Novas tecnologias alteram os riscos de privacidade e proteção de dados que enfrentamos de maneira bilateral: embora surjam novos riscos, a tecnologia também pode ajudar a minimizar ou evitar riscos à privacidade e à proteção de dados.
A ideia de moldar a tecnologia de acordo com os princípios de privacidade é discutida há muitos anos. A privacidade por design foi apresentada pela primeira vez pela Comissária de Informações e Privacidade de Ontário, Canadá, Ann Cavoukian, que em meados de 1990 idealizou a noção de incorporar medidas de privacidade e tecnologias de aprimoramento da privacidade (PETs) diretamente no design de tecnologias e sistemas de informação. O termo PETs (Privacy Enhancing Technologies) abrange uma ampla gama de tecnologias projetadas para oferecer suporte à privacidade e proteção de dados.
Atualmente, privacidade por design é considerada um conceito multifacetado, envolvendo vários componentes tecnológicos e organizacionais, que implementam princípios de privacidade e proteção de dados em sistemas e serviços.
Essa análise está em contexto com a crescente e ampla necessidade de fundamentação do desenvolvimento tecnológico com valores e ética humanos. Uma implementação eficaz do princípio da privacidade by design e by default representa um importante marco em direção à tecnologia baseada em valores humanos.
A proteção de dados por design e por padrão exige que se implemente medidas técnicas e organizacionais apropriadas para implementar os princípios de proteção de dados e proteger os direitos individuais. Em essência, proteção de dados por padrão significa integrar proteção de dados em suas atividades de processamento e práticas de negócios, desde o estágio de design até o ciclo de vida. A proteção de dados por design consiste em considerar antecipadamente os problemas de proteção e privacidade de dados em tudo o que se faz, garantindo o cumprimento dos princípios e requisitos fundamentais da proteção de dados e tendo como foco a prestação de contas.
LGPD
Seguindo a tendência mundial, em especial as disposições da GDPR, a Lei Geral de Privacidade de Dados Brasileira, também dispôs expressamente sobre o tema em seu art. 46, que assim prevê:
“Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
§1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.
§2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.”
A quem se aplica?
A legislação determina a aplicação a todos os responsáveis pelo tratamento de dados e a todos os responsáveis pelo cumprimento da legislação. Se aplica à toda a organização para a proteção de dados e a inclusão de considerações de privacidade em qualquer atividade de processamento realizada. Dependendo das circunstâncias, podem existir requisitos diferentes para diferentes áreas da organização. Portanto, não se aplica apenas às organizações que possuem seus próprios desenvolvedores de software e arquitetos de sistemas.
Portanto se aplica também àquela organização contratada por outra organização para processar dados pessoais, os quais também devem possuir política com recursos suficientes e garantias para atender aos requisitos de adequação à legislação.
Assim, ao considerar quais produtos e serviços são necessários no dia a dia deve-se escolher aqueles em que os designers e desenvolvedores levaram em consideração a proteção de dados.
O que deve ser feito?
Deve-se implementar medidas técnicas e organizacionais apropriadas, projetadas para implementar os princípios de proteção de dados e proteger os direitos individuais.
Não existe um método ‘tamanho único’ para fazer isso e nenhum conjunto de medidas que você deve implementar. Depende das suas circunstâncias.
A chave é que você considere os problemas de proteção de dados desde o início de qualquer atividade de processamento e adote políticas e medidas apropriadas que atendam aos requisitos de proteção de dados por design e por padrão. Alguns exemplos de como você pode fazer isso incluem, exemplificativamente, (i) minimizar o processamento de dados pessoais; (ii) pseudonimização de dados pessoais o mais rápido possível; (iii) garantir a transparência no que diz respeito às funções e tratamento de dados pessoais; (iv) permitir que indivíduos monitorem o processamento; e (v) criar e melhorar recursos de segurança.
Isto não é uma lista exaustiva. A conformidade com a proteção de dados por design e por padrão pode exigir que você faça muito mais do que o descrito acima.
Quando deve ser feito?
Deve-se iniciar a proteção de dados por design na fase inicial de qualquer sistema, serviço, produto ou processo. Deve-se começar considerando as atividades de processamento pretendidas, os riscos que eles podem representar para os indivíduos e as possíveis medidas disponíveis para garantir que se cumpra os princípios de proteção de dados e proteja os direitos individuais. Essas considerações devem cobrir (i) o estado da arte e os custos de implementação de quaisquer medidas; (ii) a natureza, escopo, contexto e objetivos do seu processamento; e (iii) os riscos que o seu processamento representa para os direitos e liberdades dos indivíduos. Isso é semelhante à avaliação de risco das informações que você deve fazer ao considerar suas medidas de segurança.
Essas considerações levam à segunda etapa, na qual você implementa medidas técnicas e organizacionais reais para implementar os princípios de proteção de dados e integrar salvaguardas ao seu processamento.
É por isso que não existe uma solução ou processo único que se aplique a todas as organizações ou atividades de processamento, embora existam vários pontos em comum que podem se aplicar às suas circunstâncias específicas.
Como fazer na prática?
Um meio de colocar esses conceitos em prática é desenvolver um conjunto de diretrizes práticas e acionáveis que possam ser usadas na organização, enquadradas por sua avaliação dos riscos e das medidas disponíveis. A maneira como se fará depende das circunstâncias concretas – quem é a empresa, o que está fazendo, os recursos disponíveis e a natureza dos dados que processa.
A chave é adotar uma abordagem organizacional que atinja certos resultados, tendo como garantia que sejam (i) considerados os problemas de proteção de dados como parte do design e implementação de sistemas, serviços, produtos e práticas de negócios; (ii) torne a proteção de dados um componente essencial da funcionalidade principal de seus sistemas e serviços de processamento; (iii) sejam processados apenas os dados pessoais necessários em relação aos seus propósitos e que apenas os utiliza para esses fins; (iv) os dados pessoais sejam automaticamente protegidos em qualquer sistema de TI, serviço, produto e / ou prática comercial, para que os indivíduos não precisem tomar nenhuma ação específica para proteger sua privacidade; (v) a identidade e as informações de contato dos responsáveis pela proteção de dados estão disponíveis na sua organização e para indivíduos; (vi) se adote uma política de ‘linguagem simples’ para qualquer documento público, para que as pessoas entendam facilmente o que você está fazendo com seus dados pessoais; (vii) seja fornecido aos indivíduos ferramentas para que eles possam determinar como você está usando os dados pessoais deles e se você está aplicando corretamente suas políticas; e (viii) sejam oferecidos altos padrões de privacidade, opções e controles fáceis de usar e respeita as preferências do usuário.