Antes de mais nada, para que você entenda a relação entre LGPD, GDPR e Privacy by Design é necessário lembrar que o século 21 trouxe uma enorme facilidade em se obter dados pessoais de milhões de pessoas (principalmente com o avanço das redes sociais). Além disso é possível utilizar esses dados para fins políticos, de marketing ou qualquer outro que a critividade humana invente, em níveis globais, descomplicadamente.
Nunca antes na história da humanidade foi tão fácil falar diretamente com um público segmentado e em escala de milhões de indivíduos, a qualquer hora e em qualquer lugar (nossos celulares são esses receptores).
A preocupação com a privacidade
Anteriormente ao boom do uso de dados pessoais, o Privacy by Design nasceu no início dos anos 90, com a dra. Ann Cavoukian. Ela idealizou uma abordagem à engenharia de sistemas, que foi formalizada em 1995 em um relatório sobre aprimoramento da privacidade, por uma equipe que juntou o Comissário de Informações e Privacidade de Ontário (Canadá), a Autoridade Holandesa de Proteção de Dados e a Organização Holandesa para Pesquisa Científica Aplicada.
Posteriormente, em 2010, o Privacy by Design foi adotado pela Assembleia Internacional de Comissários de Privacidade e Autoridades de Proteção de Dados, tendo seus conceitos incorporados em leis e regulamentações ao redor do mundo, incluindo a LGPD e GDPR.
Veja o documento oficial sobre os conceitos do Privacy by Design no site da Information and Privacy Commissioner of Ontario (em inglês)
A importância do Privacy by Design para a LGPD e GDPR
Definitivamente, o Privacy by Design indica que a privacidade deve ser levada em consideração durante todo o processo de engenharia de um sistema ou serviço. O conceito define o titular (ou dono dos dados) como centro da atenção com respeito à privacidade, o que é justamente a preocupação de leis como a Lei Geral de Proteção de Dados Pessoais (LGPD) e General Data Protection Regulation (GDPR).
Os 7 princípios do Privacy by Design
O Privacy by Design é formado por 7 princípios fundamentais:
1- Proativo e não reativo; Prevenir e não remediar
Os riscos devem ser avaliados e mitigados antes que causem algum evento que comprometa a privacidade. Para isso é necessário desenhar produtos e serviços de forma a assegurar os direitos dos titulares, além de implementar um sistema de gestão dos dados pessoais tratados.
2- Privacidade como configuração padrão
A ideia aqui é oferecer o nível máximo de privacidade, garantindo que os dados pessoais sejam protegidos automaticamente, em processos, serviços ou sistemas. O titular não precisa tomar nenhuma ação adicional para garantir sua privacidade, ela é padrão em todos os processos.
3- Privacidade incorporada ao design
A privacidade é parte integrante do desenho e arquitetura dos processos, serviços e sistemas e não um complemento desenvolvido posteriormente. O resultado é que ela se torna parte essencial, sem prejudicar ou diminuir a funcionalidade ou objetivo do sistema.
4- Funcionalidade completa – soma positiva, não soma zero
Soma positiva é o famoso ganha-ganha da teoria dos jogos. A ideia é alcançar os interesses e objetivos legítimos do controlador, garantindo os direitos dos titulares de forma que todos saiam ganhando. Com isso evita-se falsas dicotomias, como: privacidade versus segurança, demonstrando que é possível ter as duas.
5- Segurança de ponta a ponta – proteção em todo o ciclo de vida
Deve-se pensar na privacidade antes mesmo do primeiro dado pessoal ser coletado até que ocorra o seu devido descarte. Para isso é necessário tomar as medidas de segurança organizacional, segurança física e segurança lógica necessárias para garantir a proteção dos dados e com isso a privacidade durante todo o ciclo de vida de tratamento.
6- Visibilidade e Transparência
É primordial que os objetivos para o tratamento de dados pessoais sejam conhecidos e respeitados durante todo seu ciclo de vida. Adicionalmente, as operações devem ser transparentes aos titulares e passíveis de verificação independente.
7- Respeito pela privacidade – centrado no titular
Acima de tudo, os envolvidos no tratamento de dados pessoais devem ter os interesses do indivíduo (titular) em primeiro lugar. Para isso é necessário trabalhar com padrões de privacidade de alto-nível, além de facilitar o exercício dos direitos dos titulares.
Conclusão
Assim, ao adotar o conceito de Privacy by Design e seguir os desdobramentos necessários com respeito aos processos de negócio, engenharia de sistemas e segurança da informação, a organização atuará de acordo com elevados padrões de privacidade.
Por último, caso queira saber mais sobre projeto de adequação à LGPD ou GDPR, soluções de gestão de identidades e acessos e soluções de segurança cibernética entre em contato conosco.
Marcos Siqueira é sócio e diretor da ITware Soluções em TI. Com mais de 27 anos de experiência em Tecnologia da Informação, navega em diversos assuntos, incluindo transformação digital, privacidade, computação em nuvem, DevOps e segurança cibernética.