Provavelmente você já deve ter ouvido falar de privacy by design e, talvez, até sobre a sua relação com a Lei Geral de Proteção de Dados (LGPD). A lei prevê em seu art. 46, § 2º, que as medidas técnicas e administrativas devem ser pensadas desde a concepção do produto até a sua execução, ou seja, adotando, portanto, o conceito de privacy by design (privacidade desde a concepção).
No entanto, embora inovadora na legislação de proteção de dados brasileiras, a expressão foi criada na década de 90, por Ann Cavoukian, ex-comissária de Informação e Privacidade da Província de Ontário, no Canadá. Segundo Ann Cavoukian (CAVOUKIAN, 2011), pelo privacy by design, a proteção à privacidade provém de: (i) sistemas de tecnologia da informação (IT systems); (ii) práticas negociais responsáveis (accountable business pratices); e (iii) design físico e infraestrutura de rede (physical and networked infrastructure).
Para Bruno Bioni (BIONI, 2019, p. 231), privacy by design é “a ideia de que a proteção de dados pessoais deve orientar a concepção de um produto ou serviços, devendo eles ser embarcados com tecnologias que facilitem o controle e a proteção das informações pessoais”.
Os pilares que formam o privacy by design são sete:
- Pró-ativo não Reativo; Preventivo não Corretivo: deve ser adotada uma postura preventiva, de forma a evitar que incidentes de violação de privacidade ocorram;
- Privacidade como Configuração Padrão: a configuração padrão de determinado sistema deve preservar a privacidade do usuário;
- Privacidade Incorporada ao Design: a privacidade deve ser incorporada à arquitetura dos sistemas de TI e às práticas negociais;
- Funcionalidade Total: devem ser incorporados todos os interesses envolvidos, de forma a evitar falsas dicotomias, como privacidade vs. segurança, demonstrando-se que a coexistência é possível;
- Segurança de Ponta a Ponta – Proteção Completa do Ciclo de Vida: uma vez que a privacidade é incorporada ao sistema de TI antes do primeiro elemento de informação ser coletado, esta é estendida para todo o ciclo de vida da informação;
- Visibilidade e Transparência: deve ser assegurado a todos os envolvidos que as práticas negociais e as tecnologias são operacionalizadas de acordo com as premissas e objetivos definidos para o tratamento, estando sujeitos à verificação independente;
- Respeito pela Privacidade do Usuário – Mantenha o Foco no Usuário: exige que os desenvolvedores e operadores dos sistemas priorizem os interesses dos indivíduos, oferecendo altos padrões de privacidade, notificações adequadas e opções fáceis de serem compreendidas pelos usuários.
Portanto, conclui-se que o privacy by design deve nortear, e não impedir, as atividades inovativas e, nesse aspecto, pode ser uma ferramenta crucial para garantir a conformidade com a legislação, identificar medidas de mitigação de conflitos, além de resultar vantajoso diferencial competitivo.
Referências
BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019.
CAVOUKIAN, Ann. Privacy by Design: The 7 Foundational Principles. Disponível em: <https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf>.