RESUMO

Privacy by Design (PbD) é uma abordagem de proteção da privacidade, na qual salvaguardas são incorporadas nos sistemas de informação e serviços, desde a fase de concepção. Apesar das suas inúmeras vantagens, as organizações, de maneira geral, não incorporam em seus processos de desenvolvimento de sistemas práticas e mecanismos de proteção da privacidade. Neste artigo, a partir de uma perspectiva das leis de proteção de dados pessoais, clarificamos o conceito de Privacy by Design, bem como apontamos algumas medidas técnicas (PETs) e organizacionais exigidas para que os processos de desenvolvimento de sistemas de uma organização estejam em conformidade com os princípios estabelecidos pelo PbD.

Palavras-chave: Privacy by Design (PbD), privacidade, proteção de dados pessoais.

Introdução

Violações de dados pessoais, expondo a privacidade dos indivíduos, seja por causa de projetos de sistemas de informação mal elaborados ou como resultado inevitável de exploração de vulnerabilidades, são relatadas diariamente.

O fato é que as organizações, em sua grande maioria, apesar do crescente número de violações, não constroem mecanismos de proteção da privacidade durante o processo de desenvolvimento dos seus sistemas. Geralmente, os desenvolvedores não vão além dos requisitos funcionais do produto ou serviço, desconsiderando a dimensão valorativa da privacidade em um mundo cada vez mais digitalizado. Privacidade que é, vale dizer, um valor de suma importância para os indivíduos, mas também um elemento essencial para o bom funcionamento das sociedades democráticas, figurando como um direito fundamental na Convenção Europeia sobre os Direitos Humanos (1950) e Declaração Universal dos Direitos Humanos (1948).

Apesar da privacidade não ser um assunto novo, o surgimento e a uniformização das leis de proteção de dados pessoais elevaram o assunto a um novo patamar. Na era do Big Data, qualquer organização que faz tratamento de dados pessoais precisa estar em conformidade com essas normas.

Desde os anos 1990, as inúmeras autoridades de proteção de dados ao redor do mundo têm recomendado que as organizações abordem de forma proativa a questão da privacidade, adotando o conceito de Privacy by Design (PbD) como princípio orientador dos seus projetos.[1]

O conceito, que foi popularizado pela Comissária de Proteção de Dados de Ontário, Ann Cavoukian, se refere a uma abordagem de desenvolvimento que defende a ideia da privacidade ser levada em consideração em todo o ciclo de vida de desenvolvimento do sistema, desde o seu início, passando pela implementação e implantação, até ser desativado e não mais usado.

Mais do que uma abordagem à engenharia de sistemas, a PbD tornou-se uma exigência legal nas principais jurisdições do mundo, inclusive no Brasil, com a Lei Geral de Proteção de Dados. Portanto, qualquer sistema, produto, serviço ou nova tecnologia criada deve incorporar em seu desenvolvimento, desde a fase de concepção, salvaguardas em matéria de proteção da privacidade para obter conformidade com as leis de proteção de dados.

Desse modo, à medida que os marcos legais ganham importância, o mercado demanda desenvolvedores capazes de traduzir a complexidade da privacidade aplicada na tecnologia. Os profissionais devem ser capacitados para identificar os riscos de privacidade, propondo e avaliando soluções para atenuar esses riscos, além de precisarem entender os regulamentos de proteção de dados e privacidade.

O objetivo deste artigo é clarificar o conceito de Privacy by Design (PbD), do ponto de vista do ciclo de desenvolvimento dos sistemas de informação e dos regulamentos europeu e brasileiro sobre proteção de dados pessoais. Por fim, faremos considerações sobre medidas técnicas (Privacy Enhancing Technologies/PETs) e organizacionais, sublinhando importância delas para proteção da privacidade.

Vale ressaltar que para o desenvolvimento da pesquisa acerca do tema, a opção foi pelo tipo exploratório, baseado em pesquisa bibliográfica, a partir da coleta de informações em artigos científicos.

1. PRIVACY BY DESIGN: ORIGEM E CONCEITO

Diariamente, violações relacionadas à privacidade vêm ao conhecimento do público. Tais incidentes, invariavelmente, acabam resultando em protestos dos consumidores, queda no valor de mercado das empresas envolvidas e multas arbitradas pelos reguladores. Numa época em que os sistemas de informação são projetados para realizar tratamento de dados pessoais em larga escala, colocando em risco o direito à privacidade e à proteção dos dados pessoais, a pressão dos consumidores e os requisitos regulatórios têm levado as organizações a considerarem políticas mais favoráveis à privacidade.

Se anos atrás nossas preocupações estavam focadas em como lidar com as implicações de privacidade das tecnologias que tornavam automatizados os processos anteriormente baseados em papel, agora, a ênfase é no tratamento de dados pessoais em larga escala por sistemas informatizados. (CAVOUKIAN, 2010).

Em maio de 2018, a Europa promulgou o Regulamento Geral de Proteção de Dados (RGPD), mudando radicalmente a lei de privacidade da União Europeia e estabelecendo requisitos específicos sobre segurança e proteção de dados pessoais. No Brasil, a Lei Geral de Proteção de Dados, que entrará em vigor em 2020, tem forte inspiração europeia. Nos Estados Unidos, a Califórnia aprovou, em junho de 2018, a Lei de Privacidade do Consumidor da Califórnia (CCPA), que também passará a vigorar em 2020. Diversos outros países estão em processo de implementação ou atualização de suas leis de proteção de dados pessoais e privacidade.

Apesar deste trabalho não ter como objetivo estabelecer a cronologia do desenvolvimento regulatório, vale sublinhar que as primeiras leis preocupadas com a privacidade, num contexto de desenvolvimento das tecnologias de processamento de dados, surgiram a partir da década de 1970 do século passado. O estado federal de Hessen, na Alemanha, por exemplo, aprovou em 1970 a primeira lei nacional de proteção de dados do mundo (Hessisches Datenschutzgesetz). Anos depois, em 1979, a primeira lei federal entrou em vigor (Bundesdatenschuzgesetz).[2]

Em 1985, pesquisadores como David Lee Chaum deram início a trabalhos relacionados a questões de privacidade, tratando de assuntos como minimização de dados, transações e comunicações anônimas. (CHAUM, 1985).

Esses trabalhos impulsionaram a indústria e a academia ao desenvolvimento das PETs (Privacy Enhancing Technologies), tecnologias de aprimoramento da privacidade, que constituem uma gama de meios técnicos para proteção da privacidade, eliminando ou minimizando os dados pessoais, evitando, assim, o processamento desnecessário ou indesejado desses dados, sem perder a funcionalidade do sistema de informação (BLARKOM, BORKING, & OLK, 2003). Como veremos adiante, as PETs estão intimamente ligadas ao conceito de PbD.

Num primeiro momento, somos levados a crer que a adoção de PETs e medidas de segurança seriam suficientes para criar um sistema blindado contra os riscos relacionados à privacidade. Ocorre que o desafio é muito maior. Ann Cavoukian, ex-Comissária de Informação e Privacidade da província canadense de Ontário, a autora que cunhou o termo Privacy by Design pela primeira vez, nos anos 90 já entendia que o cumprimento da legislação e a adoção de medidas técnicas não seriam suficientes para garantir a privacidade. Preocupar-se com a privacidade deveria permear os processos de gerenciamento de riscos de uma organização. A estrutura apregoada pela PbD emprega uma abordagem de engenharia de sistemas e gestão caracterizada pela proatividade, invés da reatividade. Deve haver um compromisso em minimizar de forma seletiva e sustentável os riscos à privacidade dos sistemas de informação por meio de controles técnicos e de gestão (SPIEKERMANN, 2012).

A propósito, a proatividade foi insculpida como um dos sete princípios da PbD - aos quais abordaremos mais adiante - propostos pela ex-comissária canadense:  

The Privacy by Design approach is characterized by proactive rather than reactive measures. It anticipates and prevents privacy invasive events before they happen. PbD does not wait for privacy risks to materialize, nor does it offer remedies for resolving privacy infractions once they have occurred – it aims to prevent them from occurring. In short, Privacy by Design comes before-the-fact, not after. (CAVOUKIAN, 2009).

Vale chamar atenção para o entendimento da Privacy by Design como sendo uma abordagem técnica para um problema social:

Privacy by design is a technical approach to a social problem. Obviously technology cannot help with all related aspects. Especially in the field of privacy, which touches various basic rights topics, such as freedom of expression and press, or protection from discrimination, issues have to be tackled in a grander scheme by society as a whole’. (Danezis et al, 2014)

Em 2010, na 32ª edição da conferência anual dos Comissários Internacionais de Proteção de Dados e Privacidade a PbD foi reconhecida como um componente essencial da proteção do direito fundamental de privacidade, sendo aprovada a Resolução sobre Privacy by Design.[3]

A resolução reconheceu a importância de incorporar os princípios de privacidade aos projetos de desenvolvimento, operação e gerenciamento de sistemas organizacionais, a fim de atingir um quadro de proteção integral em relação aos dados pessoais.

Também encorajou a adoção dos Princípios Fundamentais do Privacy by Design, conforme definido por Ann Cavoukian (2009), convidando as autoridades de proteção de dados a trabalhar ativamente e promover a inclusão do conceito nas políticas e legislações sobre proteção de dados dentro de seus respectivos Estados.

Desde então, a PbD tornou-se um padrão global, tendo sido traduzido para 35 línguas. Os formuladores de políticas públicas nos Estados Unidos, Europa e Austrália têm publicado propostas para incorporar a PbD na reforma da governança da privacidade e nos regimes de supervisão. Mais do que um conceito, a PbD tornou-se uma ferramenta legal e regulatória, requisito nas principais jurisdições do mundo. Com o mundo evoluindo tão rapidamente, as proteções à privacidade também devem evoluir em igual medida.

2. PRINCÍPIOS DO PRIVACY BY DESIGN

É principalmente nos meios digitais que observamos o quão desequilibradas são as relações entre as organizações que tratam dados pessoais, as quais têm o poder de dizer como serão tratados, e os titulares dos dados, que têm pouco controle sobre o tratamento. Os titulares, como é comum acontecer, podem ter suas vidas influenciadas por uma decisão automatizada ou por falhas na proteção da privacidade. Há nessa relação, portanto, uma incontestável assimetria de poder informacional.

No contexto de predominância das tecnologias de informação e comunicação, na esteira das obrigações legais, a preocupação é como a privacidade e a proteção dos dados pessoais podem ser incorporadas nos sistemas de informação, preferencialmente desde a fase de concepção.

Assine a nossa newsletter! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.

Inscrever

O conceito de Privacy by Design abrange princípios que podem ser aplicados desde o início do desenvolvimento de produtos e serviços, com o fim de mitigar os riscos de privacidade e obter conformidade com as leis de proteção de dados.

A abordagem PbD se estende a sistemas de tecnologia da informação, processos de negócios, estruturas de gerenciamento e projetos de espaços físicos e infraestrutura de redes. Portanto, é uma evolução do diálogo sobre a privacidade, indo além da tecnologia (CAVOUKIAN, 2010).

Abaixo, os princípios orientadores de uma abordagem baseada no Privacy by Design:

1. Proativo não reativo; preventivo, não corretivo: A abordagem PbD é caracterizada por ser proativa, ao invés de reativa. A ideia é evitar incidentes de privacidade, antecipando-se aos problemas. Isso significa agir antes do fato, não depois.
2. Privacidade como padrão: A privacidade é incorporada por padrão nos produtos e serviços. É preciso garantir que os dados pessoais sejam protegidos automaticamente em todos os sistemas de TI ou práticas comerciais, sem nenhuma ação adicional exigida por nenhum indivíduo.
3. Privacidade incorporada ao projeto: A privacidade é incorporada ao projeto e à arquitetura dos sistemas de TI e práticas de negócios. As medidas de privacidade não devem ser complementos, mas componentes totalmente integrados do sistema.
4. Funcionalidade total - soma positiva, não soma zero: A PbD emprega uma abordagem "ganha-ganha" para todos os objetivos legítimos de desenvolvimento do sistema; isto é, privacidade e segurança são importantes, não sendo necessário fazer concessões mútuas para que ambas sejam alcançadas. A ideia é evitar falas dicotomias, como Privacidade vs. Segurança.
5. Proteção do ciclo de vida de ponta a ponta: A privacidade deve ser incorporada ao sistema antes dos dados pessoais serem coletados, estendendo-se por todo o ciclo de vida dos dados, da coleta ao descarte. Os dados devem ser coletados e mantidos conforme necessários e destruídos quando não tiverem mais finalidade.
6. Visibilidade e transparência: Garanta às partes interessadas que os processos e tecnologias do negócio estejam operando de acordo com as promessas e objetivos, sujeitos a verificação independente.
7. Respeito à privacidade do usuário: A abordagem PbD exige que arquitetos e operadores mantenham, acima de tudo, o interesse no indivíduo, aplicando os mais fortes padrões de privacidade, aviso apropriado e opções fáceis de usar.

Esses princípios, como bem observado por GUËRSES et al. (2011), são vagos e deixam muitas questões em aberto sobre sua aplicação na engenharia dos sistemas.

Além disso, há uma certa dificuldade em traduzi-los em tecnologia e processos, exigindo uma abordagem verdadeiramente multidisciplinar entre desenvolvedores, gestores e advogados. (TSORMPATZOUNDI, 2016)

De todo modo, CAVOUKIAN (2012) divulgou trabalho contendo um guia de atividades que podem ser consideradas “melhores práticas” de operacionalização e implementação de um sistema baseado em PnB, levando em consideração os sete princípios.

Em que pese as abordagens serem variadas, a depender da organização, da tecnologia aplicada e de outras variáveis, o certo é que quando esses princípios são aplicados desde à fase inicial do projeto, de forma robusta e sistemática, os danos à privacidade são mitigados.

Vale ressaltar, por fim, que mesmo quando os princípios da PbD são aplicados, isso não garante plena conformidade com as leis, uma vez que os sistemas desenvolvidos podem estar em conflito com outras obrigações legais, por exemplo, retenção de dados de acordo com o Marco Civil da Internet.[4]

3. ALGUNS PAPÉIS ORGANIZACIONAIS RELACIONADOS À PRIVACIDADE

A fim de iniciar uma discussão a respeito dos papéis organizacionais no que concerne à proteção dos dados pessoais e da privacidade dos titulares desses dados, CAVOUKIAN (2012) propõe o seguinte modelo:

Fonte: CAVOUKIAN (2012)

De acordo com a figura, inicialmente, extraímos a ideia de que o desenvolvimento de produtos e serviços voltados para os consumidores é baseado em um conjunto de requisitos de privacidade, os quais são refletidos nas políticas de privacidade da organização.[5] A autora entende que mais importante do que definir o responsável por cada uma das funções identificadas, é que as tarefas sejam realizadas e executadas com responsabilidade. Numa startup com apenas duas pessoas, por exemplo, o fundador pode desempenhar o papel de “Board/CEO” e “Chief Privacy Officer”, enquanto o outro pode agir como o “proprietário do aplicativo” e “desenvolvedor”.

As políticas de privacidade são importantes porque servem para dar suporte a uma cultura de privacidade. A responsabilidade pela sua aplicação e desenvolvimento em toda organização cabe, naturalmente, a um membro sênior do corpo de diretores ou de líderes. Idealmente, essas tarefas estão a cargo do Chief Privacy Officer (CPO), o qual terá como responsabilidade executiva desenvolver práticas que garantirão que a privacidade seja consistentemente incorporada aos projetos. As políticas de privacidade orientam os proprietários de aplicativos e desenvolvedores a desenharem conjuntos específicos de requisitos de privacidade a serem incorporados aos seus produtos ou serviços.

Estabelecer os requisitos de privacidade é uma das mais importantes tarefas. Os “proprietários” das ofertas voltadas para os consumidores são os responsáveis pelo desenvolvimento de um rico conjunto de requisitos de privacidade, bem como sua subsequente integração no processo de desenvolvimento - desde à fase de concepção. Durante o ciclo de vida de desenvolvimento de um software, por exemplo, enquanto trabalham com os desenvolvedores, devem garantir que os requisitos sejam atendidos e que as deficiências sejam identificadas e solucionadas. Após a conclusão do processo de desenvolvimento, a aprovação do proprietário confirma que cada um dos requisitos foi totalmente satisfeito. Durante esse processo, o CPO deve ser atualizado em relação ao status de privacidade da oferta em construção, buscando sempre orientação e assistência, se necessário.

Após finalizarem a criação da oferta com base no conjunto completo de requisitos de privacidade, os desenvolvedores provavelmente terão de inovar para satisfazer privacidade desde a concepção, de acordo com o princípio da “Funcionalidade total - soma positiva, não soma zero”. Na medida que os requisitos de privacidade se tornam mais comuns, a tarefa de incorporar a privacidade acaba sendo simplificada. Os futuros projetos acabam ganhando mais velocidade pelo desenvolvimento de “bibliotecas de códigos de privacidade”, que são coleções de códigos que atendem a requisitos típicos de privacidade – da mesma forma que existem bibliotecas para incorporar medidas de segurança.

Sem dúvidas, um dos principais desafios de qualquer abordagem baseada nos princípios da PbD é envolver a alta administração na estratégia de privacidade. Trata-se de uma tarefa crucial. Talvez, num primeiro momento, os requisitos de privacidade possam ser vistos como fatores limitadores aos negócios, impactando os resultados empresariais. No entanto, há vantagens quando os líderes conseguem enxergar aspectos positivos nos controles de privacidade, assimilando o princípio do “ganha-ganha” ou de soma positiva. Isso facilita a pavimentação de um caminho em direção à cultura da privacidade.

De qualquer forma, mesmo que a alta administração aceitasse o desafio da privacidade, incorporando a governança dos dados pessoais o gerenciamento estratégico dos seus ativos corporativos, dificilmente seriam capazes de determinar uma estratégia correta sem a coragem e engenhosidade dos desenvolvedores. A privacidade deve fazer parte das prioridades dos engenheiros desde a concepção de um novo projeto.

4. DESAFIOS DE UMA ESTRATÉGIA DE PRIVACIDADE

De acordo com SPIEKERMANN (2012), mesmo que os desenvolvedores se comprometam com a PbD, os seguintes desafios devem ser superados:

• Privacidade é um conceito difuso e, portanto, difícil de saber o que é preciso ser protegido. Antes, é preciso chegar a um acordo sobre o que se quer proteger. Além disso, conceitualmente e metodologicamente, a privacidade é frequentemente confundida com segurança. Para uma abordagem eficaz, é preciso começar a distinguir segurança de privacidade.
• Nenhuma metodologia de desenvolvimento conhecida apoia a engenharia sistemática da privacidade. Raramente, os ciclos de vida de desenvolvimento do sistema deixam espaço para considerações de privacidade.
• Existe pouco conhecimento sobre os benefícios e riscos tangíveis e intangíveis associados às práticas de privacidade das empresas.

No tocante à segurança da informação, HADAR et al. (2018), constaram que os desenvolvedores usam o vocabulário dessa disciplina para abordar desafios de privacidade. Para eles, essa tendência limita suas percepções de privacidade a, principalmente, ameaças de terceiros provenientes de fora da organização.

A propósito, do mesmo modo que a privacidade, a segurança é um aspecto geralmente considerado nos últimos estágios de desenvolvimento do sistema. Diante disso, importa dizer que segurança significa que a confidencialidade, integridade e disponibilidade dos dados pessoais são garantidas. Do ponto de vista da proteção de dados, a segurança é um dos vários meios para garantir a privacidade. Em muitos contextos, é verdade, privacidade e segurança tem o mesmo sentido. Uma abordagem PbD é impensável sem levar em conta o Security by Design (SbD).[6] As duas abordagens estão em um relacionamento de "soma positiva”, que é um dos princípios da PbD.

Como exemplo, podemos citar a privacidade no armazenamento, que se refere à capacidade de armazenar dados pessoais sem que ninguém seja capaz de acessá-los, exceto o proprietário dos dados e quem ele autoriza. É um desafio impedir que as partes não autorizadas acessem os dados armazenados. Se os dados estão armazenados apenas localmente, um controle físico pode ser suficiente, mas se o dispositivo de armazenamento estiver conectado em rede, com uma porta aberta à Internet, um invasor pode ter acesso remoto aos dados. Se os dados estiverem armazenados na nuvem por um serviço especializado, teoricamente estarão mais seguros, desde que criptografados e apenas o proprietário dos dados, e não o serviço de nuvem, possua as chaves de descriptografia.

5. PRIVACY-ENHANCING TECHNOLOGIES (PETS)

Elementos muito importantes são os mecanismos técnicos, mais conhecidos como Privacy-Enhancing Technologies (Tecnologias de aprimoramento da privacidade, PETs). Se, por um lado, a tecnologia pode ser invasiva à privacidade, por outro, ela pode ser uma ferramenta para sua proteção. Uma das definições mais adotadas do termo "Tecnologias de aprimoramento da privacidade" foi dada por BORKING et al (2003):

Privacy-Enhancing Technologies is a system of ICT measures protecting informational privacy by eliminating or minimising personal data thereby preventing unnecessary or unwanted processing of personal data, without the loss of the functionality of the information system.

O objetivo das PETs, portanto, é proteger os dados pessoais e a privacidade dos usuários dos sistemas por meio de tecnologias que não acarretem perda da funcionalidade do sistema de informação.

Apresentar uma lista abrange de PETs não faz parte do escopo desse trabalho, mas podemos citar alguns exemplos, como a criptografia, protocolos para comunicações e credenciais anônimas, EPID (assinatura digital que suporta anonimato) etc. Exemplos práticos de uso dessas tecnologias são os serviços de mensagens criptografadas de ponta a ponta com a ausência de servidores centrais de processamento ou armazenamento do conteúdo das mensagens ou metadados de comunicações. Navegadores de Internet, como o Tor, e mecanismos de busca, como o DuckDuckGo, têm foco na privacidade e não registram as atividades dos usuários.

Apesar de terem eficácia, tais tecnologias não são amplamente utilizadas no desenvolvimento de sistemas. De todo modo, mesmo que fossem, precisariam estar enraizadas na estratégia de governança de dados para serem efetivas.

Do ponto de vista do usuário, também existem muitas barreiras à adoção de PETs, conforme destacado por McDONALD (2015): (i) Crença equivocada de que uma lei forte protege a privacidade online; (ii)  Crença equivocada de que as empresas nunca coletariam o tipo de dados que forma a espinha dorsal de seus modelos de negócios; (iii) Falta de percepção que a coleta de dados invisível continua; (iv) Falta de conhecimento a respeito de ferramentas que melhoram a privacidade; (v) Procedimentos de instalação tecnicamente difíceis; (vi) Péssimas experiências do usuário quando as ferramentas são ativadas.

As PETs, desde a década de 1990, foram desenvolvidas sob diferentes perspectivas, envolvendo atores jurídicos, técnicos e outras partes interessadas. Com o uso dessas tecnologias, diminui-se os riscos relacionados à privacidade e às obrigações legais de proteção de dados.

6. CONCLUSÃO

Diante do tratamento massivo de dados pessoais, bem como do crescente número de violações relacionadas à privacidade, diversas medidas foram tomadas, desde criação e aplicação de leis de proteção até a implementação de tecnologias de aprimoramento da privacidade (PETs). A abordagem PbD pode e deve ser incorporada na projeção de sistemas de informação, valorando a privacidade em todo ciclo de desenvolvimento do sistema, já que essa é uma exigência legal.

A PbD tem papel significativo nos esforços das organizações em respeitar a privacidade. Isso interfere não somente nos processos de desenvolvimento dos sistemas, mas impacta todo o contexto organizacional, com a criação de novas funções, atribuições e responsabilidades. Exige-se um trabalho interdisciplinar entre desenvolvedores, gestores e advogados.

Apesar da privacidade ser um problema social, grande parte dos seus problemas está diretamente ligado ao funcionamento dos sistemas. Por isso que é necessário lidar com a questão aplicando-se tecnologias de aprimoramento da privacidade, as PETs (Privacy-Enhancing Technologies).

A maior parte dos desenvolvedores não usa essa abordagem, talvez devido aos há poucos incentivos para aplicarem a PbD. Além disso, fator agravante é a falta de metodologias e ferramentas de desenvolvimento integradas aos ambientes de desenvolvimento de software. Quem sabe, agora, com as legislações de proteção de dados, trazendo obrigações dessa natureza, o cenário comece a mudar.

De todo modo, a abordagem PbD, geralmente, não ocorre espontaneamente, precisando ser promovida pelos líderes. Existe uma deficiência na conscientização e conhecimento entre os desenvolvedores de sistemas e provedores de serviços. A motivação para implementar medidas de proteção da privacidade precisa ir além dos argumentos baseados no medo. De maneira geral, as organizações não conseguem entender o aspecto valorativo da privacidade, limitando-se a vê-la como um fator de risco.

Sem incentivos claros para aplicar a privacidade nas suas ofertas, os desenvolvedores de sistemas e provedores de serviços não serão impulsionados a oferecer produtos e serviços amigáveis ​​à privacidade e compatíveis com a lei.