A LGPD E OS CONCEITOS DE PRIVACY BY DESIGN E PRIVACY BY DEFAULT

A Lei Geral de Proteção de Dados importou da norma europeia uma série de novos conceitos e princípios que se relacionam com a proteção de dados e privacidade.

Dentre estes princípios, dois deles, até então pouco conhecidos no país, serão objeto de estudo neste artigo.

Estamos falando do “Privacy by Design” e “Privacy by Default” que, em poucas palavras, podem ser definidos como a forma que o tratamento de dados pessoais deverá ser pensado em cada processo e criação empresarial.

As expressões “Privacy by Design” e “Privacy by Default” vêm sendo amplamente citadas, pois são meios de conceber, criar e configurar os sistemas que se utilizam dos dados pessoais, em conformidade com as normas vigentes.

O termo “Privacy by Design” está relacionado à preocupação de que os sistemas possam resguardar a privacidade dos titulares de dados desde antes do início da própria coleta dos dados, e não apenas no curso do tratamento.

Assim, as empresas devem assegurar, por meio de desenvolvimento de seus sistemas de tecnologia, a implementação nas suas práticas comerciais e processos internos, a segurança das informações em todo o processo, observando todas as suas etapas, com o objetivo de proteger a privacidade e os dados dos titulares.

Nesse contexto, foram desenvolvidos em torno do conceito do “Privacy by Design”, 7 (sete) princípios relacionados à proteção de dados, utilizando a ideia da privacidade “desde a concepção”. São eles:

1. Proativo, não reativo: Devem ser antecipadas as medidas para evitar os problemas com riscos relacionados à privacidade, como por exemplo, vazamento de dados.
2. Privacidade por padrão (“as the Default Setting”): são as regras padrão. Os dados estarão protegidos automaticamente em qualquer sistema, sem que seja necessária qualquer ação por parte do indivíduo. Além disso, pode-se mencionar como exemplo deste princípio a regra geral no sentido de que os funcionários de uma empresa somente deverão ter acesso a dados pessoais quando for indispensável ao desempenho das tarefas que são de sua responsabilidade.
3. Privacidade Embutida no Design: a privacidade deve ser totalmente integrada aos sistemas de tecnologia, práticas comerciais e processos internos das empresas.
4. Funcionalidade Total: o “privacy by design” visa acomodar todos os interesses de forma a somar múltiplas funcionalidades ao projeto.
5. Segurança de ponta-a-ponta: garantia, do início ao fim, do gerenciamento seguro do ciclo de vida das informações.
6. Visibilidade e Transparência: garante a todas as partes interessadas que, seja qual for a prática comercial ou tecnologia envolvida, a operação ocorrerá de acordo com as promessas e objetivos declarados.
7. Respeito à privacidade do usuário: exige que arquitetos e operadores mantenham os interesses do indivíduo em primeiro lugar, oferecendo medida com padrões seguros de privacidade, aviso apropriado, informações corretas e atualizadas.

Estes princípios deverão ser observados em todos os tipos de tratamentos de informações pessoais, mas deve ser aplicado com rigor especial a dados sensíveis, tendo em vista os impactos que os incidentes de privacidade relacionados a tal espécie de dados podem causar.

Já o “Privacy by Default”, ou “privacidade por padrão”, decorre do “Privacy by Design” por assim dizer. O conceito está relacionado, por exemplo, à ideia de que os produtos ou serviços oferecidos devem ter suas programações de privacidade restritas (forma mais restrita possível), cabendo ao próprio usuário, quando for a hipótese, liberar ou autorizar a coleta de informações e dados complementares.

Assim, os aplicativos, sites e sistemas oferecidos aos usuários apenas poderiam coletar o extremamente necessário e aquilo que fosse objeto de autorização pelo próprio usuário, mediante a informação pelo próprio sistema sobre quais informações estariam sendo objeto da coleta e para qual propósito estariam sendo utilizadas, salvo quando existente alguma outra base legal autorizadora.

Como exemplo, os chamados “cookies” existentes nos sites de internet. Para o “Privacy by Default”, essa ferramenta deve estar desativada “por padrão”, cabendo ao usuário ativá-los de forma voluntária e decidir quais são os dados que deseja compartilhar naquela oportunidade específica.

Tanto o “Privacy by Design” quanto o “Privacy by Default”, foram introduzidos na “GDPR” (General Data Protection Regulation), lei de proteção de dados europeia, como, por exemplo, consta na literalidade do seu artigo 25, intitulado “Data protection by design and by default”., que trata sobre o dever do controlador de implementar medidas técnicas e organizacionais apropriadas para que a proteção de dados seja eficaz e integre as salvaguardas necessárias ao processamento.

Já na Lei Brasileira, a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), tais conceitos não foram citados expressamente, entretanto, em alguns de seus dispositivos legais, estes se encontram implícitos.

Como exemplo, pode-se destacar o artigo 46, §2º da Lei nº 13.709/2018, cujo texto prevê expressamente que as medidas de segurança deverão ser observadas “desde a fase de concepção do produto ou do serviço até a sua execução”, em nítido alinhamento com o “Privacy by Design”, senão vejamos.

“Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

• 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.
• 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução”. (destaques nossos)

O conceito de “Privacy by Default” ou “privacidade por padrão”, na LGPD, está relacionado no artigo 6º, III, que assim prevê:

“Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

(…)

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados””.

Além disso, diversos outros princípios constantes na LGPD se comunicam com o conceito de “privacidade por padrão”, como o da finalidade, o da adequação e o da necessidade, por exemplo.

Assim, os conceitos de “privacidade desde a concepção” e “privacidade por padrão” são essenciais para que as empresas tenham conhecimento das adequações que precisarão ser implementadas nos seus processos internos, a partir da entrada em vigor da Lei Geral de Proteção de Dados.

Portanto, a proteção de dados terá que ser pensada, também, a partir da criação dos processos empresariais, como parte integrante do desenvolvimento dos sistemas, para que as empresas possam se adequar à Lei e, assim, adotar as melhores práticas para sua atuação.

Priscila Vasconcelos De Mello Vieira

OAB/BA 27.278