Desde que entrou em vigor em 2020, a Lei Geral de Proteção de Dados (LGPD) tem dado bastante trabalho para cientistas de dados, programados, advogados e demais profissionais do Direito. Além de terem que conhecer a legislação, eles precisam buscar soluções para que empresas, órgãos públicos e entidades sem fins lucrativos se adequem às novas regras.
A implementação da LGPD ainda está no começo e muitos aspectos relacionados à fiscalização e punição ainda estão sendo discutidos pela comunidade jurídica e pela Autoridade Nacional de Proteção de Dados (ANPD). Mas já existe uma solução disponível que orienta boas práticas de uso e armazenamento de dados: Privacy by Design.
Se você trabalha na área de tecnologia ou no meio jurídico, precisa conhecer esse conceito. Nos próximos parágrafos, você aprenderá o essencial sobre o que é Privacy by Design e como ele o ajudará a se adequar à LGPD.
O que é Privacy by Design
O Privacy by Design é um framework de concepção de produtos ou serviços que coloca a proteção da privacidade em todas as etapas do processo, além de servir como baliza ética. Na prática, a organização deve garantir que a privacidade seja incorporada ao sistema em todo o ciclo de desenvolvimento, inclusive permitindo que o usuário decida se irá fornecer seus dados ou não. Caso ele opte por não dar as informações, ele deve conseguir utilizar o produto ou serviço da mesma maneira.
Aqui, quando falamos em dados, estamos nos referindo a informações como nome, e-mail, CPF, localização, número de cartão de crédito, localização, formação, renda familiar, comportamentos de gastos e consumo... Detalhes mais sensíveis como orientação política e condições de saúde também entram na lista.
O conceito de Privacy By Design foi desenvolvido em 1990 pela canadense Ann Cavoukian, comissária para Informação e Privacidade de Ontário entre 1997 e 2014. O framework foi adotado como padrão internacional em outubro de 2010, na 32ª International Conference of Data Protection and Privacy Commissioners. Hoje ele inspira a General Data Protection Regulation (GDPR), na Europa, e a LGPD, no Brasil.
É importante lembrar que o debate sobre a privacidade é anterior ao Privacy by Design no meio jurídico. Em 1950, a seção 8 da European Convention of Human Rights já previa que "todos têm o direito ao respeito à privacidade e vida familiar, à sua casa e correspondência".
Os 7 princípios do Privacy by Design
Ann Cavoukian sistematizou seus estudos sobre privacidade em 2009 e publicou uma lista de princípios norteadores que é usada até hoje. Confira os 7 princípios do Privacy by Design:
1. Proatividade
A entidade responsável pela coleta, manipulação e manutenção dos dados deve ter uma postura positiva e ativa para garantir a privacidade. A lógica do Privacy by Design é preventiva, ou seja, a empresa não deve esperar acontecer um vazamento para agir. Ela precisa desenvolver ferramentas que evitem que isso aconteça.
2. Privacidade como padrão
A privacidade é um princípio e deve ser padrão. A exceção é aberta somente pelo usuário, que deve manifestar de forma objetiva sua decisão.
3. Privacidade do começo ao fim do design
A proteção da privacidade deve estar prevista em todas as etapas de planejamento e execução de um projeto, do desenho dos sistemas até um eventual descarte.
4. Funcionalidade plena
Na equação privacidade x eficiência, não deve existir uma relação de soma zero. Ou seja, o investimento em uma não deve levar à diminuição da outra. Em sua lista de princípio do Privacy by Design, Ann Cavoukian explica que deve ser criada uma relação de soma positiva, em que o aprimoramento de uma parte leve ao do outro.
5. Segurança do começo ao fim
A proteção dos dados deve estar garantida durante todo o ciclo de vida de um projeto: coleta, armazenamento, uso, manutenção e descarte.
6. Transparência
Todas as etapas do processo devem ser acessíveis para quem quiser acessá-las, em especial para fins de fiscalização. Isso inclui códigos-fonte, algoritmos e critérios para tomada de decisão pela Inteligência Artificial (IA).
7. Respeito ao usuário como valor fundamental
A privacidade do cidadão é a prioridade absoluta no Privacy by Design. Todo o projeto é centrado no usuário.
Privacy by Design e Privacy by Default: qual a diferença?
É comum haver certa confusão entre os dois conceitos. A principal diferença entre eles está na personalização. O framework de Privacy by Default recorre a padrões automáticos de proteção de dados, de forma uniforme e de prateleira. Já o Privacy by Design é uma solução mais customizada para a coleta, armazenamento e uso das informações, sendo adaptado ao contexto de cada empresa e a situações específicas.
Quem é Ann Cavoukian, inventora do conceito de Privacy by Design
Ann Cavoukian desenvolveu o conceito de Privacy by Design a partir de sua experiência no Comissariado para Informação e Privacidade de Ontário. Ela entrou no departamento em 1987, após coordenar pesquisas para o procurador geral da província e concluir um mestrado e um doutorado em Psicologia na Universidade de Toronto, onde também se especializou em criminologia e Direito.
Em 1997, Ann Cavoukian foi indicada para o cargo de comissária, que ocupou por três mandatos seguidos. Neste período, elaborou divulgou o conceito de Privacy by Design, além de escrever dois livros em coautoria:
- "Who Knows: Safeguarding Your Privacy in a Networked World" (1997), com Don Tapscott;
- "The Privacy Payoff: How Successful Businesses Build Customer Trust" (2002), com Tyler Hamilton.
Atualmente ela é professora da Ryerson University e consultora no Innovate Cities, iniciativa canadense voltada desenvolvimento de cidades mais sustentáveis e inclusivas. Ann Cavoukian também é professora convidada dos cursos Direito 4.0: Direito Digital, Proteção de Dados e Cibersegurança e Jurimetria, Legal Hacking e Inteligência Artificial da Pós PUCPR Digital.
Cavoukian ministra a disciplina "Privacy by Design e by Default: a ciência de dados guiada pela privacidade", área em que é referência internacional.
Como funciona a LGPD
A LGPD é um conjunto de normas que define como os dados pessoais dos usuários devem ser armazenados, protegidos e usados por empresas, pessoas e órgãos públicos. A legislação é válida em todo o território nacional e garante a privacidade da população, ao impedir que bases de contatos circulem livremente entre entidades privadas.
A lei protege o direito do cidadão de escolher como suas informações pessoais serão tratadas. É preciso ressaltar que a LGPD não proíbe cadastro ou armazenagem de dados, mas lista direitos e deveres que precisam ser cumpridos por pessoas físicas e jurídicas.
>>> Saiba o que muda com a LGPD e no que você precisa ficar atento.
A relação entre o Privacy by Design e a LGPD
Apesar de não ser diretamente mencionado, o Privacy by Design é uma solução para organizações que precisam se adequar à LGPD. Lembrando que adotar o framework por si só não configura um requisito de conformidade.
O Privacy by Design é bastante útil para se adequar aos artigos 46 e 47 da lei:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
[...]
§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.
Em outras palavras, ao seguir os princípios do Privacy by Design, a empresa estará garantindo a proteção dos dados desde a concepção do projeto, como previsto na LGPD.
Como implementar o Privacy by Design
Depois de ler tudo isso, você deve estar se perguntando por onde começar. Um bom caminho de como implementar o Privacy by Design são os 7 passos indicados pela Autoridade de Proteção de Dados da Noruega.
Se você quiser se aprofundar ainda mais sobre o assunto, o ideal é buscar uma pós-graduação em direito digital que aborde outros aspectos relacionados à privacidade, segurança da informação e legislação. Lembramos que você não precisa ter bacharelado em Direito para se especializar na área.
Confira a seguir os 7 passos para implementar o Privacy by Design na sua empresa.
1. Treinamento dos colaboradores
Colaboradores, gestores e executivos devem participar de treinamentos sobre segurança de dados. Toda a organização deve estar ciente da importância da privacidade do usuário.
É nos treinamentos que as equipes conhecerão os métodos e rotinas que devem seguir para estar de acordo com a LGPD, além de boas práticas de cibersegurança.
Não existe uma forma única de executar este primeiro passo de implementação do Privacy by Design, mas a Autoridade de Proteção de Dados da Noruega indica que os requisitos internos e externos que são exigidos da organização sejam abordados.
Os requisitos internos são:
- Proteção de dados;
- Segurança da informação;
- Controle interno;
- Gestão de recursos;
- Análise de riscos;
- Exigências referentes a documentação.
Já os requisitos externos são:
- Leis e regulamentações de proteção de dados, como a LGPD.
- Regulamentações específicas para o setor em que a empresa atua;
- A importância dos princípios da proteção de dados;
- Direitos dos indivíduos detentores dos dados.
Os treinamentos devem ser planejados de acordo com a realidade de cada empresa, considerando seu segmento, porte e produto/serviço oferecido ao público. Geralmente, eles são organizados em parceria entre o departamento jurídico e a área de TI. A Autoridade de Proteção de Dados da Noruega recomenda que os treinamentos sejam incluídos na rotina de onboarding e sejam reforçados toda vez que a empresa iniciar um projeto novo.
2. Requisitos
Departamento jurídico e equipe de desenvolvimento devem, juntos, fazer um levantamento dos requisitos necessários de configuração para proteção de dados e segurança da informação. Neste momento, ter um especialista em Direito Digital na equipe é fundamental, pois ele apontará quais leis, diretrizes e códigos de condutas são aplicáveis ao projeto. Essas informações que determinam quais requisitos o produto/serviço deve incorporar.
Confira o checklist de requisitos de Privacy by Design desenvolvido pela Autoridade de Proteção de Dados da Noruega.
3. Design
É neste momento da implementação do Privacy by Design que os requisitos definidos no passo anterior serão incluídos no desenvolvimento. Também é preciso fazer um levantamento de possíveis ameaças de cibersegurança e planejar o que será feito para evitar vazamentos.
A etapa de design é dividida em duas categorias de requisitos. A primeira é de design orientados a dados, que prevê:
- Minimização do limite: a quantidade de dados coletada e processada deve estar limitada ao que é estritamente necessário.
- Ocultamento e proteção: dados dos usuários não devem ser comunicados, processados nem armazenados à vista. A criptografia é uma forma de esconder essas informações.
- Segmentação: não processe ou armazene os dados de um mesmo usuário em um único ambiente. Assim você diminui as chances de criar um perfil completo dos clientes, protegendo a privacidade deles.
- Agregação: os dados devem ser colhidos e processados com o maior nível de agregação possível. Isso significa reduzir o nível de detalhamento das informações particulares e remover o que é desnecessário para o negócio.
- Proteção de dados como padrão: todas as configurações devem ser privacy-friendly, permitindo ao usuário decidir se irá ou não fornecer os dados dele.
A segunda é o design orientado a projetos, que inclui:
- Informação: o usuário deve ter informações suficientes sobre como seus dados serão processados ao utilizar o produto ou serviço.
- Controle: toda pessoa tem o direito de controlar seus dados pessoais, ou seja, ela deve conseguir acessar, atualizar e deletar as informações fornecidas.
- Transparência: o usuário deve ter acesso à documentação que explica como a empresa protege seus dados.
- Demonstração: a empresa deve documentar todos os processos que asseguram a privacidade e proteção dos dados.
- Redução de oportunidades de exploração de vulnerabilidades: a empresa deve revisar o design do ponto de vista do invasor, avaliando a comunicação dos dados, o fluxo de data e o input e o output das informações.
Confira o checklist de design da Autoridade de Proteção de Dados da Noruega.
4. Codificação
Hora da equipe de desenvolvimento colocar a mão na massa. A partir dos checklists de Privacy by Design das etapas anteriores, ela conseguirá escrever códigos que implementem os requisitos de privacidade e proteção de dados.
Neste momento, é importante prestar atenção em:
- Aprovar previamente as ferramentas e frameworks;
- Listar quais componentes de apoio e ferramentas são terceirizados;
- Desabilitar funções e módulos não-seguros, como APIs e bibliotecas de terceiros;
- Implementar verificações regulares de vulnerabilidade do código, incluindo análise estática;
- Documentar todas as etapas de execução do projeto.
5. Testes
Depois da codificação, testes devem ser realizados para verificar se todos os requisitos de proteção de dados e segurança da informação foram implementados conforme planejado. A equipe também deve buscar vulnerabilidades, por meio de testes dinâmicos, de fuzzing e de penetração.
Confira o checklist de testes da Autoridade de Proteção de Dados da Noruega.
6. Lançamento
No Privacy by Design, o lançamento de um produto ou serviço é acompanhado pela elaboração de um plano de resposta a incidentes e de procedimentos de atualização. Ah! Antes de lançar algo para o mercado, vale fazer aquela última revisão de segurança.
Confira o checklist de lançamento da Autoridade de Proteção de Dados da Noruega.
7. Manutenção
O lançamento foi concluído, mas os processos de Privacy by Design continuam. É neste último passo que o plano de respostas a incidentes é colocado em prática, o que inclui manter um centro de atendimento preparado para auxiliar o usuário em casos de vazamento.
Confira o checklist de manutenção da Autoridade de Proteção de Dados da Noruega.
