A partir da Lei Geral de Proteção de Dados – Lei 13.709/18, conhecida como LGPD, houve uma crescente importância quanto à proteção da privacidade dos dados pessoais em todas as áreas, seja no âmbito privado, seja no público.

            A novidade trazida pela LGPD no qual foi inspirada na General Data Protection Regulation (GDPR) da União Europeia, norma esta equiparada à Lei Geral de Proteção de Dados, prevê nos considerandos nº 78[1] e 108[2], bem como no artigo 25[3] da aludida lei, o Privacy by Design e o Privacy by Default, onde os fundamentos já eram relevantes mesmo antes da existência de ambas as legislações.

            O conceito do Privacy by Design foi concebido na década de 90 pela especialista em privacidade de dados, Dra. Ann Cavoukian, em 2009, no Canadá, onde estabeleceu princípios norteadores da implementação do processo de adequação, sendo criado com base nas organizações que estavam em processo de construção, livres de vícios ou más práticas.

            A tradução do princípio do Privacy by Design se refere à privacidade desde a concepção do negócio, com propósitos no uso das informações, delimitação na coleta de dados, inserindo, também, o princípio da minimização dos dados, transparência, retenção, responsabilização, dentre outros que expressamente são trazidos pela LGPD.

            São sete os pilares fundamentais do Privacy by Design, que se baseiam a proteção de dados, sendo eles: a proatividade,  onde há prevenção em detrimento à não correção, antecipando e identificando os problemas, prevenindo ou minimizando os riscos; a privacidade incorporada ao design, onde o titular tem o direito à autodeterminação quanto ao uso de seus dados; a funcionalidade de todo o projeto; a segurança de ponta a ponta em todo o ciclo de vida dos dados pessoais, desde a coleta até sua eliminação; a visibilidade e transparência quanto à utilização dos dados; respeito à privacidade com base em diretrizes de segurança da informação, políticas de boas práticas, confidencialidade, integridade, disponibilidade e demais princípios que a própria LGPD prevê; além do Privacy by Default, dentro do desenho da privacidade, que é parte integrante da privacidade desde a concepção.

            Neste contexto, os sete princípios essenciais se estendem a uma trilogia de aplicações abrangentes, ou seja, sistemas de Tecnologia de Informação; práticas de negócios; e projeto físico e infraestrutura de rede, aplicando as medidas de controle e proteção em todo o âmbito da organização, determinado pela gestão de riscos, criticidade e sensibilidade dos dados coletados.

            A ideia trazida pelo Privacy by Design deve ser aplicada em todas as organizações, inclusive nas já existentes, implementando mudanças nas formas de gestão, conscientização e provendo o aculturamento em proteção e privacidade de dados. O que inicialmente seria direcionado a organizações em processo de criação, agora, abrange todo o sistema que utiliza dados pessoais.

            A privacidade desde à concepção de produtos e serviços deve vir incorporada nas políticas de boas práticas, governança e também, ao design, visando a prevenção de eventos invasivos e que possam causar lesões aos titulares, evitando, também, impactos e prejuízos nas organizações, o que reflete o princípio da proatividade.

            Nesta disposição é relevante a abordagem do aspecto pessoal, tecnológico e de processos, buscando à privacidade, identificando as vulnerabilidades e possibilitando medidas preventivas de segurança nesta tríade.

            Além da aludida proatividade, a privacidade deve estar incorporada ao design na arquitetura de sistemas de tecnologia de informação e de práticas de negócios, agindo da mesma forma, ou seja, na busca constante de falhas, desde o processo de concepção, e mesmo após sua implementação, a continuidade de análise será necessária, adotando medidas mitigatórias de riscos.

            No que diz respeito ao pilar da funcionalidade integral, são observados os interesses e objetivos legítimos de funcionalidades e aplicativos tecnológicos, para que seja adequado à infraestrutura da organização, atendendo a todas as necessidades, sejam em processos, sistemas, ambientes e tecnologias diversas, objetivando, evidentemente, à proteção dos dados dos titulares.

            Ainda, a segurança precisa ser estabelecida, bem como seus fundamentos, e estruturas, de ponta a ponta e durante todo o ciclo de vida dos dados em uma organização, através de medidas de controle e segurança, sendo observado pela própria LGPD em seu artigo 5º, inciso X[4], que dispõe um rol exemplificativo de tratamento de dados. Desta forma, a privacidade será sempre o escopo de todo o projeto do início ao fim.

            Outro eixo importante é a visibilidade e transparência, notadamente reconhecida pela LGPD no art. 6º, inciso VI[5], objetivando que os titulares, fornecedores, colaboradores e parceiros de negócios tenham o conhecimento de que a organização preza pelo cuidado e segurança dos dados, além de respeitar a privacidade, o que certamente gera credibilidade, valor de mercado, fortalecimento da marca, dentre outros benefícios.

            Igualmente relevante é o respeito à privacidade, parece óbvio, mas tal princípio é fundamental para que os direitos e interesses do titular sejam observados e garantidos. A LGPD confere ao titular o poder decisório sobre a utilização dos seus dados pessoais e sobre o exercício deste poder, sendo clara quanto ao fundamento da autodeterminação informativa em seu artigo 2º, inciso II[6], além dos direitos inseridos no artigo 18[7], no que se refere à confirmação, exatidão dos dados coletados, acesso, consentimento, dentre outros. Tal princípio faz prevalecer o consentimento quanto ao uso do dados, a autonomia e a autodeterminação, conforme mencionado, caso não seja identificada outra base legal específica para o tratamento de seus dados.

            No que tange ao princípio do Privacy by Default, também pilar da privacidade desde à concepção, estabelece que a privacidade seja garantida de forma automática, ou seja, um grau máximo de proteção onde a organização provê e assegura tal responsabilidade através de um padrão rigoroso, independente se o titular agiu de forma a garantir sua privacidade, que deve permanecer intacta.

            Na prática, utilizado, por exemplo, quando do início do tratamento de dados, onde já na coleta é realizada uma triagem avaliativa, buscando a solicitação do mínimo de dados, estritamente necessários para o tratamento, com finalidades determinadas para atingir um objetivo, evitando o excesso desnecessário de informações. Tal prática é diagnosticada em processos de Data Mapping, chamado de mapeamento de dados, no próprio inventário de dados, fazendo parte do processo de adequação de uma organização, onde são realizados ajustes e correções para o Compliance empresarial.

            O Privacy by Design e seus pilares, trazem mudanças na forma como as organizações tratam dos dados pessoais sob sua responsabilidade e impulsionam a adoção de medidas de segurança eficazes, além da incorporação da privacidade em todos os projetos de tecnologia, tendo como ponto inicial a privacidade desde o princípio de projetos, sistemas e processos, assegurando a disponibilidade, integridade e a confidencialidade de todas as formas de informação ao longo de todo o ciclo de vida dos dados pessoais.

            Em se tratando de práticas de segurança, igualmente relevante a consideração das normas da ISSO sigla referente International Organization for Standardization (Organização Internacional para Padronização) com membros de 165 países e no Brasil, é representada pela Associação Brasileira de Normas Técnicas (ABNT).

            A ISO 27000 é um conjunto de certificações de segurança da informação e proteção de dados para empresas e órgãos públicos, que além de prover o compliance trazendo diretrizes para a adequação às normas de segurança também previstas na LGPD, sob padrões internacionais de governança, comprova que a empresa seque os padrões.  Elas servem como base para a criação de um Sistema de Gestão de Segurança da Informação (SGSI) em organizações de pequeno, médio e grande porte.

            A família 27000 aborda recomendações essenciais, com código de prática para controles de segurança da informação, sendo exemplos a gestão de segurança da informação, seleção, implementação e gerenciamento de controles; certificação de segurança, com requisitos estabelecidos, dentre outros.

            A versão atualizada de 2022 sobre a ISO 27001 e 27002 traz toda a política de segurança abarcado pelo Privacy by Design e Privacy by Default, dispondo sobre a governança desde a Concepção & governança por Padrão, obrigações de controladores e operadores, privacidade atualizada no dia a dia, gestão de obrigações, consentimento, registro de tratamento, categorização de tipos de controles, etc.

            Destaca-se que dos 93 (noventa e três) tipos de controles, 69 (sessenta e nove) são preventivos, o que reflete a preocupação com a segurança e privacidade de dados em toda a organização, responsabilidades de gestão, controles físicos e tecnológicos, além de diversos controles preventivos, detectivos e corretivos, estruturas de controles corporativos, dentre outros, de igual relevância para quem pretende estar em conformidade com a LGPD de forma técnica e assertiva, motivo pelo qual é importante na gestão empresarial, uma equipe especializada em LGPD alinhada com a gestão de sistemas de informação e tecnologia, devendo ser observados igualmente as normas de ISO 27017 e 27018, dentre outras da mesma família.

            Importante ressaltar que a privacidade incorporada na concepção e por padrão esteja, também, relacionada aos sistemas de gestão de tecnologia da informação e sistemas de informação, em todos os produtos e serviços disponibilizados pelas empresas fazendo realmente parte do processo, devendo existir estratégias de segurança e gestão de riscos, diretrizes, programas de treinamento, etc.

            Nas empresas que já vêm aplicando e construíram ao longo do tempo um sistema voltado para a privacidade, contando com projetos e segurança da informação, governança de dados, gestão de riscos e estão em um grau  razoável de maturidade, também necessitam de análise à luz da LGPD, visando uma investigação quanto ao nível da referida maturidade, e avaliadas quais ações serão necessárias para o atendimento de questões faltantes à sua realidade, motivo pelo qual as análises e o próprio processo de adequação são únicos e personalizados, não existindo um modelo único.

            Apesar de não constar de forma expressa na legislação brasileira, o fundamento do Privacy by Design foi incorporado e referenciado no artigo 46[8], quanto à obrigatoriedade da adoção de medidas técnicas e administrativas aptas a proteção dos dados e no parágrafo 2º, afirmando que as medidas deverão ser observadas desde a fase da concepção do produto ou do serviço até a sua execução.

            Tais medidas de segurança (técnicas e administrativas) apesar de não especificadas na LGPD, traduzidas nas ações de um programa de adequação, com o aumento da proteção de ambientes críticos, promovendo a proteção de dados e sua privacidade, conforme as diretrizes da Lei, e por consequência, proporcionando a melhoria da imagem, credibilidade e confiança dos usuários.

            Em se tratando dos modelos de privacidade e do preceituado no artigo 46 da LGPD, as organizações (enquanto agentes de tratamento no papel de controladores) poderão implementar programa de governança em privacidade, conforme preceitua o artigo 50, §2º, I, alínea “a”[9], da aludida legislação, o que corrobora com os princípios de privacidade desde a concepção e por padrão.

            Todo o processo de engenharia de um serviço ou produto envolvendo o tratamento de dados pessoais, deve assegurar a privacidade, como o próprio nome menciona (Privacy) desde a concepção incorporada ao sistema organizacional por todo o período do tratamento e ciclo de vida dos dados, conforme já explanado.

            Tal ideia de privacidade visa a prevenção de riscos, antecipando por meio de análise da organização situações que possam vir a causar incidentes de segurança, possuindo abordagem proativa, revisando toda a cadeia.

            Entender e reconhecer a necessidade da aplicação, bem como os benefícios é o primeiro passo para a adoção de medidas que resguardarão a privacidade dos dados, lembrando sempre que toda a organização precisa estar comprometida e tal ato deve partir dos níveis mais altos das empresas, elaborando ou reforçando os padrões de segurança, elevando-os se necessário, além do comprometimento de todos os gestores e colaboradores, sendo primordial a reestruturação, construção ou ajustes dos modelos de negócios, considerando sempre a proteção da privacidade.

            Além do comprometimento de todos, a responsabilidade também será compartilhada com os terceiros, parceiros, controladores, controladoria conjunta, operadores ou suboperadores, que também devem possuir o mesmo nível de segurança física e tecnológica, adequação e grau de comprometimento.

            Com a novidade trazida para o Brasil, as empresas, organizações públicas, privadas e pessoas físicas que tratam de dados de forma econômica, necessitam implementar nos seus negócios tais ideais de privacidade, sendo um componente essencial para seu funcionamento, incorporando às novas tecnologias, operações e revisando toda arquitetura, para integração das inovações.

            Importante a atenção às normativas e suas atualizações, bem como protocolos e processos tecnológicos que certamente surgirão, sendo necessária a manutenção do programa de adequação, inclusive quanto à padronização do sistema de proteção e diretrizes que igualmente são alteradas ante ao cenário mundial evolutivo.

            Sempre que houver possibilidade, após um programa de adequação e incorporação destas novas ideias, deve-se ter avaliações constantes, em um processo cíclico de verificação e aprimoramento, analisando novas ameaças, elaborando medidas preventivas sempre em busca da mitigação de novos riscos, além de confecção de relatórios de impacto, para verificação da proteção e privacidade.

            Nos ordenamentos jurídicos nacionais e internacionais, como visto, prevalecem o respeito à privacidade, a autonomia do usuário/titular dos dados quanto ao seu direito de decisão sobre a utilização de seus dados, além das garantias e princípios norteadores da proteção de dados, visando uma proteção desde a concepção e por padrão, do início ao término de todo o processo de tratamento dos dados, usando de todas as medidas técnicas e administrativas capazes de fornecer a privacidade.

            As orientações  dispostas  nos pilares do Privacy by Design pela Dra. Ann Cavoukian, no qual nortearam à LGPD, reforçam a necessidade de adequação da lei aos processos de tratamento de dados, sendo a forma mais eficaz, evitando uma readequação posterior, o que certamente, quando realizado por uma equipe técnica especializada, gera economia financeira e de tempo, otimizando o trabalho e permitindo além de maior proteção à privacidade, documentos capazes de comprovar todo o processo de compliance empresarial.

            As organizações que buscam o atendimento à LGPD, bem como ao Privacy by Design e ao Privacy by Default, precisam de programas de privacidade com arquiteturas próprias, dados minimizados, uso dos extremamente essenciais, governança, sistemas e protocolos de segurança, dentre outros vários procedimentos e análises necessários a um  completo processo de adequação, e que seja personalizado, uma vez que cada organização, por mais que seja similar a outra, possui sua identidade, administração, pessoal e escopo.

            A segurança da informação é atividade essencial a todos os agentes de tratamento de dados, seja no meio físico ou digital, por isso é necessária  a promoção, criação e manutenção da cultura de segurança, prevenção e proteção de dados enraizadas nas arquiteturas de todas as organizações, desde a concepção e por padrão, sendo parte indispensável ao negócio.  Os investimentos são necessários à modernização de sistemas, infraestrutura em tecnologia, criação ou fortalecimento de programas de adequação e gestão, onde possibilitará a mitigação de riscos e eventuais incidentes de segurança, minimizando prejuízos, perdas de tempo e de recursos, possibilitando, ainda, a credibilidade empresarial, aumentando seu valor de mercado e competitividade, elevando a reputação perante à sociedade, além de fazer parte do compliance legal.