A Lei Geral de Proteção de Dados importou da norma europeia uma série de novos conceitos e princípios que se relacionam com a proteção de dados e privacidade.
Dentre estes princípios, dois deles, até então pouco conhecidos no país, serão objeto de estudo neste artigo.
Estamos falando do “Privacy by Design” e “Privacy by Default” que, em poucas palavras, podem ser definidos como a forma que o tratamento de dados pessoais deverá ser pensado em cada processo e criação empresarial.
As expressões “Privacy by Design” e “Privacy by Default” vêm sendo amplamente citadas, pois são meios de conceber, criar e configurar os sistemas que se utilizam dos dados pessoais, em conformidade com as normas vigentes.
O termo “Privacy by Design” está relacionado à preocupação de que os sistemas possam resguardar a privacidade dos titulares de dados desde antes do início da própria coleta dos dados, e não apenas no curso do tratamento.
Assim, as empresas devem assegurar, por meio de desenvolvimento de seus sistemas de tecnologia, a implementação nas suas práticas comerciais e processos internos, a segurança das informações em todo o processo, observando todas as suas etapas, com o objetivo de proteger a privacidade e os dados dos titulares.
Nesse contexto, foram desenvolvidos em torno do conceito do “Privacy by Design”, 7 (sete) princípios relacionados à proteção de dados, utilizando a ideia da privacidade “desde a concepção”. São eles:
Estes princípios deverão ser observados em todos os tipos de tratamentos de informações pessoais, mas deve ser aplicado com rigor especial a dados sensíveis, tendo em vista os impactos que os incidentes de privacidade relacionados a tal espécie de dados podem causar.
Já o “Privacy by Default”, ou “privacidade por padrão”, decorre do “Privacy by Design” por assim dizer. O conceito está relacionado, por exemplo, à ideia de que os produtos ou serviços oferecidos devem ter suas programações de privacidade restritas (forma mais restrita possível), cabendo ao próprio usuário, quando for a hipótese, liberar ou autorizar a coleta de informações e dados complementares.
Assim, os aplicativos, sites e sistemas oferecidos aos usuários apenas poderiam coletar o extremamente necessário e aquilo que fosse objeto de autorização pelo próprio usuário, mediante a informação pelo próprio sistema sobre quais informações estariam sendo objeto da coleta e para qual propósito estariam sendo utilizadas, salvo quando existente alguma outra base legal autorizadora.
Como exemplo, os chamados “cookies” existentes nos sites de internet. Para o “Privacy by Default”, essa ferramenta deve estar desativada “por padrão”, cabendo ao usuário ativá-los de forma voluntária e decidir quais são os dados que deseja compartilhar naquela oportunidade específica.
Tanto o “Privacy by Design” quanto o “Privacy by Default”, foram introduzidos na “GDPR” (General Data Protection Regulation), lei de proteção de dados europeia, como, por exemplo, consta na literalidade do seu artigo 25, intitulado “Data protection by design and by default”., que trata sobre o dever do controlador de implementar medidas técnicas e organizacionais apropriadas para que a proteção de dados seja eficaz e integre as salvaguardas necessárias ao processamento.
Já na Lei Brasileira, a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), tais conceitos não foram citados expressamente, entretanto, em alguns de seus dispositivos legais, estes se encontram implícitos.
Como exemplo, pode-se destacar o artigo 46, §2º da Lei nº 13.709/2018, cujo texto prevê expressamente que as medidas de segurança deverão ser observadas “desde a fase de concepção do produto ou do serviço até a sua execução”, em nítido alinhamento com o “Privacy by Design”, senão vejamos.
“Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
O conceito de “Privacy by Default” ou “privacidade por padrão”, na LGPD, está relacionado no artigo 6º, III, que assim prevê:
“Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
(…)
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados””.
Além disso, diversos outros princípios constantes na LGPD se comunicam com o conceito de “privacidade por padrão”, como o da finalidade, o da adequação e o da necessidade, por exemplo.
Assim, os conceitos de “privacidade desde a concepção” e “privacidade por padrão” são essenciais para que as empresas tenham conhecimento das adequações que precisarão ser implementadas nos seus processos internos, a partir da entrada em vigor da Lei Geral de Proteção de Dados.
Portanto, a proteção de dados terá que ser pensada, também, a partir da criação dos processos empresariais, como parte integrante do desenvolvimento dos sistemas, para que as empresas possam se adequar à Lei e, assim, adotar as melhores práticas para sua atuação.
Priscila Vasconcelos De Mello Vieira
OAB/BA 27.278