Qual a finalidade do Privacy by Design?

Privacy by Design, de forma objetiva, é utilizar a privacidade desde a concepção do projeto, produto ou serviço, integrá-la desde a criação

Índice Show

• O que é Privacy by Design?
• Como implementar esta metodologia em uma empresa?
• Qual é a relação com a LGPD?
• Diferença entre Privacy by Design e Privacy by Default
• Como este conceito se aplica dentro das certificações de DPO?
• Qual o objetivo do Privacy by Design?
• Quais os princípios de Privacy by Design?
• Para que serve a Privacy?
• Quanto à aplicação do Privacy by Design é correto dizer?

Falar em Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.709/2018 já não é mais novidade e, desde a vigência da Lei, em setembro de 2020, esse é um dos temas mais comentados no mundo dos negócios.

O ponto de dificuldade é encontrado na hora de aplicar a teoria à prática.

Clientes enviam os mais diversos questionamentos, diariamente, e para muitas das perguntas ainda não há respostas exatas ou tão simples como se vende no mercado.

Um dos tópicos mais interessantes é a tal da Privacy by Design: o que é e como aplicá-la em determinadas atividades. Essa foi uma pergunta real de um cliente, durante uma reunião sobre LGPD.

Privacy by Design, de forma objetiva, é utilizar a privacidade desde a concepção do projeto, produto ou serviço, integrá-la desde a criação (a mantendo posteriormente, durante a execução).

Para executá-la, a realização de um PIA (Privacy Impact Assessment), que é um processo que ajuda as organizações a identificar e gerenciar os riscos de privacidade decorrentes de novos projetos, iniciativas, sistemas, processos, estratégias, políticas, relações de negócios, se torna uma facilitadora.

O objetivo é analisar, antes de qualquer tomada de decisão, se o novo projeto, produto ou serviço não irá de encontro ao que dispõe as leis vigentes de privacidade.

No Brasil e na LGPD, não se encontra referência ao PIA, no entanto, ele pode ser utilizado como boa prática, se adequando ao que dispõe os artigos 46 e 50 da LGPD, que tratam de medidas de segurança e boas práticas.

Com base no que estabelece a autoridade nacional francesa, o CNIL (Comission Nationale de L’Informatique et des Libertés), o Privacy Impact Assessment se pautaem: (i) princípios e direitos fundamentais não negociáveis, estabelecidos em leis que devem ser respeitados e não podem ser alterados, independentemente da natureza, gravidade, ou avaliação de riscos; e (ii) gerenciamento dos riscos à privacidade dos titulares, os quais determinam as medidas de controle, técnicas e administrativas, à proteção dos dados pessoais.

O Privacy Impact Assessment tem um foco direcionado para a privacidade, envolvendo proteção de dados pessoais e segurança da informação, e geralmente é realizado quando há a criação de um novo produto/serviço ou a aquisição de uma nova empresa. Inclusive, é uma avaliação utiliza quando da aquisição de novos sistemas, por exemplo.

Quando da ocorrência do assessment, alguns pontos são relevantes, para que o PIA atinja seu objetivo: quais atividades necessitam de PIA, ter informações sobre o projeto, produto ou serviço, saber a forma que os dados são coletados, transferidos, armazenados e descartados, quais as medidas de segurança existentes, se há utilização de cookies, dentre outros.

A sugestão para estrutura é criação do PIA, preenchimento do PIA, análise do PIA, validação final e acompanhamento do projeto, produto ou serviço.

Ainda que haja diversas ferramentas, apoio tecnológico e inovador, a privacidade tem que partir sim, de dentro para fora da organização. Mesmo que não seja uma obrigação legal, adotar melhores práticas coopera para um ambiente seguro.

A conscientização de todos os envolvidos no tratamento de dados pessoais e privacidade, bem como ter uma consultoria jurídica especializada em proteção de dados pessoais, já colabora para que o caminho seja mais tranquilo.

Executar, avaliar e evidenciar a prevenção é essencial, não apenas para o cumprimento das legislações vigentes, mas também para evitar prejuízos financeiros e fortalecer a relação de confiança e transparência entre as empresas e consumidores.

Uma vez criado o regulamento de dados pessoais, a lei europeia GDPR, a proteção e privacidade de dados se tornou algo importante, incorporando então alguns conceitos como o Privacy by Design, por exemplo.

Apesar de criado na década de 90, no Canadá, o Privacy by Design tem relação direta com o GDPR e também com a Lei brasileira, a LGPD. Esse conceito tem influência na forma como os dados são tratados.

O que é Privacy by Design?

Privacy by Design, também conhecida como PbD, é uma metodologia criada pela Dra. Ann Cavoukian que tem como objetivo manter a privacidade de informações pessoais coletadas por empresas.

Apesar de criado antes dos anos 2000, vale pontuar que este conceito começou a ser divulgado e aplicado a partir do ano de 2010, tanto na Europa como nos Estados Unidos.

É possível entender o que é este conceito por meio da tradução de Privacy by Design que, de acordo com especialistas nesta área, significa privacidade desde a concepção.

Em outras palavras, a intenção é que empresas que trabalham com dados de clientes garantam a privacidade e a proteção como pontos fundamentais.

De tal maneira, estes se tornam bases para qualquer produto ou serviço que for desenvolvido e disponibilizado pela empresa.

Por isso, podemos entender que existe uma proteção de dados by design, ou seja, desde a idealização do projeto, atuando dentro dos parâmetros necessários para garantir a proteção.

Assim, este conceito se torna presente nos valores daquela empresa, o que faz com que ocorra uma banalização dessa conduta eticamente correta conforme a lei.

Existe aqui uma relação com a adequação necessária para a Lei Geral de Proteção de Dados.

Sendo assim, esta metodologia se torna um fator crucial para empresas que oferecem produtos e serviços e captam os dados pessoais de usuários.

Afinal, uma vez seguido este ponto, existe um grande caminho já percorrido na trajetória de adequação com a Lei como um todo, evitando possíveis problemas.

Estes, por sua vez, vão desde manchar a imagem da empresa, o que dificulta para adquirir novos clientes, até pagar multas em um valor máximo de R$50 milhões.

Como implementar esta metodologia em uma empresa?

Para colocar em prática as ideias deste conceito, é necessário entender os pilares que o sustentam. Afinal, esta é uma metodologia que irá, entre outros fatores, mudar a forma como uma empresa idealiza os projetos que serão feitos.

Sendo assim, existem sete fundamentos que são essenciais para saber aplicar, sendo eles os principais fundamentos do Privacy by Design:

1. Ser proativo e não reativo, optar por prevenir ao invés de remediar;
2. A privacidade e a proteção do usuário devem ser garantidas sempre, sem necessitar de configurações por parte do usuário;
3. Incorporar a privacidade ao projeto, não sendo vista apenas como um adicional, mas sim como parte do que será desenvolvido;
4. Todas as possíveis funcionalidades devem ser completas e protegidas, gerando um benefício mútuo, para o usuário e para a empresa;
5. A segurança deve estar presente desde a captação até a destruição ou compartilhamento do dado, ou seja, de ponta a ponta;
6. Manter a transparência com o titular dos dados, informando-o sobre o motivo de coleta das informações e quem possui acesso à elas;
7. A privacidade do usuário deve ser respeitada sempre.

De tal forma, é possível entender que o foco de todas as ações da empresa deve ser justamente o cliente.

Sendo assim, deve ser garantido pela empresa que os dados estão protegidos e totalmente seguros.

Afinal, caso isso não ocorra, a empresa pode sofrer uma série de sanções e o usuário é altamente impactado uma vez que seus dados podem ser roubados ou tratados sem a devida permissão.

E quanto às áreas que podem ter esse conceito aplicado por parte da empresa, podemos citar:

• Projetos internos;
• Desenvolvimento de algum software;
• Departamento de TI e planejamento estratégico.

No entanto, a forma de pensar na privacidade é alinhando-a com o projeto, e não vendo como algo a parte.

Qual é a relação com a LGPD?

Apesar de constar a Privacy by Design no GDPR, o caso não é o mesmo quando falamos da LGPD, a legislação brasileira.

Contudo, mesmo sem possuir princípios como o Privacy by Design ou Privacy by Default de maneira explícita, é válido pontuar que a legislação brasileira possui conceitos parecidos.

Estes, por sua vez, possuem ligação com a proteção dos dados, ditando então como deve ser garantida a segurança por parte das empresas.

Sendo assim, apesar de ambos possuírem a mesma finalidade, não existe uma relação entre o PbD e a Lei Geral de Proteção de Dados.

É válido pontuar que não existe um requerimento de que todas as empresas façam uso desta metodologia, mas não existe nada que impeça que este seja aplicado.

Afinal, o objetivo deste tipo de ação por parte de uma empresa é justamente o de oferecer mais segurança e privacidade aos dados do usuário.

Dessa forma, a transparência sobre o motivo e período de uso destes também é algo que é colocado em prática.

Além de ser algo recomendado por profissionais do ramo e considerado como uma fase de adequação à LGPD, esta é uma boa forma de agir.

Outro ponto é que, através desta metodologia, o usuário se torna o principal moderador dos seus dados.

Sendo assim, ele se ganha o controle sobre quais dados  serão fornecidos e quais não, limitando-se apenas aqueles que são obrigatórios para uma finalidade declarada explicitamente pelo controlador.

Quer se tornar um especialista em LGPD certificado pela EXIN? Acesse a página de cursos do Certifiquei e confira nosso curso Privacy & Data Protection – Essentials!

Diferença entre Privacy by Design e Privacy by Default

Uma vez que entendemos o que é este primeiro conceito, existe um outro ponto importante o qual iremos esclarecer.

Ele diz respeito justamente a diferença existente entre Privacy by Design e Privacy by Default, duas metodologias similares.

O primeiro dita principalmente a maneira como o projeto deve ser desenvolvido através dos pilares que citamos anteriormente.

Dessa maneira, se torna necessário que exista a segurança e privacidade de dados em qualquer projeto que envolva informações de clientes.

Aqui podemos citar tanto produtos como softwares e sistemas de TI desenvolvidos por uma empresa para que exista sempre a antecipação de problemas, diminuindo riscos de roubos e vazamentos de dados.

Sendo assim, os projetos gerados através deste conceito são proativos e oferecem controle para que o usuário altere configurações padrão do sistema, optando por fornecer os dados ou não, e utilizar o produto ou serviço livremente.

Agora, quando falamos nesta segunda metodologia, é preciso entender que ele significa que assim que o produto ou serviço é lançado ao público, as configurações mais seguras são aplicadas por padrão.

Em outras palavras, o usuário não precisa entrar e escolher pela configuração de privacidade e proteção uma vez que estas já vem de fábrica, por assim dizer.

Todas as informações pessoais cedidas pelo usuário são coletadas apenas para que seja feita a entrega do serviço ou produto.

Porém, ainda assim todos os dados necessários devem ser informados para o usuário, bem como qual a finalidade de cada um deles.

Ao falar sobre o tempo de armazenamento destas, é válido pontuar que elas são mantidas apenas pelo período o qual serão utilizadas para aquele projeto.

Apesar de não estar requisitado pela legislação brasileira, ambos os conceitos possuem ligação tanto com a LGPD como com o GDPR, garantindo segurança aos dados dos clientes.

Portanto, é possível entender que a segunda é uma consequência da primeira. Ambas são duas boas estratégias que, quando desempenhadas corretamente, garantem a privacidade, ponto fundamental atualmente.

Como este conceito se aplica dentro das certificações de DPO?

Para desempenhar o papel de encarregado de dados, ou DPO, dentro de uma empresa, existem três certificações necessárias para credenciar o profissional:

• Privacy and Data Protection Foundation (PDPF);
• Information Security Foundation (ISFS);
• Privacy and Data Protection Practitioner (PDPP).

Uma vez conquistadas os certificados nestas três áreas, além da expansão de conhecimento sobre o negócio que atua e os seus respectivos processos, ele possuirá bagagem suficiente para ser um Data Protection Officer.

Contudo, a dúvida que fica é sobre o papel da metodologia Privacy by Design nas certificações necessárias.

De tal maneira, seja antes ou depois de tiradas as certificações, é necessário que o profissional conheça o PbD.

Afinal, tendo em vista que o DPO é um profissional responsável pela proteção e privacidade dos dados, este conceito terá aplicação dentro da empresa.

E, dessa forma, todas as mudanças propostas pelo DPO devem girar em torno do cuidado com privacidade e segurança de dados.

É válido pontuar que, apesar de possuir relação direta com a profissão, este não é um ponto cobrado em provas para qualquer uma dos três certificados.

O importante, no entanto, é justamente possuir o conhecimento nesta área.

Isso se dá uma vez que todas as estratégias adotadas por uma empresa devem, necessariamente, possuir alinhamento com esse conceito.

Dessa forma, o DPO é o responsável direto por propagar essa metodologia a fim de mudar a cultura e futuros projetos da empresa para colocar a privacidade em primeiro lugar.

Podemos entender então que, mesmo não sendo obrigatória para a LGPD, a Privacy by Design é importante para empresas que trabalham com dados pessoais de usuários.

Qual o objetivo do Privacy by Design?

Quais os princípios de Privacy by Design?

Para que serve a Privacy?

Quanto à aplicação do Privacy by Design é correto dizer?