Privacidade e proteção de dados parecem ser a bola da vez no mundo do compliance. A entrada em vigor da General Data Protection Regulation na Europa e a discussão de nossa Lei Geral de Proteção de Dados no Brasil – pode ser que enquanto você lê essa matéria ela já tenha sido sancionada pelo Presidente da República – passaram a movimentar as áreas de governança das empresas brasileiras em torno do assunto.
Considerando que o tema ainda é relativamente novo no cenário de compliance brasileiro, sobram dúvidas sobre como abordar essas novas regulações e por onde começar a estruturação de um programa de governança que garanta a proteção dos dados pessoais de empregados, clientes, fornecedores, terceiros, entre outros.
Indo um pouco além, como garantir que um programa de compliance em proteção de dados não exista apenas no “papel” e tenha efetividade prática?
Talvez uma das respostas possíveis, esteja no Privacy by Design (PbD) ou “Privacidade Desde a Concepção” em uma tradução livre, metodologia criada na década de 1990 pela Comissária de Informação e Privacidade de Ontário, Canadá, Dra. Ann Cavoukian quando esta já previa que o desenvolvimento tecnológico significaria a coleta indiscriminada de informações pessoais e que seria necessária uma maneira de garantir que estas corporações incorporassem conceitos de privacidade em suas soluções.
O conceito começou a ganhar corpo e projeção internacional por volta de 2010, com a chancela de diversas entidades de grande relevância na proteção de dados ao redor do mundo, como a Autoridade Europeia de Proteção de Dados e a Federal Trade Comission nos Estados Unidos e atualmente está incorporada na própria GDPR e em nossa provável futura Lei Geral de Proteção de Dados.
Mas afinal, o que é o Privacy by Design?
Privacy by Design é uma metodologia na qual a proteção de dados pessoais é pensada desde a concepção de sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais.
O conceito do Privacy by Design foi resumido e simplificado em 7 princípios básicos:
1) Ser proativo e não reativo – Prevenir e não remediar
Prever e antecipar eventos que possam comprometer a privacidade antes que eles ocorram. A ocorrência de um evento significa que dados pessoais já foram comprometidos, ou seja, já não se está falando mais de privacidade e sim contenção de danos.
2) Privacidade como configuração padrão
Por padrão, as configurações referentes à privacidade devem estar definidas considerando a máxima proteção possível da privacidade do usuário. Em outras palavras, o titular da informação não deve precisar ajustar nenhuma configuração para garantir o máximo de sua privacidade.
Um exemplo simples de aplicação prática deste princípio pode ser a opção de compartilhamento de localização de seu smartphone. Para estar de acordo com este princípio, ele deveria, por padrão, vir configurado para não realizar este compartilhamento de nenhuma maneira.
3) Privacidade incorporada ao projeto
A proteção dos dados pessoais deve ser pensada como parte indissociável do projeto de arquitetura do sistema ou de prática de negócio, pensada desde sua concepção, com isso, a privacidade passa a ser parte da própria solução e não um adendo.
A aplicação deste princípio é de extrema relevância, pois reduz esforço e até mesmo o custo do cumprimento de normas de proteção de dados.
4) Funcionalidade total – “Soma-positiva” ao invés de soma-zero
Na teoria dos jogos, o jogo de soma-zero é aquele onde um jogador só ganha com o prejuízo do outro, diferentemente de um jogo de ganha-ganha (ou “soma-positiva”) onde todos podem ganhar de alguma forma.
Para a metodologia do Privacy by Design, este princípio visa garantir a proteção de dados pessoais em consonância com os legítimos interesses e objetivos daquele que utiliza estas informações, sem a necessidade de se fazer trocas desnecessárias como, por exemplo, abrir mão da segurança para conseguir mais dados.
Atender este princípio pode, por exemplo, significar uma maior dedicação e criatividade dos desenvolvedores de um aplicativo, uma vez que a ideia é assegurar a privacidade do usuário sem prejudicar as funcionalidades ou objetivos da plataforma.
5) Segurança de ponta a ponta – Proteção durante todo o ciclo de vida da informação
A segurança das informações pessoais deve ser garantida desde a coleta do dado até sua destruição ou compartilhamento com um terceiro.
Não é incomum que dados pessoais sejam “esquecidos” em dispositivos antigos ou que sua proteção seja relegada quando transferida para um terceiro. Podemos dizer que a polêmica envolvendo o Facebook e a Cambridge Analytica ocorreu, pois não se garantiu a proteção da informação durante uma das etapas de seu ciclo de vida, no caso, o compartilhamento.
6) Visibilidade e transparência
A transparência aqui abrange diversos aspectos, desde informar ao titular do dado quando e para qual finalidade suas informações estão sendo coletadas e para quem são transferidas, até a abertura da plataforma para que entidades independentes possam realizar auditorias e certificar-se que as informações pessoais estão de fato protegidas.
7) Respeito pela privacidade do usuário – Solução centrada no usuário
Toda a arquitetura e operacionalidade do sistema ou da prática de negócio devem ser centradas na privacidade do usuário, oferecendo medidas robustas de proteção de dados, notificando-o de forma clara e oportuna e tornando as configurações referentes à privacidade amigáveis.
Como pode se observar, estes sete princípios são relativamente simples de serem implementados e garantem uma abordagem pragmática e que cobre todas as pontas necessárias para garantir a proteção dos dados pessoais e o compliance com a grande maioria das normas de privacidade.
A natureza principiológica do Privacy by Design permite que essa metodologia seja adaptada conforme as necessidades práticas de cada empresa, mas por outro lado, exige que o profissional de compliance se debruce sobre cada um destes princípios para entender como eles deverão ser refletidos nas políticas, procedimentos e processos internos.
São os novos tempos que exigem o compliance de dados!
Texto de: Henrique Fabretti Moraes | Revisora: Camilla do Vale Jimene
Imagem: Freepik
