A partir da Lei Geral de Prote\u00e7\u00e3o de Dados \u2013 Lei 13.709\/18, conhecida como LGPD, houve uma crescente import\u00e2ncia quanto \u00e0 prote\u00e7\u00e3o da privacidade dos dados pessoais em todas as \u00e1reas, seja no \u00e2mbito privado, seja no p\u00fablico.<\/p>\n\n\n\n
A novidade trazida pela LGPD no qual foi inspirada na General Data Protection Regulation (GDPR) da Uni\u00e3o Europeia, norma esta equiparada \u00e0 Lei Geral de Prote\u00e7\u00e3o de Dados, prev\u00ea nos considerandos n\u00ba 78[1] e 108[2], bem como no artigo 25[3] da aludida lei, o Privacy by Design e o Privacy by Default, onde os fundamentos j\u00e1 eram relevantes mesmo antes da exist\u00eancia de ambas as legisla\u00e7\u00f5es.<\/p>\n\n\n\n
O conceito do Privacy by Design foi concebido na d\u00e9cada de 90 pela especialista em privacidade de dados, Dra. Ann Cavoukian, em 2009, no Canad\u00e1, onde estabeleceu princ\u00edpios norteadores da implementa\u00e7\u00e3o do processo de adequa\u00e7\u00e3o, sendo criado com base nas organiza\u00e7\u00f5es que estavam em processo de constru\u00e7\u00e3o, livres de v\u00edcios ou m\u00e1s pr\u00e1ticas.<\/p>\n\n\n\n
A tradu\u00e7\u00e3o do princ\u00edpio do Privacy by Design se refere \u00e0 privacidade desde a concep\u00e7\u00e3o do neg\u00f3cio, com prop\u00f3sitos no uso das informa\u00e7\u00f5es, delimita\u00e7\u00e3o na coleta de dados, inserindo, tamb\u00e9m, o princ\u00edpio da minimiza\u00e7\u00e3o dos dados, transpar\u00eancia, reten\u00e7\u00e3o, responsabiliza\u00e7\u00e3o, dentre outros que expressamente s\u00e3o trazidos pela LGPD.<\/p>\n\n\n\n
S\u00e3o sete os pilares fundamentais do Privacy by Design, que se baseiam a prote\u00e7\u00e3o de dados, sendo eles: a proatividade, onde h\u00e1 preven\u00e7\u00e3o em detrimento \u00e0 n\u00e3o corre\u00e7\u00e3o, antecipando e identificando os problemas, prevenindo ou minimizando os riscos; a privacidade incorporada ao design, onde o titular tem o direito \u00e0 autodetermina\u00e7\u00e3o quanto ao uso de seus dados; a funcionalidade de todo o projeto; a seguran\u00e7a de ponta a ponta em todo o ciclo de vida dos dados pessoais, desde a coleta at\u00e9 sua elimina\u00e7\u00e3o; a visibilidade e transpar\u00eancia quanto \u00e0 utiliza\u00e7\u00e3o dos dados; respeito \u00e0 privacidade com base em diretrizes de seguran\u00e7a da informa\u00e7\u00e3o, pol\u00edticas de boas pr\u00e1ticas, confidencialidade, integridade, disponibilidade e demais princ\u00edpios que a pr\u00f3pria LGPD prev\u00ea; al\u00e9m do Privacy by Default, dentro do desenho da privacidade, que \u00e9 parte integrante da privacidade desde a concep\u00e7\u00e3o.<\/p>\n\n\n\n
Neste contexto, os sete princ\u00edpios essenciais se estendem a uma trilogia de aplica\u00e7\u00f5es abrangentes, ou seja, sistemas de Tecnologia de Informa\u00e7\u00e3o; pr\u00e1ticas de neg\u00f3cios; e projeto f\u00edsico e infraestrutura de rede, aplicando as medidas de controle e prote\u00e7\u00e3o em todo o \u00e2mbito da organiza\u00e7\u00e3o, determinado pela gest\u00e3o de riscos, criticidade e sensibilidade dos dados coletados.<\/p>\n\n\n\n
A ideia trazida pelo Privacy by Design deve ser aplicada em todas as organiza\u00e7\u00f5es, inclusive nas j\u00e1 existentes, implementando mudan\u00e7as nas formas de gest\u00e3o, conscientiza\u00e7\u00e3o e provendo o aculturamento em prote\u00e7\u00e3o e privacidade de dados. O que inicialmente seria direcionado a organiza\u00e7\u00f5es em processo de cria\u00e7\u00e3o, agora, abrange todo o sistema que utiliza dados pessoais.<\/p>\n\n\n\n
A privacidade desde \u00e0 concep\u00e7\u00e3o de produtos e servi\u00e7os deve vir incorporada nas pol\u00edticas de boas pr\u00e1ticas, governan\u00e7a e tamb\u00e9m, ao design, visando a preven\u00e7\u00e3o de eventos invasivos e que possam causar les\u00f5es aos titulares, evitando, tamb\u00e9m, impactos e preju\u00edzos nas organiza\u00e7\u00f5es, o que reflete o princ\u00edpio da proatividade.<\/p>\n\n\n\n
Nesta disposi\u00e7\u00e3o \u00e9 relevante a abordagem do aspecto pessoal, tecnol\u00f3gico e de processos, buscando \u00e0 privacidade, identificando as vulnerabilidades e possibilitando medidas preventivas de seguran\u00e7a nesta tr\u00edade.<\/p>\n\n\n\n
Al\u00e9m da aludida proatividade, a privacidade deve estar incorporada ao design na arquitetura de sistemas de tecnologia de informa\u00e7\u00e3o e de pr\u00e1ticas de neg\u00f3cios, agindo da mesma forma, ou seja, na busca constante de falhas, desde o processo de concep\u00e7\u00e3o, e mesmo ap\u00f3s sua implementa\u00e7\u00e3o, a continuidade de an\u00e1lise ser\u00e1 necess\u00e1ria, adotando medidas mitigat\u00f3rias de riscos.<\/p>\n\n\n\n
No que diz respeito ao pilar da funcionalidade integral, s\u00e3o observados os interesses e objetivos leg\u00edtimos de funcionalidades e aplicativos tecnol\u00f3gicos, para que seja adequado \u00e0 infraestrutura da organiza\u00e7\u00e3o, atendendo a todas as necessidades, sejam em processos, sistemas, ambientes e tecnologias diversas, objetivando, evidentemente, \u00e0 prote\u00e7\u00e3o dos dados dos titulares.<\/p>\n\n\n\n
Ainda, a seguran\u00e7a precisa ser estabelecida, bem como seus fundamentos, e estruturas, de ponta a ponta e durante todo o ciclo de vida dos dados em uma organiza\u00e7\u00e3o, atrav\u00e9s de medidas de controle e seguran\u00e7a, sendo observado pela pr\u00f3pria LGPD em seu artigo 5\u00ba, inciso X[4], que disp\u00f5e um rol exemplificativo de tratamento de dados. Desta forma, a privacidade ser\u00e1 sempre o escopo de todo o projeto do in\u00edcio ao fim.<\/p>\n\n\n\n
Outro eixo importante \u00e9 a visibilidade e transpar\u00eancia, notadamente reconhecida pela LGPD no art. 6\u00ba, inciso VI[5], objetivando que os titulares, fornecedores, colaboradores e parceiros de neg\u00f3cios tenham o conhecimento de que a organiza\u00e7\u00e3o preza pelo cuidado e seguran\u00e7a dos dados, al\u00e9m de respeitar a privacidade, o que certamente gera credibilidade, valor de mercado, fortalecimento da marca, dentre outros benef\u00edcios.<\/p>\n\n\n\n
Igualmente relevante \u00e9 o respeito \u00e0 privacidade, parece \u00f3bvio, mas tal princ\u00edpio \u00e9 fundamental para que os direitos e interesses do titular sejam observados e garantidos. A LGPD confere ao titular o poder decis\u00f3rio sobre a utiliza\u00e7\u00e3o dos seus dados pessoais e sobre o exerc\u00edcio deste poder, sendo clara quanto ao fundamento da autodetermina\u00e7\u00e3o informativa em seu artigo 2\u00ba, inciso II[6], al\u00e9m dos direitos inseridos no artigo 18[7], no que se refere \u00e0 confirma\u00e7\u00e3o, exatid\u00e3o dos dados coletados, acesso, consentimento, dentre outros. Tal princ\u00edpio faz prevalecer o consentimento quanto ao uso do dados, a autonomia e a autodetermina\u00e7\u00e3o, conforme mencionado, caso n\u00e3o seja identificada outra base legal espec\u00edfica para o tratamento de seus dados.<\/p>\n\n\n\n
No que tange ao princ\u00edpio do Privacy by Default, tamb\u00e9m pilar da privacidade desde \u00e0 concep\u00e7\u00e3o, estabelece que a privacidade seja garantida de forma autom\u00e1tica, ou seja, um grau m\u00e1ximo de prote\u00e7\u00e3o onde a organiza\u00e7\u00e3o prov\u00ea e assegura tal responsabilidade atrav\u00e9s de um padr\u00e3o rigoroso, independente se o titular agiu de forma a garantir sua privacidade, que deve permanecer intacta.<\/p>\n\n\n\n
Na pr\u00e1tica, utilizado, por exemplo, quando do in\u00edcio do tratamento de dados, onde j\u00e1 na coleta \u00e9 realizada uma triagem avaliativa, buscando a solicita\u00e7\u00e3o do m\u00ednimo de dados, estritamente necess\u00e1rios para o tratamento, com finalidades determinadas para atingir um objetivo, evitando o excesso desnecess\u00e1rio de informa\u00e7\u00f5es. Tal pr\u00e1tica \u00e9 diagnosticada em processos de Data Mapping, chamado de mapeamento de dados, no pr\u00f3prio invent\u00e1rio de dados, fazendo parte do processo de adequa\u00e7\u00e3o de uma organiza\u00e7\u00e3o, onde s\u00e3o realizados ajustes e corre\u00e7\u00f5es para o Compliance empresarial.<\/p>\n\n\n\n
O Privacy by Design e seus pilares, trazem mudan\u00e7as na forma como as organiza\u00e7\u00f5es tratam dos dados pessoais sob sua responsabilidade e impulsionam a ado\u00e7\u00e3o de medidas de seguran\u00e7a eficazes, al\u00e9m da incorpora\u00e7\u00e3o da privacidade em todos os projetos de tecnologia, tendo como ponto inicial a privacidade desde o princ\u00edpio de projetos, sistemas e processos, assegurando a disponibilidade, integridade e a confidencialidade de todas as formas de informa\u00e7\u00e3o ao longo de todo o ciclo de vida dos dados pessoais.<\/p>\n\n\n\n
Em se tratando de pr\u00e1ticas de seguran\u00e7a, igualmente relevante a considera\u00e7\u00e3o das normas da ISSO sigla referente International Organization for Standardization (Organiza\u00e7\u00e3o Internacional para Padroniza\u00e7\u00e3o) com membros de 165 pa\u00edses e no Brasil, \u00e9 representada pela Associa\u00e7\u00e3o Brasileira de Normas T\u00e9cnicas (ABNT).<\/p>\n\n\n\n
A ISO 27000 \u00e9 um conjunto de certifica\u00e7\u00f5es de seguran\u00e7a da informa\u00e7\u00e3o e prote\u00e7\u00e3o de dados para empresas e \u00f3rg\u00e3os p\u00fablicos, que al\u00e9m de prover o compliance trazendo diretrizes para a adequa\u00e7\u00e3o \u00e0s normas de seguran\u00e7a tamb\u00e9m previstas na LGPD, sob padr\u00f5es internacionais de governan\u00e7a, comprova que a empresa seque os padr\u00f5es. Elas servem como base para a cria\u00e7\u00e3o de um Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o (SGSI) em organiza\u00e7\u00f5es de pequeno, m\u00e9dio e grande porte.<\/p>\n\n\n\n
A fam\u00edlia 27000 aborda recomenda\u00e7\u00f5es essenciais, com c\u00f3digo de pr\u00e1tica para controles de seguran\u00e7a da informa\u00e7\u00e3o, sendo exemplos a gest\u00e3o de seguran\u00e7a da informa\u00e7\u00e3o, sele\u00e7\u00e3o, implementa\u00e7\u00e3o e gerenciamento de controles; certifica\u00e7\u00e3o de seguran\u00e7a, com requisitos estabelecidos, dentre outros.<\/p>\n\n\n\n
A vers\u00e3o atualizada de 2022 sobre a ISO 27001 e 27002 traz toda a pol\u00edtica de seguran\u00e7a abarcado pelo Privacy by Design e Privacy by Default, dispondo sobre a governan\u00e7a desde a Concep\u00e7\u00e3o & governan\u00e7a por Padr\u00e3o, obriga\u00e7\u00f5es de controladores e operadores, privacidade atualizada no dia a dia, gest\u00e3o de obriga\u00e7\u00f5es, consentimento, registro de tratamento, categoriza\u00e7\u00e3o de tipos de controles, etc.<\/p>\n\n\n\n
Destaca-se que dos 93 (noventa e tr\u00eas) tipos de controles, 69 (sessenta e nove) s\u00e3o preventivos, o que reflete a preocupa\u00e7\u00e3o com a seguran\u00e7a e privacidade de dados em toda a organiza\u00e7\u00e3o, responsabilidades de gest\u00e3o, controles f\u00edsicos e tecnol\u00f3gicos, al\u00e9m de diversos controles preventivos, detectivos e corretivos, estruturas de controles corporativos, dentre outros, de igual relev\u00e2ncia para quem pretende estar em conformidade com a LGPD de forma t\u00e9cnica e assertiva, motivo pelo qual \u00e9 importante na gest\u00e3o empresarial, uma equipe especializada em LGPD alinhada com a gest\u00e3o de sistemas de informa\u00e7\u00e3o e tecnologia, devendo ser observados igualmente as normas de ISO 27017 e 27018, dentre outras da mesma fam\u00edlia.<\/p>\n\n\n\n
Importante ressaltar que a privacidade incorporada na concep\u00e7\u00e3o e por padr\u00e3o esteja, tamb\u00e9m, relacionada aos sistemas de gest\u00e3o de tecnologia da informa\u00e7\u00e3o e sistemas de informa\u00e7\u00e3o, em todos os produtos e servi\u00e7os disponibilizados pelas empresas fazendo realmente parte do processo, devendo existir estrat\u00e9gias de seguran\u00e7a e gest\u00e3o de riscos, diretrizes, programas de treinamento, etc.<\/p>\n\n\n\n
Nas empresas que j\u00e1 v\u00eam aplicando e constru\u00edram ao longo do tempo um sistema voltado para a privacidade, contando com projetos e seguran\u00e7a da informa\u00e7\u00e3o, governan\u00e7a de dados, gest\u00e3o de riscos e est\u00e3o em um grau razo\u00e1vel de maturidade, tamb\u00e9m necessitam de an\u00e1lise \u00e0 luz da LGPD, visando uma investiga\u00e7\u00e3o quanto ao n\u00edvel da referida maturidade, e avaliadas quais a\u00e7\u00f5es ser\u00e3o necess\u00e1rias para o atendimento de quest\u00f5es faltantes \u00e0 sua realidade, motivo pelo qual as an\u00e1lises e o pr\u00f3prio processo de adequa\u00e7\u00e3o s\u00e3o \u00fanicos e personalizados, n\u00e3o existindo um modelo \u00fanico.<\/p>\n\n\n\n
Apesar de n\u00e3o constar de forma expressa na legisla\u00e7\u00e3o brasileira, o fundamento do Privacy by Design foi incorporado e referenciado no artigo 46[8], quanto \u00e0 obrigatoriedade da ado\u00e7\u00e3o de medidas t\u00e9cnicas e administrativas aptas a prote\u00e7\u00e3o dos dados e no par\u00e1grafo 2\u00ba, afirmando que as medidas dever\u00e3o ser observadas desde a fase da concep\u00e7\u00e3o do produto ou do servi\u00e7o at\u00e9 a sua execu\u00e7\u00e3o.<\/p>\n\n\n\n
Tais medidas de seguran\u00e7a (t\u00e9cnicas e administrativas) apesar de n\u00e3o especificadas na LGPD, traduzidas nas a\u00e7\u00f5es de um programa de adequa\u00e7\u00e3o, com o aumento da prote\u00e7\u00e3o de ambientes cr\u00edticos, promovendo a prote\u00e7\u00e3o de dados e sua privacidade, conforme as diretrizes da Lei, e por consequ\u00eancia, proporcionando a melhoria da imagem, credibilidade e confian\u00e7a dos usu\u00e1rios.<\/p>\n\n\n\n
Em se tratando dos modelos de privacidade e do preceituado no artigo 46 da LGPD, as organiza\u00e7\u00f5es (enquanto agentes de tratamento no papel de controladores) poder\u00e3o implementar programa de governan\u00e7a em privacidade, conforme preceitua o artigo 50, \u00a72\u00ba, I, al\u00ednea \u201ca\u201d[9], da aludida legisla\u00e7\u00e3o, o que corrobora com os princ\u00edpios de privacidade desde a concep\u00e7\u00e3o e por padr\u00e3o.<\/p>\n\n\n\n
Todo o processo de engenharia de um servi\u00e7o ou produto envolvendo o tratamento de dados pessoais, deve assegurar a privacidade, como o pr\u00f3prio nome menciona (Privacy) desde a concep\u00e7\u00e3o incorporada ao sistema organizacional por todo o per\u00edodo do tratamento e ciclo de vida dos dados, conforme j\u00e1 explanado.<\/p>\n\n\n\n
Tal ideia de privacidade visa a preven\u00e7\u00e3o de riscos, antecipando por meio de an\u00e1lise da organiza\u00e7\u00e3o situa\u00e7\u00f5es que possam vir a causar incidentes de seguran\u00e7a, possuindo abordagem proativa, revisando toda a cadeia.<\/p>\n\n\n\n
Entender e reconhecer a necessidade da aplica\u00e7\u00e3o, bem como os benef\u00edcios \u00e9 o primeiro passo para a ado\u00e7\u00e3o de medidas que resguardar\u00e3o a privacidade dos dados, lembrando sempre que toda a organiza\u00e7\u00e3o precisa estar comprometida e tal ato deve partir dos n\u00edveis mais altos das empresas, elaborando ou refor\u00e7ando os padr\u00f5es de seguran\u00e7a, elevando-os se necess\u00e1rio, al\u00e9m do comprometimento de todos os gestores e colaboradores, sendo primordial a reestrutura\u00e7\u00e3o, constru\u00e7\u00e3o ou ajustes dos modelos de neg\u00f3cios, considerando sempre a prote\u00e7\u00e3o da privacidade.<\/p>\n\n\n\n
Al\u00e9m do comprometimento de todos, a responsabilidade tamb\u00e9m ser\u00e1 compartilhada com os terceiros, parceiros, controladores, controladoria conjunta, operadores ou suboperadores, que tamb\u00e9m devem possuir o mesmo n\u00edvel de seguran\u00e7a f\u00edsica e tecnol\u00f3gica, adequa\u00e7\u00e3o e grau de comprometimento.<\/p>\n\n\n\n
Com a novidade trazida para o Brasil, as empresas, organiza\u00e7\u00f5es p\u00fablicas, privadas e pessoas f\u00edsicas que tratam de dados de forma econ\u00f4mica, necessitam implementar nos seus neg\u00f3cios tais ideais de privacidade, sendo um componente essencial para seu funcionamento, incorporando \u00e0s novas tecnologias, opera\u00e7\u00f5es e revisando toda arquitetura, para integra\u00e7\u00e3o das inova\u00e7\u00f5es.<\/p>\n\n\n\n
Importante a aten\u00e7\u00e3o \u00e0s normativas e suas atualiza\u00e7\u00f5es, bem como protocolos e processos tecnol\u00f3gicos que certamente surgir\u00e3o, sendo necess\u00e1ria a manuten\u00e7\u00e3o do programa de adequa\u00e7\u00e3o, inclusive quanto \u00e0 padroniza\u00e7\u00e3o do sistema de prote\u00e7\u00e3o e diretrizes que igualmente s\u00e3o alteradas ante ao cen\u00e1rio mundial evolutivo.<\/p>\n\n\n\n
Sempre que houver possibilidade, ap\u00f3s um programa de adequa\u00e7\u00e3o e incorpora\u00e7\u00e3o destas novas ideias, deve-se ter avalia\u00e7\u00f5es constantes, em um processo c\u00edclico de verifica\u00e7\u00e3o e aprimoramento, analisando novas amea\u00e7as, elaborando medidas preventivas sempre em busca da mitiga\u00e7\u00e3o de novos riscos, al\u00e9m de confec\u00e7\u00e3o de relat\u00f3rios de impacto, para verifica\u00e7\u00e3o da prote\u00e7\u00e3o e privacidade.<\/p>\n\n\n\n
Nos ordenamentos jur\u00eddicos nacionais e internacionais, como visto, prevalecem o respeito \u00e0 privacidade, a autonomia do usu\u00e1rio\/titular dos dados quanto ao seu direito de decis\u00e3o sobre a utiliza\u00e7\u00e3o de seus dados, al\u00e9m das garantias e princ\u00edpios norteadores da prote\u00e7\u00e3o de dados, visando uma prote\u00e7\u00e3o desde a concep\u00e7\u00e3o e por padr\u00e3o, do in\u00edcio ao t\u00e9rmino de todo o processo de tratamento dos dados, usando de todas as medidas t\u00e9cnicas e administrativas capazes de fornecer a privacidade.<\/p>\n\n\n\n
As orienta\u00e7\u00f5es dispostas nos pilares do Privacy by Design pela Dra. Ann Cavoukian, no qual nortearam \u00e0 LGPD, refor\u00e7am a necessidade de adequa\u00e7\u00e3o da lei aos processos de tratamento de dados, sendo a forma mais eficaz, evitando uma readequa\u00e7\u00e3o posterior, o que certamente, quando realizado por uma equipe t\u00e9cnica especializada, gera economia financeira e de tempo, otimizando o trabalho e permitindo al\u00e9m de maior prote\u00e7\u00e3o \u00e0 privacidade, documentos capazes de comprovar todo o processo de compliance empresarial.<\/p>\n\n\n\n
As organiza\u00e7\u00f5es que buscam o atendimento \u00e0 LGPD, bem como ao Privacy by Design e ao Privacy by Default, precisam de programas de privacidade com arquiteturas pr\u00f3prias, dados minimizados, uso dos extremamente essenciais, governan\u00e7a, sistemas e protocolos de seguran\u00e7a, dentre outros v\u00e1rios procedimentos e an\u00e1lises necess\u00e1rios a um completo processo de adequa\u00e7\u00e3o, e que seja personalizado, uma vez que cada organiza\u00e7\u00e3o, por mais que seja similar a outra, possui sua identidade, administra\u00e7\u00e3o, pessoal e escopo.<\/p>\n\n\n\n
A seguran\u00e7a da informa\u00e7\u00e3o \u00e9 atividade essencial a todos os agentes de tratamento de dados, seja no meio f\u00edsico ou digital, por isso \u00e9 necess\u00e1ria a promo\u00e7\u00e3o, cria\u00e7\u00e3o e manuten\u00e7\u00e3o da cultura de seguran\u00e7a, preven\u00e7\u00e3o e prote\u00e7\u00e3o de dados enraizadas nas arquiteturas de todas as organiza\u00e7\u00f5es, desde a concep\u00e7\u00e3o e por padr\u00e3o, sendo parte indispens\u00e1vel ao neg\u00f3cio. Os investimentos s\u00e3o necess\u00e1rios \u00e0 moderniza\u00e7\u00e3o de sistemas, infraestrutura em tecnologia, cria\u00e7\u00e3o ou fortalecimento de programas de adequa\u00e7\u00e3o e gest\u00e3o, onde possibilitar\u00e1 a mitiga\u00e7\u00e3o de riscos e eventuais incidentes de seguran\u00e7a, minimizando preju\u00edzos, perdas de tempo e de recursos, possibilitando, ainda, a credibilidade empresarial, aumentando seu valor de mercado e competitividade, elevando a reputa\u00e7\u00e3o perante \u00e0 sociedade, al\u00e9m de fazer parte do compliance legal.<\/p>\n\n\n\n
<\/p>\n\n\n\n