Artigo atualizado 8 maio 2024Privacy by Design (PbD) é uma abordagem que visa incorporar a proteção da privacidade desde o início do desenvolvimento de produtos e serviços, garantindo que a segurança e o respeito aos dados pessoais sejam prioridades.
A privacidade é um direito fundamental garantido pela Constituição Federal brasileira e cada vez mais essencial em um mundo digital.
Nesse contexto, o conceito de Privacy by Design surge como uma abordagem estratégica para proteger a privacidade desde o início do desenvolvimento de produtos e serviços. Por isso, entender os seus princípios é crucial para garantir a segurança dos dados pessoais.
Conforme referenciado, na Constituição Federal temos o art. 5º, X:
Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:
[…]
X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;
Continue a leitura para entender mais sobre a sua aplicabilidade e princípios! 😉
O que é Privacy by Design?
Privacy by Design (PbD) é uma abordagem proativa de proteção da privacidade que visa incorporar medidas de segurança e privacidade desde a concepção de um produto ou serviço, e não apenas como uma adição posterior.
Essa filosofia foi desenvolvida pelo Comissário de Informação do Canadá, Ann Cavoukian, e se tornou um princípio fundamental da Lei Geral de Proteção de Dados (LGPD) no Brasil.
Legislação da Privacy by Design
Na LGPD, o PbD está explicitamente referenciado ao art. 46, § 2º:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.
§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
Assim, com a vigência da LGPD, o padrão deve ser que todos os serviços, produtos – e processos! – devam passar pela área de tratamento de dados, ou seja, pelo encarregado e, se for o caso, pelo controlador, figuras chaves no tratamento de dados, conforme exposto à LGPD, em seu artigo 5º, com alguns destaques para os fins deste artigo:
Art. 5. Para os fins desta Lei, considera-se:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
Qual a função da Privacy by Design?
O objetivo do Privacy by Design é garantir que a privacidade e a proteção de dados pessoais sejam consideradas em todas as etapas do ciclo de vida de um produto ou serviço, desde o design inicial até a sua implementação e uso.
Dessa forma, busca-se minimizar os riscos de violações de privacidade e garantir que a coleta, o armazenamento e o uso de informações e dados pessoais sejam feitos de maneira ética e responsável.
Quais os princípios do Privacy by Design?
O Privacy by Design é fundamentado em 7 princípios-chave, são eles:
- Proatividade, não reatividade;
- Privacidade como padrão;
- Privacidade incorporada no design;
- Funcionalidade total: buscar o equilíbrio entre privacidade e funcionalidade, sem sacrificar nenhuma das duas;
- Segurança do ciclo de vida: proteger os dados pessoais durante todo o ciclo de vida, desde a coleta até o descarte
- Visibilidade e transparência: manter os processos de tratamento de dados visíveis e transparentes para os usuários – em todo o ciclo de vida, reforça-se;
- Respeito à privacidade do usuário: colocar os interesses e a privacidade do usuário no centro das atenções e em primeiro lugar.
Em relação aos três primeiros princípios apresentados na lista, vale trazer individualmente as suas explicações. Confira:
Proatividade, não reatividade
Antecipar e prevenir problemas de privacidade, em vez de apenas reagir a eles. Para tanto, é necessário ter uma postura proativa e de prevenção, ao invés de deixar para reagir após a constatação de um problema relacionado à privacidade de dados e informações.
Privacidade como padrão
Garantir que a privacidade seja a configuração padrão, sem a necessidade de ação do usuário. Ou seja, por padrão, ou por default, a privacidade deve ser pensada desde o início da experiência do usuário/titular de dados.
Privacidade incorporada no design:
Integrar a privacidade desde o início do desenvolvimento, e não apenas adicioná-la posteriormente. Pode soar parecido com o princípio anterior, mas design e default são diferenciados adiante. Mas já adiantamos que o design tem mais a ver com o desenho, com a concepção, enquanto o default se refere à configuração em si.
Como aplicar o Privacy by Design?
Para aplicar o Privacy by Design, é necessário incorporar os 7 princípios desde o início do desenvolvimento de um produto ou serviço. Isso envolve:
- Realizar avaliações de impacto à privacidade (PIA) para identificar e mitigar riscos;
- Adotar medidas técnicas e organizacionais para proteger os dados, como criptografia, anonimização e controles de acesso;
- Estabelecer políticas e procedimentos claros para o tratamento de dados pessoais;
- Envolver os usuários no processo de design e obter o consentimento informado;
- Monitorar constantemente os riscos e atualizar as medidas de proteção.
Ressalta-se a importância da conexão de todas as áreas da empresa, que devem estar intimamente ligadas à proteção da privacidade. Seja por meio de um fluxo/processo pré-estabelecido, seja por treinamentos (rotineiros) e reciclagens.
Qual a diferença entre Privacy by Design e Privacy by Default?
A principal diferença entre Privacy by Design e Privacy by Default é que o primeiro se refere à incorporação da privacidade desde o início do desenvolvimento de um produto ou serviço, enquanto o segundo se refere à configuração padrão de privacidade, sem a necessidade de ação do usuário.
Ou seja, o Privacy by Design é uma abordagem mais ampla, que engloba o Privacy by Default como um de seus princípios-chave.
Conclusão:
Em resumo, o Privacy by Design é uma abordagem essencial para garantir a privacidade e a segurança dos dados pessoais em um mundo cada vez mais digital. Ao aplicar seus 7 princípios-chave, as organizações podem proativamente proteger a privacidade dos usuários, construindo produtos e serviços confiáveis e responsáveis.
Portanto, entender e implementar o Privacy by Design é um passo fundamental para cumprir a LGPD e respeitar o direito à privacidade. 😉
Mais conhecimento para você
Se você gostou deste texto e deseja seguir a leitura em temas sobre direito e advocacia, vale a pena conferir os seguintes materiais:
- Principais artigos e aplicações da Lei de Registros Públicos (6.015/73)
- Entenda o que é direito à privacidade e qual a sua importância
- O que é a herança digital e qual a sua regulamentação
Assine grátis a Aurum News e receba uma dose semanal de conteúdo no seu e-mail! ✌️
Conheça as referências deste artigo
BRASIL, Constituição da República Federativa do Brasil de 1988.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2018.
BIONI, Bruno. Proteção de dados pessoais: a função e os limites do consentimento. 2. ed. Rio de Janeiro: Forense, 2020.
CAVOUKIAN, Ann. Privacy by Design: The 7 Foundational Principles. Information and Privacy Commissioner of Ontario, Canadá, 2009.
DONEDA, Danilo. Da privacidade à proteção de dados pessoais. 2. ed. São Paulo: Thomson Reuters Brasil, 2019.
OLIVEIRA, Ricardo. LGPD [recurso eletrônico]: como evitar as sanções administrativas / Ricardo Oliveira. – São Paulo: Expressa, 2021.
Advogado (OAB/DF 46.245) com atuação em direito empresarial, tributário, societário e em contencioso estratégico. Pós-graduado em direito empresarial pela FGV. Graduado pelo Centro Universitário IESB/DF. Membro da comissão de Direito Empresarial da OAB/DF....
Ler maisDeixe seu comentário e vamos conversar!
0
14447
Deixe um comentário