Em um contexto global de abusos com o uso de dados pessoais e um cenário econômico cada vez mais guiado e orientado por dados, a Lei Geral de Proteção de Dados brasileira (Lei 13.709/18), popularmente conhecida como “LGPD”, surge e propõe consigo uma série de mudanças.
Agora, a proteção de dados e a preocupação com privacidade é parte integrante também do desenvolvimento tecnológico e da maneira como um produto ou serviço é criado. Com isso, dois conceitos passaram a ser amplamente reforçados no Brasil.
Trata-se do “Privacy by Design” (privacidade desde a concepção) e “Privacy by Default” (privacidade por padrão).
Mas, afinal, o que esses conceitos significam na prática?
| Privacy by Design | Privacy by Default |
| Se trata de um modelo teórico com 7 princípios que toda organização deve adotar em sua filosofia de criação de produtos ou serviços, para garantir a privacidade seja pensada desde a sua concepção. | É o segundo princípio que decorre do modelo Privacy by design. Diz respeito à adoção da proteção de dados pessoais como padrão em todos os processos e atividades desenvolvidos pela empresa. |
O modelo de Privacy by Design, por si só, não resolve os problemas de proteção de dados e privacidade de uma organização, muito menos garante a sua adequação à LGPD. Contudo, são princípios valiosos para se manter em mente durante o desenvolvimento de novas soluções.
Resumidamente, podemos destacar os 7 princípios de Privacy by Design da seguinte forma:
Princípio 1: Aja de forma preventiva! Dessa maneira, os riscos à privacidade do usuário devem ser antecipados e, sempre que possível, eliminados ou minimizados.
Princípio 2: Privacy by default: A privacidade é o padrão, ou seja, não requer do seu usuário alguma ação para que os dados a ele relacionados sejam privados. A sua solução, por padrão, deve estabelecer isso.
Princípio 3: Integração privacidade-projeto: a privacidade não é um “plus”, uma camada adicional que pode ou não estar presente no seu projeto. Ao contrário, ela é um elemento essencial e indissociável do projeto, devendo ser considerada em todas as fases de desenvolvimento.
Princípio 4: Integração segurança-projeto: nesse princípio, segue-se a mesma lógica do princípio anterior, ou seja, a segurança deve ser uma constante em todo o projeto, a ela estando intrinsecamente ligada.
Princípio 5: Win-win: reforça aquilo que já dissemos: a privacidade não deve ser vista como um mero cumprimento de obrigação, mas, isso sim, como um meio de agregar valor à solução que será desenvolvida.
Princípio 6: Transparência: reforça o princípio da LGPD que determina a transparência do tratamento de dados para todos os envolvidos no projeto de desenvolvimento.
Princípio 7: Foco no usuário: quando se desenvolve uma solução de caráter tecnológico, é essencial que o usuário seja o foco essencial de atenção, não só para gerar valor para ele, resolvendo uma dor, mas também para proteger e manter sua privacidade.
Como operacionalizar esses conceitos na prática no desenvolvimento de uma solução?
- Um software deve ser desenvolvido de modo a permitir a fácil identificação de todos os dados pessoais armazenados referentes a determinado pessoa;
- Todos os processos que envolvem a coleta de consentimento de um usuário devem possibilitar uma liberdade de escolha real sobre a utilização ou não de seus dados. Sem isso, o consentimento coletado é inválido e, portanto, a utilização dos dados pessoais pode ser considerada irregular. Não é recomendado que conste um “check” com um tick pré-definido neste processo;
- Os dados devem ser armazenados de modo a permitir a sua anonimização, caso o titular assim exija (e seja viável);
- Em cada touchpoint com o usuário, é importante viabilizar o acesso à política de privacidade ou documento equivalente, de modo a dar transparência a este usuário sobre as práticas de privacidade e proteção de dados da empresa;
- Permitir, tecnicamente (por meio de logs, preferencialmente), que haja o registro do tratamento dos dados pessoais;
- Considerar que os usuários de uma determinada solução tenham informações, meios e controles suficientes para que possam exercer os seus direitos também, que passaram a ser conferidos a partir da LGPD.
Além dos conceitos de Privacy by design e privacy by default, abordado anteriormente, vale destacar também o conceito de security by design. Isto pois, privacidade e segurança andam juntas para a proteção de dados pessoais.
Esse conceito, no entanto, não veio com a LGPD. Na verdade, quando pensamos em segurança no desenvolvimento de software, já temos recomendações nesse sentido há décadas.
O conceito de Shift left nos diz exatamente isso. Ao invés de a segurança ser uma preocupação ao final do pipeline de desenvolvimento do software, ela deve “ir para esquerda”, para o início do desenvolvimento, sendo uma preocupação constante em todo o desenvolvimento.
O mundo ideal, portanto, é aquele em que a segurança seja testada de forma iterativa em cada etapa do avanço de um projeto de desenvolvimento.
Conclusão
Em um cenário econômico cada vez mais guiado e orientado por dados pessoais, pensar em integrar proteção de dados ao processo tecnológico e as demais áreas de uma empresa é um tarefa necessária não apenas para a sua adequação à LGPD, que é obrigatória, mas também para fidelizar (e até conquistar) clientes.
Aproveite este momento para estabelecer um enorme diferencial competitivo saindo na frente de seus concorrentes que não demonstram e que realmente não se importam em proteger dados pessoais sob o seu controle.
Os resultados a partir disso podem não ser sempre imediatos, mas eles tendem a aparecer!
Autores:
Taynara Rodrigues Bernardo, CEO e Fundadora da Data Guide, consultoria especializada em soluções para proteção de dados e privacidade.
Igor Pacheco Pinzegher, advogado e Head de Proteção de Dados da Data Guide.