"Privacy by Design" e Compliance na LGPD

Por Leonardo Henrique de Carvalho Ventura

A legislação brasileira, desde a Constituição Federal de 1988, protege de maneira expressa a privacidade dos cidadãos independentemente do meio ou da natureza, da forma mais abrangente possível. Dentre os direitos fundamentais previstos no artigo 5º estão a inviolabilidade da intimidade e da vida privada, que representam, numa interpretação lógica, a própria privacidade. O Código Civil é ainda mais direto e inclui o direito à privacidade e à intimidade entre os direitos da personalidade em seu Capitulo II, com amplas e irrevogáveis proteções.

Durante a evolução humana o termo tecnologia sempre remeteu apenas a benefícios e desenvolvimento, sem nos atentarmos para seu verdadeiro potencial. Além dos problemas típicos de privacidade que normalmente atingiam as pessoas publicas, a tecnologia colocou na mira, também, de forma democrática, todas as outras pessoas, numa espécie de massificação da informação e da exposição.

A Doutora Ann Cavoukian, ex Comissaria de Informação e Privacidade da Provincia de Ontario e Diretora executiva do Instituto de Privacidade e Big Data da Universidade Ryerson, é especialmente reconhecida na área porque, ainda no inicio da informatização, quando a tecnologia ainda engatinhava, previu que, por conta do desenvolvimento tecnológico, as relações e processos envolveriam, quase que obrigatoriamente, a coleta de dados e informações pessoais e que essas informações, num certo momento, seriam muito valiosas.

Uma das novidades destacadas pela Doutora Ann naquela época e que teve muita relevância em todo o processo de regulação do meio digital, é o conceito do Privacy by Design.

 

“Privacy by Design é uma metodologia na qual a proteção de dados pessoais é pensada desde a concepção de sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais.”

 

Esse conceito se consolida no âmbito internacional por volta de 2010, quando é inicialmente reconhecido e chancelado pela Autoridade Europeia de Proteção de Dados e pela Federal Trade Comission dos Estados Unidos e mais recentemente quando incorporado definitivamente pela GDPR, principal norma na área e referencia para as demais legislações internacionais.[1] A GDPR, estabeleceu o ideal da proteção dos dados pessoais como forma de amparar o cidadão e as entidades dos riscos da nova realidade digital, servindo de base e inspiração para as demais nações do mundo que viram-se obrigadas a se estruturar para acompanhar os novos direitos e riscos envolvidos. O Brasil, seguindo essa tendência, aprovou recentemente a LGPD para se adequar as normas do restante do mundo.

 

No Brasil, algumas normas infraconstitucionais previram regras que desde o inicio remetiam, na essência, ao que hoje se identifica como Proteção de Dados, como o Código de Defesa do Consumidor, por exemplo, que desde o inicio estabeleceu regras relacionadas à formação de bancos de dados de consumidores, e mais recentemente, com o Marco Civil da Internet que estabeleceu como princípios básicos do uso da internet no Brasil a proteção da privacidade e dos dados pessoais, e os direitos e garantias dos internautas, como a “inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação”.

Por ser mais recente, editada já na Era Digital, o Marco Civil se destacou ao impor regras aos provedores de internet, até então entes pouco conhecidos e fiscalizados, e que passaram a ter obrigações legais como o fornecimento de informações claras e completas acerca de todo o processo de tratamento dos dados, como a coleta, o uso, o armazenamento, bem como previu a necessidade de consentimento expresso para o tratamento. Essa necessidade de consentimento livre, expresso e informado do usuário foi repetida expressamente na nova Lei Geral de Proteção de Dados.

 

Corroborando a importância do tema, o Marco Civil da Internet, em seu artigo 7º, ressaltou que: “O acesso à internet é essencial ao exercício da cidadania”, elevando-o praticamente ao patamar de um direito fundamental do cidadão.

 

O “PRIVACY BY DESIGN”

 

Por ser um conceito com natureza principiológica e orientadora, o “Privacy by Design” guia seus tutelados de forma a projetar, construir e implementar suas tecnologias tendo como foco e objetivo principal a segurança e a privacidade dos dados. A necessidade e a capacidade de detectar os interesses envolvidos na relação, garantindo às partes a segurança necessária para as atividades oferecidas, é a missão principal dos desenvolvedores de conteúdos e tecnologias.

Com a intensificação das relações digitais, as tecnologias e plataformas de captura e coleta de dados cada vez mais se especializaram em analisar e identificar os hábitos e insights dos usuários, criando estudos de comportamento e preferencias que podem ser usados de forma muito prejudicial para o usuário ou para o meio no qual ele está inserido. Dessa forma, meios seguros e transparentes de captura e tratamento desses dados são cruciais para um ambiente saudável.

 

Regra implícita do meio digital é que “a transparecia deve ser diretamente proporcional ao poder; a privacidade deve ser inversamente proporcional ao poder.”[3] Portanto a transparência deveria ser a principal preocupação das entidades que capturam dados dos seus usuários, mas não é o que se verifica diante dos últimos escândalos divulgados, dentre eles o caso Facebook e o caso Ashley Madson.

Nesse interim, o Privacy by Design foi resumido e simplificado em 7 princípios básicos:

 

  1. Pró-ativo não reativo; preventivo não corretivo

 

Inicialmente, como regra trazida pelas novas concepções de compliance, a proatividade como regra de conduta representa que os desenvolvedores devem prever e antecipar os eventos passiveis de interferência ou de comprometimento da privacidade. O principio se contrapõe as antigas técnicas empresariais, geralmente reativas a partir da constatação dos danos ou do resultado de auditorias, mas sempre “post fact”.

Além dos benefícios internos, de aprimoramento de processos, as empresas se viram compelidas a se adequar aos novos princípios por força das normas aplicáveis ao setor que passaram a prever pesadas multas no caso de ocorrências, independentemente da constatação do dano especifico. Pelas novas normas passou-se a entender que a ocorrência de um evento no setor de privacidade significa que os dados pessoais já foram comprometidos, portanto já esta caracterizado o fato punível.

 

  1. Privacidade como configuração padrão

A configuração referente a privacidade deve prever a proteção e a segurança como regra geral, devendo qualquer tratamento ser tratado como exceção e condicionado a autorização expressa do titular.

Esse mandamento exige dos tratadores o máximo de cautela em suas plataformas. Como exemplo pratico temos os dispositivos dos smartphones, ou mesmo os aplicativos como Uber e 99 Taxi que tem dispositivos que localizam o usuário em tempo real e, se usado da maneira errada, podem monitorar os passos e a vida dos usuários. Nesses casos, o sistema de localização remota deve ser opcional e originalmente desativado.

 

 

  1. Privacidade incorporada ao design

 

Esse principio é mais uma sugestão do que uma nova orientação porque, apesar de quase repetir o mandamento do principio anterior, na verdade é mais especifico e sugere que o desenvolvedor do sistema, ao incorporar as ferramentas de privacidade ao projeto inicial, em sua concepção, reduzirá os esforços e o desgaste no cumprimento futuro das regras de proteção que certamente lhe serão cobradas. A privacidade passa a ser parte da própria solução e não um adendo.

 

  1. Funcionalidade total - soma positiva, não soma zero

 

Pelo Privacy by Design, a utilização dos dados pessoais deve se dar em consonância com os objetivos do tratador, mas esse objetivo deve ser legitimo, permitindo que o usuário use as funcionalidades sem a necessidade de exposição excessiva. Busca-se evitar um famoso sistema de trocas desnecessárias, transformando a segurança e a privacidade em moedas de troca.

 

  1. Segurança de ponta a ponta - proteção completa do ciclo de vida

 

Esse principio impõe aos agentes de tratamento que garantam a segurança de todas as informações desde a sua captura, que é a primeira forma de tratamento, até a sua eliminação ou compartilhamento, que também são formas de tratamento. Por esse principio a responsabilidade dos agentes se estende durante todo o ciclo, e qualquer fato durante esse processo será de responsabilidade dos mesmos, independentemente de comprovação de dano especifico.

Uma das regras implícitas é a transparência para que o titular esteja ciente de todo o processo e não seja surpreendido por um uso ilegítimo danoso. Caso recente, de grande repercussão, foi do Facebook e  Cambridge Analytica, onde não se garantiu a proteção da informação durante uma das etapas de seu ciclo de vida.

 

 

  1. Visibilidade e transparência - mantê-lo aberto

 

Dois dos princípios mais importantes das relações do meio digital, a visibilidade e a transparência se aplicam desde o inicio da relação, quando os termos e condições de uso e de privacidade devem ser expostos de forma clara pelo agente de tratamento, dando destaque para todas as informações relevantes que envolvam a mitigação ou flexibilização de algum direito.

Apesar de não ser usual, esse principio visa garantir tambem que entidades independentes possam verificar e atestar essas condições.

 

  1. Respeito pela privacidade do usuário - mantê-lo centrado no usuário

 

Novamente o foco no desenvolvimento do sistema baseado nos interesses e garantias do usuário, com medidas capazes de prevenir, garantir e comunicar claramente ao titular todas as possibilidades e riscos no tratamento previsto. A privacidade sempre sera a base do sistema e as exceções devidamente negociadas e informadas.

 

Os sete princípios não fogem ao que o senso comum exige atualmente diante das situações e casos práticos que se colocam. As regras de compliance tão em voga atualmente, principalmente a partir do FCPA e do UKBA, exigem o respeito às normas legais e principalmente as normas éticas e comportamentais. No caso das relações digitais, o respeito a privacidade é parte determinante dessa conduta etica.

Sara Soumillion, porta voz da Comissão Europeia para a GDPR destaca:

“Investir em privacidade compensa e cria novas oportunidades comerciais. Por exemplo, produtos e serviços estão sendo desenvolvidos e oferecidos com novas soluções de privacidade e segurança de dados. E, de fato, o GDPR, por meio de princípios como Privacy by design e o Privacy default, incentiva os negócios a inovar e desenvolver novas ideias, métodos e tecnologias para a segurança e proteção de dados pessoais”

 

 

A nova concepção trazida pelo legislador brasileiro na Lei Geral de Proteção de Dados é que o dano a democracia resta configurado apenas com a utilização ilegítima dos dados, já que sua utilização com finalidade diversa, por si só, é uma afronta aos princípios morais e legais. A exemplo da legislação europeia, a norma tenta reduzir as múltiplas bases legais de processamento de dados possíveis para apenas uma, a “Opt-in”, ou seja, o consentimento prévio do usuário.

Assim as regras visam garantir, alem da segurança da informação, uma relação de confiança e transparência entre as partes envolvidas, resgatando a credibilidade do meio. Nesse esteio, caso não seja possível desenvolver um sistema com base no “opt-in”, uma opção de “opt-out” de fácil manejo, disponibilizada de forma clara e simplificada é recomendada.

A natureza principiológica do “Privacy by Design” serve de inspiração para que as atividades sigam suas premissas sob pena de violarem a boa fé das relações digitais. Num meio que exige transparência e segurança, os princípios destacados representam justamente a busca desses objetivos e devem ser adaptados conforme as necessidades práticas de cada desenvolvedor.

A proteção da privacidade por meio de sua incorporação as estruturas tecnológicas e as infraestruturas utilizadas permite que o usuário seja capaz de gerenciar e preservar as informações que considerar mais relevantes abrindo mão das garantia que achar cabível, mas preservando aquelas que considerar necessárias, sem ser privado dos conteúdos.

Com a entrada em vigor da GPDR, norma europeia de repercussão mundial que regula o tratamento de todos os dados que tenham repercussão sobre as nações ou cidadãos europeus, todas as demais nações do mundo se viram obrigadas a se adaptar, como condição para o livre comercio com o bloco europeu. Essa pressão foi fundamental para que a versão brasileira fosse finalizada e hoje cerca de 126 países possuem leis de proteção de dados pessoais nos moldes mínimos exigidos pela GPDR. Essas mobilização reflete a tendência evolutiva de cuidados com os dados pessoais a as informações sensíveis, chamados por alguns de “petróleo do século 21”.

 

O Regulamento europeu trouxe expressamente a necessidade de respeito aos conceitos do Privacy by Design, destacando em seu artigo 25 a necessidade de implementação de medidas técnicas e operacionais que restrinjam o tratamento de dados ao necessário para a finalidade especifica.

Embora o termo “Privacy by Design” não estivesse previsto expressamente na legislação brasileira, alguns dos princípios foram devidamente incorporados, inicialmente através do Marco Civil da Internet, que inovou e destacou o principio da finalidade e da necessidade de obtenção de consentimento para o tratamento de dados e, por fim, no ano de 2018 com a LGPD, com “vacatio legis” de 18 meses, que reproduziu grande parte da GPDR e buscou atender às exigências da autoridade europeia para sua adequação e reconhecimento. Nesse sentido, a norma também se aproxima do conceito da “Privacy by Design”, especialmente no que diz respeito aos princípios da transparência, segurança e prevenção, indicados em seu artigo 6º, alem da trinca principal de princípios representada pela legalidade, adequação e necessidade, segundo os quais os tratamentos devem ser adequados, relevantes e limitados à sua necessidade.

 

 

REFERENCIAS:

 

[1] (http://www.lecnews.com.br/blog/protecao-de-dados-pessoais-privacy-by-design-e-compliance/)

[2] (http://www.lecnews.com.br/blog/protecao-de-dados-pessoais-privacy-by-design-e-compliance/)

[3] Privacidade e proteção de dados pessoais. Danilo Doneda. Disponível em: http://www.cgu.gov.br/sobre/institucional/eventos/anos-anteriores/2017/5-anos-da-lei-de-acesso/arquivos/mesa-3-danilo-doneda.pdf

 
Enviar-me um e-mail quando as pessoas deixarem os seus comentários –

Para adicionar comentários, você deve ser membro de Blog da BlueTax.

Join Blog da BlueTax

Comentários

This reply was deleted.