Uma vez criado o regulamento de dados pessoais, a lei europeia GDPR, a proteção e privacidade de dados se tornou algo importante, incorporando então alguns conceitos como o Privacy by Design, por exemplo.
Apesar de criado na década de 90, no Canadá, o Privacy by Design tem relação direta com o GDPR e também com a Lei brasileira, a LGPD. Esse conceito tem influência na forma como os dados são tratados.
O que é Privacy by Design?
Privacy by Design, também conhecida como PbD, é uma metodologia criada pela Dra. Ann Cavoukian que tem como objetivo manter a privacidade de informações pessoais coletadas por empresas.
Apesar de criado antes dos anos 2000, vale pontuar que este conceito começou a ser divulgado e aplicado a partir do ano de 2010, tanto na Europa como nos Estados Unidos.
É possível entender o que é este conceito por meio da tradução de Privacy by Design que, de acordo com especialistas nesta área, significa privacidade desde a concepção.
Em outras palavras, a intenção é que empresas que trabalham com dados de clientes garantam a privacidade e a proteção como pontos fundamentais.
De tal maneira, estes se tornam bases para qualquer produto ou serviço que for desenvolvido e disponibilizado pela empresa.
Por isso, podemos entender que existe uma proteção de dados by design, ou seja, desde a idealização do projeto, atuando dentro dos parâmetros necessários para garantir a proteção.
Assim, este conceito se torna presente nos valores daquela empresa, o que faz com que ocorra uma banalização dessa conduta eticamente correta conforme a lei.
Existe aqui uma relação com a adequação necessária para a Lei Geral de Proteção de Dados.
Sendo assim, esta metodologia se torna um fator crucial para empresas que oferecem produtos e serviços e captam os dados pessoais de usuários.
Afinal, uma vez seguido este ponto, existe um grande caminho já percorrido na trajetória de adequação com a Lei como um todo, evitando possíveis problemas.
Estes, por sua vez, vão desde manchar a imagem da empresa, o que dificulta para adquirir novos clientes, até pagar multas em um valor máximo de R$50 milhões.
Como implementar esta metodologia em uma empresa?
Para colocar em prática as ideias deste conceito, é necessário entender os pilares que o sustentam. Afinal, esta é uma metodologia que irá, entre outros fatores, mudar a forma como uma empresa idealiza os projetos que serão feitos.
Sendo assim, existem sete fundamentos que são essenciais para saber aplicar, sendo eles os principais fundamentos do Privacy by Design:
- Ser proativo e não reativo, optar por prevenir ao invés de remediar;
- A privacidade e a proteção do usuário devem ser garantidas sempre, sem necessitar de configurações por parte do usuário;
- Incorporar a privacidade ao projeto, não sendo vista apenas como um adicional, mas sim como parte do que será desenvolvido;
- Todas as possíveis funcionalidades devem ser completas e protegidas, gerando um benefício mútuo, para o usuário e para a empresa;
- A segurança deve estar presente desde a captação até a destruição ou compartilhamento do dado, ou seja, de ponta a ponta;
- Manter a transparência com o titular dos dados, informando-o sobre o motivo de coleta das informações e quem possui acesso à elas;
- A privacidade do usuário deve ser respeitada sempre.
De tal forma, é possível entender que o foco de todas as ações da empresa deve ser justamente o cliente.
Sendo assim, deve ser garantido pela empresa que os dados estão protegidos e totalmente seguros.
Afinal, caso isso não ocorra, a empresa pode sofrer uma série de sanções e o usuário é altamente impactado uma vez que seus dados podem ser roubados ou tratados sem a devida permissão.
E quanto às áreas que podem ter esse conceito aplicado por parte da empresa, podemos citar:
- Projetos internos;
- Desenvolvimento de algum software;
- Departamento de TI e planejamento estratégico.
No entanto, a forma de pensar na privacidade é alinhando-a com o projeto, e não vendo como algo a parte.
Qual é a relação com a LGPD?
Apesar de constar a Privacy by Design no GDPR, o caso não é o mesmo quando falamos da LGPD, a legislação brasileira.
Contudo, mesmo sem possuir princípios como o Privacy by Design ou Privacy by Default de maneira explícita, é válido pontuar que a legislação brasileira possui conceitos parecidos.
Estes, por sua vez, possuem ligação com a proteção dos dados, ditando então como deve ser garantida a segurança por parte das empresas.
Sendo assim, apesar de ambos possuírem a mesma finalidade, não existe uma relação entre o PbD e a Lei Geral de Proteção de Dados.
É válido pontuar que não existe um requerimento de que todas as empresas façam uso desta metodologia, mas não existe nada que impeça que este seja aplicado.
Afinal, o objetivo deste tipo de ação por parte de uma empresa é justamente o de oferecer mais segurança e privacidade aos dados do usuário.
Dessa forma, a transparência sobre o motivo e período de uso destes também é algo que é colocado em prática.
Além de ser algo recomendado por profissionais do ramo e considerado como uma fase de adequação à LGPD, esta é uma boa forma de agir.
Outro ponto é que, através desta metodologia, o usuário se torna o principal moderador dos seus dados.
Sendo assim, ele se ganha o controle sobre quais dados serão fornecidos e quais não, limitando-se apenas aqueles que são obrigatórios para uma finalidade declarada explicitamente pelo controlador.
Diferença entre Privacy by Design e Privacy by Default
Uma vez que entendemos o que é este primeiro conceito, existe um outro ponto importante o qual iremos esclarecer.
Ele diz respeito justamente a diferença existente entre Privacy by Design e Privacy by Default, duas metodologias similares.
O primeiro dita principalmente a maneira como o projeto deve ser desenvolvido através dos pilares que citamos anteriormente.
Dessa maneira, se torna necessário que exista a segurança e privacidade de dados em qualquer projeto que envolva informações de clientes.
Aqui podemos citar tanto produtos como softwares e sistemas de TI desenvolvidos por uma empresa para que exista sempre a antecipação de problemas, diminuindo riscos de roubos e vazamentos de dados.
Sendo assim, os projetos gerados através deste conceito são proativos e oferecem controle para que o usuário altere configurações padrão do sistema, optando por fornecer os dados ou não, e utilizar o produto ou serviço livremente.
Agora, quando falamos nesta segunda metodologia, é preciso entender que ele significa que assim que o produto ou serviço é lançado ao público, as configurações mais seguras são aplicadas por padrão.
Em outras palavras, o usuário não precisa entrar e escolher pela configuração de privacidade e proteção uma vez que estas já vem de fábrica, por assim dizer.
Todas as informações pessoais cedidas pelo usuário são coletadas apenas para que seja feita a entrega do serviço ou produto.
Porém, ainda assim todos os dados necessários devem ser informados para o usuário, bem como qual a finalidade de cada um deles.
Ao falar sobre o tempo de armazenamento destas, é válido pontuar que elas são mantidas apenas pelo período o qual serão utilizadas para aquele projeto.
Apesar de não estar requisitado pela legislação brasileira, ambos os conceitos possuem ligação tanto com a LGPD como com o GDPR, garantindo segurança aos dados dos clientes.
Portanto, é possível entender que a segunda é uma consequência da primeira. Ambas são duas boas estratégias que, quando desempenhadas corretamente, garantem a privacidade, ponto fundamental atualmente.
Como este conceito se aplica dentro das certificações de DPO?
Para desempenhar o papel de encarregado de dados, ou DPO, dentro de uma empresa, existem três certificações necessárias para credenciar o profissional:
- Privacy and Data Protection Foundation (PDPF);
- Information Security Foundation (ISFS);
- Privacy and Data Protection Practitioner (PDPP).
Uma vez conquistadas os certificados nestas três áreas, além da expansão de conhecimento sobre o negócio que atua e os seus respectivos processos, ele possuirá bagagem suficiente para ser um Data Protection Officer.
Contudo, a dúvida que fica é sobre o papel da metodologia Privacy by Design nas certificações necessárias.
De tal maneira, seja antes ou depois de tiradas as certificações, é necessário que o profissional conheça o PbD.
Afinal, tendo em vista que o DPO é um profissional responsável pela proteção e privacidade dos dados, este conceito terá aplicação dentro da empresa.
E, dessa forma, todas as mudanças propostas pelo DPO devem girar em torno do cuidado com privacidade e segurança de dados.
É válido pontuar que, apesar de possuir relação direta com a profissão, este não é um ponto cobrado em provas para qualquer uma dos três certificados.
O importante, no entanto, é justamente possuir o conhecimento nesta área.
Isso se dá uma vez que todas as estratégias adotadas por uma empresa devem, necessariamente, possuir alinhamento com esse conceito.
Dessa forma, o DPO é o responsável direto por propagar essa metodologia a fim de mudar a cultura e futuros projetos da empresa para colocar a privacidade em primeiro lugar.
Podemos entender então que, mesmo não sendo obrigatória para a LGPD, a Privacy by Design é importante para empresas que trabalham com dados pessoais de usuários.
