse mandamento exige dos tratadores o máximo de cautela em suas plataformas. Como exemplo pratico temos os dispositivos dos smartphones, ou mesmo os aplicativos como Uber e 99 Taxi que tem dispositivos que localizam o usuário em tempo real e, se usado da maneira errada, podem monitorar os passos e a vida dos usuários. Nesses casos, o sistema de localização remota deve ser opcional e originalmente desativado.

  1. Privacidade incorporada ao design

Esse principio é mais uma sugestão do que uma nova orientação porque, apesar de quase repetir o mandamento do principio anterior, na verdade é mais especifico e sugere que o desenvolvedor do sistema, ao incorporar as ferramentas de privacidade ao projeto inicial, em sua concepção, reduzirá os esforços e o desgaste no cumprimento futuro das regras de proteção que certamente lhe serão cobradas. A privacidade passa a ser parte da própria solução e não um adendo.

  1. Funcionalidade total - soma positiva, não soma zero

Pelo Privacy by Design, a utilização dos dados pessoais deve se dar em consonância com os objetivos do tratador, mas esse objetivo deve ser legitimo, permitindo que o usuário use as funcionalidades sem a necessidade de exposição excessiva. Busca-se evitar um famoso sistema de trocas desnecessárias, transformando a segurança e a privacidade em moedas de troca.

  1. Segurança de ponta a ponta - proteção completa do ciclo de vida

Esse principio impõe aos agentes de tratamento que garantam a segurança de todas as informações desde a sua captura, que é a primeira forma de tratamento, até a sua eliminação ou compartilhamento, que também são formas de tratamento. Por esse principio a responsabilidade dos agentes se estende durante todo o ciclo, e qualquer fato durante esse processo será de responsabilidade dos mesmos, independentemente de comprovação de dano especifico.

Uma das regras implícitas é a transparência para que o titular esteja ciente de todo o processo e não seja surpreendido por um uso ilegítimo danoso. Caso recente, de grande repercussão, foi do Facebook e  Cambridge Analytica, onde não se garantiu a proteção da informação durante uma das etapas de seu ciclo de vida.

  1. Visibilidade e transparência - mantê-lo aberto

Dois dos princípios mais importantes das relações do meio digital, a visibilidade e a transparência se aplicam desde o inicio da relação, quando os termos e condições de uso e de privacidade devem ser expostos de forma clara pelo agente de tratamento, dando destaque para todas as informações relevantes que envolvam a mitigação ou flexibilização de algum direito.

Apesar de não ser usual, esse principio visa garantir tambem que entidades independentes possam verificar e atestar essas condições.

  1. Respeito pela privacidade do usuário - mantê-lo centrado no usuário

Novamente o foco no desenvolvimento do sistema baseado nos interesses e garantias do usuário, com medidas capazes de prevenir, garantir e comunicar claramente ao titular todas as possibilidades e riscos no tratamento previsto. A privacidade sempre sera a base do sistema e as exceções devidamente negociadas e informadas.

Os sete princípios não fogem ao que o senso comum exige atualmente diante das situações e casos práticos que se colocam. As regras de compliance tão em voga atualmente, principalmente a partir do FCPA e do UKBA, exigem o respeito às normas legais e principalmente as normas éticas e comportamentais. No caso das relações digitais, o respeito a privacidade é parte determinante dessa conduta etica.

Sara Soumillion, porta voz da Comissão Europeia para a GDPR destaca:

“Investir em privacidade compensa e cria novas oportunidades comerciais. Por exemplo, produtos e serviços estão sendo desenvolvidos e oferecidos com novas soluções de privacidade e segurança de dados. E, de fato, o GDPR, por meio de princípios como Privacy by design e o Privacy default, incentiva os negócios a inovar e desenvolver novas ideias, métodos e tecnologias para a segurança e proteção de dados pessoais”

A nova concepção trazida pelo legislador brasileiro na Lei Geral de Proteção de Dados é que o dano a democracia resta configurado apenas com a utilização ilegítima dos dados, já que sua utilização com finalidade diversa, por si só, é uma afronta aos princípios morais e legais. A exemplo da legislação europeia, a norma tenta reduzir as múltiplas bases legais de processamento de dados possíveis para apenas uma, a “Opt-in”, ou seja, o consentimento prévio do usuário.

Assim as regras visam garantir, alem da segurança da informação, uma relação de confiança e transparência entre as partes envolvidas, resgatando a credibilidade do meio. Nesse esteio, caso não seja possível desenvolver um sistema com base no “opt-in”, uma opção de “opt-out” de fácil manejo, disponibilizada de forma clara e simplificada é recomendada.

A natureza principiológica do “Privacy by Design” serve de inspiração para que as atividades sigam suas premissas sob pena de violarem a boa fé das relações digitais. Num meio que exige transparência e segurança, os princípios destacados representam justamente a busca desses objetivos e devem ser adaptados conforme as necessidades práticas de cada desenvolvedor.

A proteção da privacidade por meio de sua incorporação as estruturas tecnológicas e as infraestruturas utilizadas permite que o usuário seja capaz de gerenciar e preservar as informações que considerar mais relevantes abrindo mão das garantia que achar cabível, mas preservando aquelas que considerar necessárias, sem ser privado dos conteúdos.

Com a entrada em vigor da GPDR, norma europeia de repercussão mundial que regula o tratamento de todos os dados que tenham repercussão sobre as nações ou cidadãos europeus, todas as demais nações do mundo se viram obrigadas a se adaptar, como condição para o livre comercio com o bloco europeu. Essa pressão foi fundamental para que a versão brasileira fosse finalizada e hoje cerca de 126 países possuem leis de proteção de dados pessoais nos moldes mínimos exigidos pela GPDR. Essas mobilização reflete a tendência evolutiva de cuidados com os dados pessoais a as informações sensíveis, chamados por alguns de “petróleo do século 21”.

O Regulamento europeu trouxe expressamente a necessidade de respeito aos conceitos do Privacy by Design, destacando em seu artigo 25 a necessidade de implementação de medidas técnicas e operacionais que restrinjam o tratamento de dados ao necessário para a finalidade especifica.

Embora o termo “Privacy by Design” não estivesse previsto expressamente na legislação brasileira, alguns dos princípios foram devidamente incorporados, inicialmente através do Marco Civil da Internet, que inovou e destacou o principio da finalidade e da necessidade de obtenção de consentimento para o tratamento de dados e, por fim, no ano de 2018 com a LGPD, com “vacatio legis” de 18 meses, que reproduziu grande parte da GPDR e buscou atender às exigências da autoridade europeia para sua adequação e reconhecimento. Nesse sentido, a norma também se aproxima do conceito da “Privacy by Design”, especialmente no que diz respeito aos princípios da transparência, segurança e prevenção, indicados em seu artigo 6º, alem da trinca principal de princípios representada pela legalidade, adequação e necessidade, segundo os quais os tratamentos devem ser adequados, relevantes e limitados à sua necessidade.

REFERENCIAS:

[1] (http://www.lecnews.com.br/blog/protecao-de-dados-pessoais-privacy-by-design-e-compliance/)

[2] (http://www.lecnews.com.br/blog/protecao-de-dados-pessoais-privacy-by-design-e-compliance/)

[3] Privacidade e proteção de dados pessoais. Danilo Doneda. Disponível em: http://www.cgu.gov.br/sobre/institucional/eventos/anos-anteriores/2017/5-anos-da-lei-de-acesso/arquivos/mesa-3-danilo-doneda.pdf

Sobre o autor
Leonardo Henrique de Carvalho Ventura

Advogado. Especialista em Direito Ambiental e em Gestão Ambiental Municipal. Especialização em Direito Corporativo e Compliance. Extensão em Compliance na Lei Anticorrupção.

Informações sobre o texto

Este texto foi publicado diretamente pelos autores. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi

Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!