Aplicativos para smartphones ou sites terão que (re)desenhar os seus serviços com base na proteção de dados. Esse é o ponto de partida do artigo de Samanta Oliveira, advogada especializada na proteção de dados

A General Data Protection Regulation (GDPR) foi uma das primeiras legislações a trazer dois princípios que passaram a ser relevantes na produção de aplicativos e outros serviços digitais dentro do contexto moderno de proteção de dados. Trata-se do “Privacy by Design” e “Privacy by Default”, que permitem a adequada governança de dados.

A ideia de Privacy by Design é incorporar salvaguardas de privacidade e dados pessoais, em todos os projetos desenvolvidos. Não seria permitido desenvolver nenhum projeto, produto ou serviço, sem que a proteção da privacidade esteja no centro desse desenvolvimento. Essa é uma fonte de inspiração para as empresas incorporarem a privacidade entre seus valores e empregarem o discurso também na prática como um diferencial capaz de reforçar seu compromisso com a ética e transparência.

O Privacy by Design pode ser melhor compreendido analisando os sete pilares que o formam. São eles:

  • Proativo não reativo; preventiva não corretiva: O objetivo é antecipar os problemas e entregar soluções que impeçam que eles aconteçam. O Privacy by Design não apresentará soluções para violações de privacidade após esses eventos terem ocorrido. Deve haver a prevenção desses incidentes com constante monitoramento desses riscos e entrega de novas funcionalidades que excluam os riscos identificados. A agilidade com que ocorrem as evoluções tecnológicas não pode impactar negativamente nessa ideia.
  • Privacidade incorporada ao design: em linha gerais, trata-se da ideia de que o usuário terá o controle para alterar as configurações padrão e optar por fornecer ou não seus dados, e ainda assim conseguirá utilizar o produto ou serviço.
  • Funcionalidade completa: seguindo as premissas da privacidade incorporada ao design, o produto ou serviço deve ser plenamente utilizável caso o usuário não altere as configurações de privacidade. Não deve haver alguma funcionalidade adicional ou vantagem ao usuário caso altere a configuração de privacidade. A proteção da privacidade precisa ser protegida.
  • Segurança de ponta a ponta: é a proteção total do ciclo de vida do dado. A proteção da privacidade não se limita à configuração do produto ou serviço. Quando o usuário autorizar a coleta de algum dado, o tratamento desse dado deve ser de forma segura, desde a coleta até sua eliminação.
  • Visibilidade e transparência: as empresas devem permitir que seja verificado que elas cumprem o que prometem sobre os dados dos usuários, seja diretamente ou por auditorias independentes. É necessário que a companhia possa comprovar que passou do discurso para a prática e que protege os dados dos usuários. Isso pode ser realizado de diversas formas e deve estar disponível às pessoas.
  • Respeito pela privacidade do usuário: a privacidade do usuário deve ser a principal preocupação. Portanto, garantir a segurança dos dados do usuário envolve diretrizes de segurança da informação capazes de assegurar a confidencialidade, integridade e disponibilidade dos dados e informações durante todo seu ciclo de vida.
  • Privacidade como configuração padrão (Privacy by Default): essa é uma garantia dentro do desenho da privacidade.

Privacy by default

Podemos dizer que o Privacy by Default é uma decorrência do Privacy by Design. Em outras palavras, trata-se da ideia de que o produto ou serviço seja lançado e recebido pelo usuário com todas as salvaguardas que foram concebidas durante o seu desenvolvimento. Ou seja, todas as medidas para proteger a privacidade que foram idealizadas desde o início do desenvolvimento do projeto, atendendo o princípio do Privacy by Design.

A configuração de privacidade mais restritiva possível é estabelecida desde o momento zero. Apenas os dados essenciais para prestar o serviço ou entregar o produto devem ser coletados. Ainda assim, o usuário deverá ser informado de quais informações estão sendo coletadas e para qual propósito. Caberá ao usuário, caso deseje, desativar uma ou todas essas salvaguardas. A empresa não deve fornecer o produto ou serviço com essas proteções desativadas, dependendo de uma ação do usuário para serem ativadas.

A maioria dos usuários busca justamente comodidade, e não se preocupa em descobrir como alterar as configurações padrão. É neste cenário em que a governança demonstra ser um diferencial das empresas que prezam por essa transparência já que ao esclarecer como alterar a configuração padrão e quais as consequências de fazê-lo fortalecem sua confiança na relação com seus usuários. Dessa forma, se protege o usuário para que ele esteja informado de quais dados está fornecendo e para quais propósitos serão tratados.

Cenário brasileiro

No Brasil, ainda não se adota o Privacy by Design ou Privacy by Default expressamente. Contudo, a legislação já faz uso de conceitos similares, estabelecendo que as empresas devem utilizar medidas técnicas aptas a proteger os dados contra acessos não autorizados, de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. A legislação ainda estabelece que as organizações devem contar com medidas para prevenir a ocorrência de danos aos dados tratados e devem comprovar que atendem esses requisitos.

Dessa forma, o modelo europeu, já em prática há mais tempo que o modelo brasileiro, pode servir de base para a interpretação do que seriam esses requisitos de segurança que nossa legislação menciona. O ponto central a ser observado, seja pelas normas brasileiras ou europeias, se relaciona com a governança que as empresas precisam possuir. Em todas as etapas, desde o desenvolvimento do produto ou serviço, será necessário se preocupar com a privacidade do usuário.

A governança com base no Privacy by Default e Privacy by Design se resume no envolvimento e engajamento de todos os setores da empresa para assegurar que os dados do usuário sejam protegidos e tratados de forma segura. A definição do que é segurança evoluirá com o tempo, assim como deve ocorrer com as práticas da empresa. A governança, tratada aqui, se relaciona com essa mentalidade de proteção e cuidado.

E a conclusão é… Partindo dessas premissas, a conclusão é que a proteção dos dados ocorre durante o processamento destes de forma simultânea e integrada ao processo tecnológico, tanto na criação para o primeiro, quanto do aperfeiçoamento para o segundo. Para isso, compete ao agente responsável pelo tratamento o emprego de medidas técnicas e organizacionais adequadas para proteção do titular dos dados, sem privá-lo, contudo, do acesso aos novos produtos e serviços, superiores em eficácia e eficiência, que serão disponibilizados ao término do desenvolvimento.

A primeira etapa rumo a superação desse aparente desafio para o Privacy by Design consiste na capacidade do agente de tratamento atuar com transparência durante o processo de concepção do novo produto ou serviço incorporando a privacidade e proteção dos dados em todo seu ciclo de vida.

Autor: Samanta Oliveira

Artigo Original