Um dos pontos que a Lei Geral de Proteção de Dados Pessoais (LGPD) aborda é sobre a segurança e sigilo dos dados. A lei reforça que os agentes de tratamento, controlador e operador, devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas durante o tratamento, como destruição, perda, alteração ou comunicação dos dados.
A LGPD não trata de medidas técnicas específicas no seu texto, mas diz que a Autoridade Nacional poderá dispor sobre padrões técnicos mínimos para garantir a segurança e sigilo dos dados. Como se sabe, a LGPD foi inspirada na GDPR - Regulamento Geral sobre a Proteção de Dados do direito europeu sobre privacidade e proteção de dados pessoais, aplicável a todos os indivíduos na União Europeia e Espaço Económico Europeu – e, por isso, vemos muitas semelhanças entre os dois regulamentos.
Uma das semelhanças é estabelecer a proteção de dados desde a concepção, indicando que as medidas de segurança devem ser observadas desde a fase de concepção do produto ou do serviço até a sua execução. (Art. 46, § 2º, Lei nº 13.709, da 14 da agosto de 2018). Este conceito reforça que incorporar o princípio de proteção de dados desde a concepção é um requisito legal, e não somente uma boa prática para garantir a segurança dos dados.
Privacy by design
O conceito de proteção de dados desde a concepção, também conhecido como privacy by design, foi desenvolvido por Ann Cavoukian, uma PhD. e ex-Comissária de Privacidade e Informações de Ontário, Canadá. Ann descreve sete princípios para estruturar o conceito de privacy by design com o objetivo de estabelecer uma estrutura universal mais forte de proteção da privacidade.
Os setes princípios do privacy by design
1. Proativo e não reativo - preventivo e não corretivo
O primeiro princípio trata da importância de agir preventivamente, antecipando-se a eventuais problemas que possam afetar a privacidade antes que estes ocorram. Deve-se agir sempre antes do risco se materializar e violar a privacidade.
Para atender a este princípio é importante o comprometimento do mais alto nível gerencial da organização determinando altos padrões de privacidade, uma cultura de melhoria contínua e o estabelecimento de métodos que reconheçam deficiências com a privacidade e corrijam problemas.
2. Privacidade como padrão (by default)
A ideia deste princípio é atender ao nível máximo de privacidade garantindo que os dados pessoais serão automaticamente protegidos. Isto quer dizer que se o indivíduo nada fizer, sua privacidade se manterá intacta.
O indivíduo precisa ser informado sobre quais dados pessoais são coletados e usados de forma clara. Também, deve-se limitar a coleta de dados pessoais somente ao que é essencial para o propósito estabelecido e apenas os dados estritamente necessários para identificar o titular devem ser tratados. Adiciona-se a este princípio, a importância de limitar o uso dos dados para aquilo que a pessoa deu o consentimento, a não ser que exista outra exigência legal. E, por fim, reter o dado, apenas durante o período necessário.
3. Privacidade incorporada ao design
A privacidade é um componente essencial da funcionalidade desejada em um sistema, isso significa que a privacidade está integralmente incorporada ao design e à arquitetura de sistemas de TI e práticas de negócios. Desta forma, a privacidade sempre será um dos requisitos a ser atendido.
4. Funcionalidade total - Soma positiva, não soma zero
A privacidade não deve competir com outros interesses legítimos, objetivos do projeto e capacidades técnicas. A ideia da soma positiva é estabelecer uma relação ganha-ganha em que todas as funcionalidades são atendidas e compensações desnecessárias não são feitas, pois nenhum interesse será priorizado em detrimento de outro, todos os interesses serão acolhidos.
Para isto, é importante pensar em soluções criativas e inovadores que permitam que a privacidade e a funcionalidade do sistema sejam atendidas integralmente.
5. Segurança de ponta a ponta - proteção total do ciclo de vida
A privacidade by design considera a segurança do início ao fim, em todo ciclo de vida do dado. Ela é incorporada ao sistema antes mesmo do primeiro elemento ser coletado. Medidas de segurança adequadas são essenciais para garantir à privacidade dos dados, afinal, sem segurança, a privacidade não poderá ser garantida. Isto implica em estar ciente das necessidades e pensar em todo o ciclo de vida do dado, inclusive no momento do seu descarte.
6. Visibilidade e transparência
Visibilidade e transparência são essenciais para estabelecer confiança entre empresa e seus usuários, clientes e colaboradores. É importante garantir a todas as partes envolvidas, independentemente das práticas de negócio ou tecnologias, que a empresa opera em concordância com suas promessas e objetivos declarados.
Além disso, prestar contas sobre o uso dos dados, ter políticas relacionadas a privacidade, procedimentos documentados e comunicados de forma apropriada ao indivíduo, deve ser uma prática comum de empresas preocupadas com a privacidade.
7. Respeito à privacidade do usuário
Por fim, é necessário manter o foco no usuário. Os interesses do indivíduo devem estar em primeiro lugar, isto significa que, os sistemas devem ser adequados para atender ao usuário e todas as suas necessidades. Por exemplo, utilizar medidas fortes de privacidade como padrão, notificar o usuário de forma apropriada e manter o sistema amigável.
Lembre-se, o agente que trata dados é o responsável por obter o consentimento do titular, a não ser que justifique o tratamento por outra base legal; manter os dados corretos, precisos e atualizados para os propósitos esperados; permitir o acesso às informações pessoais do usuário e; estabelecer mecanismos de comunicação e reclamação para o usuário.
Para mais informações, consulte a versão original do documento, Privacy by Design – The 7 Foundational Principles.
O conceito privacy by design elenca princípios reconhecidos mundialmente e importantes para o cumprimento das exigências legais sobre privacidade de dados, inclusive da LGPD em que está presente a proteção de dados desde a concepção. Desta forma, é essencial que uma empresa conheça o conceito tanto para aplicá-los em seus processos, quanto para exigir tais princípios de seus eventuais fornecedores quando necessário.
Organizações que implementam os princípios do privacy by design são mais conscientes em relação à privacidade e proteção de dados e conseguem identificar problemas em um estágio inicial, tornando sua resolução mais simples e menos custosa. Além disso, estão mais propensas a cumprir as obrigações legais e, por isso, é menor a probabilidade de que suas ações sejam invasivas à privacidade dos indivíduos.
Caso precise de ajuda, a Total Privacy é uma consultoria especializada em assessorar as organizações na implantação do plano de adequação à Lei Geral de Proteção de Dados Pessoais. Envie um e-mail para contato@totalprivacy.com.br e agende uma conversa com nossos consultores.
Andressa Segantini
Consultora de Privacidade e Proteção de Dados Pessoais da Total Privacy