Entenda as diferenças entre privacy by design e privacy by default
Gisele Kauer, Advogada em proteção de dados/senior data protection analyst no Banco Safra
Estes nomes podem assustar, a princípio. Podem fazer o assunto parecer mais complexo do que realmente é. Mas, mais uma vez, meu objetivo é demonstrar que a LGPD (e a proteção de dados como um todo) é um assunto bem mais simples do que parece. Este é mais um “LGPD sem juridiquês” e esperamos desmistificar mais um assunto tratado pela Lei Geral de Proteção de Dados.
Privacy by Design |
|
Como o próprio nome sugere, a proteção de dados “by design” é sobre a adoção de medidas de segurança, técnicas e organizacionais desde a concepção de um determinado processo ou projeto. Ou seja: desde os primeiros estágios do desenvolvimento de um processo que envolva o tratamento de dados pessoais, deve haver a observância de medidas que garantam a proteção de dados pessoais (e, consequentemente, a privacidade dos indivíduos sobre quem os dados pessoais dizem respeito). É a aplicação da privacidade desde a criação, desenvolvimento e planejamento. |
Exemplos |
|
O desenvolvimento de novos sistemas (TI) com a observância da privacidade pelo próprio desenvolvedor, pensando em desenvolver em uma linguagem de programação que possibilite um melhor desenvolvimento de mecanismos de proteção de dados e segurança da informação junto aos sistemas já existentes na empresa. |
|
A observância do respeito à privacidade do titular no desenvolvimento de novos produtos, desde a elaboração, idealização (literalmente, desde o ‘design’ destes novos produtos). |
|
Criar cada novo processo da empresa de forma pautada pelas políticas de privacidade e outros procedimentos em termos de proteção de dados e segurança da informação. |
|
Utilizar de criptografia para qualquer nova ferramenta de comunicação e em devices fornecidos para os colaboradores, assegurando que, desde a geração de determinada informação, esta terá um nível a mais de confidencialidade, dificultando acessos não autorizados que possam resultar em data breaches. |
Privacy by Default |
|
Também seguindo o conceito sugerido pela nomenclatura, a privacidade “by default” diz respeito à adoção da proteção de dados pessoais como padrão em todos os processos e atividades desenvolvidos pela empresa, por meio da definição de medidas de segurança, técnicas e organizacionais que devem ser aplicadas de forma padronizada e constante, em todas as áreas, projetos, produtos. Quer dizer, antes de a empresa iniciar qualquer processo, é necessário que seja verificado se o mínimo necessário em termos de proteção de dados está sendo observado, como finalidade específica e legítima para o tratamento de dados pessoais, ou a minimização dos dados sempre que aplicável. |
Exemplos |
| Adoção de “configurações-padrão” para qualquer software e aplicativo utilizados na operação, assegurando que as ferramentas estão sendo usadas de maneira segura e com um padrão mínimo de privacidade aplicado. |
|
Verificar se em todos os processos envolvendo consentimento dos indivíduos estão presentes os elementos “livre, informado e inequívoco”, com uma liberdade de escolha real sobre a utilização ou não de seus dados para cada finalidade específica. |
|
Assegurar que em cada processo são tratados apenas os dados anteriormente informados ao titular, sem nenhum tratamento adicional e/ou extensivo. |
|
Providenciar que os titulares tenham informações, meios e controles suficientes para que possam exercer os seus direitos (na LGPD, GDPR ou qualquer outra lei ou regulamento aplicável em termos de proteção de dados). |
A importância destes dois institutos está na visão macro de que a privacidade e a proteção de dados devem ser implementadas numa perspectiva de mudança de cultura dentro das empresas, implementado a todos os processos e considerando a necessidade de privacidade nas diferentes áreas da organização que tratam dados pessoais, e não somente em alguns processos específicos isolados.
A LGPD, particularmente, é um tanto breve sobre o tema, não entrando em detalhes durante a redação; o conceito trabalhado aqui, portanto, tem por base o disposto no GDPR (Regulamento Geral sobre a Proteção de Dados da União Europeia), que inspirou fortemente a nossa lei brasileira. Nesse aspecto, busquei trazer algo contemplando o entendimento da Comissão Europeia a respeito, bem como da ICO – Autoridade de Proteção de Dados do Reino Unido, que traz uma abordagem de caráter bastante prática sobre o tema.
Espero ter simplificado um pouco o tema, e que continuem interessados pela nossa Lei Geral de Proteção de Dados. Um ótimo começo de ano para todos e até a próxima!
Advogada em proteção de dados/senior data protection analyst no Banco Safra. Graduada em Direito pela Faculdade de Direito de São Bernardo do Campo (FDSBC) e certificada em Financial Markets pela Yale University. Palestrante convidada na EACH-USP e na FDSBC. ISO/IEC 27001 (Information Security) certified. Coautora do capítulo “Regulation of Personal Data Processing” na International Encyclopaedia of Laws (IEL) for Cyber Law. Professora na Associação Brasileira de Propriedade Intelectual (ABPI) e na Privacy Academy.
