Conceito de Privacy by Design e sua relação com a LGPD

últimos artigos

Privacy by Design: o que é e qual a relação com a LGPD?

Uma vez criado o regulamento de dados pessoais, a lei europeia GDPR, a proteção e privacidade de dados se tornou algo importante, incorporando então alguns conceitos como o Privacy by Design, por exemplo.

Apesar de criado na década de 90, no Canadá, o Privacy by Design tem relação direta com o GDPR e também com a Lei brasileira, a LGPD. Esse conceito tem influência na forma como os dados são tratados.

O que é Privacy by Design?

Privacy by Design, também conhecida como PbD, é uma metodologia criada pela Dra. Ann Cavoukian que tem como objetivo manter a privacidade de informações pessoais coletadas por empresas.

Apesar de criado antes dos anos 2000, vale pontuar que este conceito começou a ser divulgado e aplicado a partir do ano de 2010, tanto na Europa como nos Estados Unidos.

É possível entender o que é este conceito por meio da tradução de Privacy by Design que, de acordo com especialistas nesta área, significa privacidade desde a concepção.

Em outras palavras, a intenção é que empresas que trabalham com dados de clientes garantam a privacidade e a proteção como pontos fundamentais.

De tal maneira, estes se tornam bases para qualquer produto ou serviço que for desenvolvido e disponibilizado pela empresa.

Por isso, podemos entender que existe uma proteção de dados by design, ou seja, desde a idealização do projeto, atuando dentro dos parâmetros necessários para garantir a proteção.

Assim, este conceito se torna presente nos valores daquela empresa, o que faz com que ocorra uma banalização dessa conduta eticamente correta conforme a lei.

Existe aqui uma relação com a adequação necessária para a Lei Geral de Proteção de Dados.

Sendo assim, esta metodologia se torna um fator crucial para empresas que oferecem produtos e serviços e captam os dados pessoais de usuários.

Afinal, uma vez seguido este ponto, existe um grande caminho já percorrido na trajetória de adequação com a Lei como um todo, evitando possíveis problemas.

Estes, por sua vez, vão desde manchar a imagem da empresa, o que dificulta para adquirir novos clientes, até pagar multas em um valor máximo de R$50 milhões.

Como implementar esta metodologia em uma empresa?

Para colocar em prática as ideias deste conceito, é necessário entender os pilares que o sustentam. Afinal, esta é uma metodologia que irá, entre outros fatores, mudar a forma como uma empresa idealiza os projetos que serão feitos.

Sendo assim, existem sete fundamentos que são essenciais para saber aplicar, sendo eles os principais fundamentos do Privacy by Design:

  1. Ser proativo e não reativo, optar por prevenir ao invés de remediar;
  2. A privacidade e a proteção do usuário devem ser garantidas sempre, sem necessitar de configurações por parte do usuário;
  3. Incorporar a privacidade ao projeto, não sendo vista apenas como um adicional, mas sim como parte do que será desenvolvido;
  4. Todas as possíveis funcionalidades devem ser completas e protegidas, gerando um benefício mútuo, para o usuário e para a empresa;
  5. A segurança deve estar presente desde a captação até a destruição ou compartilhamento do dado, ou seja, de ponta a ponta;
  6. Manter a transparência com o titular dos dados, informando-o sobre o motivo de coleta das informações e quem possui acesso à elas;
  7. A privacidade do usuário deve ser respeitada sempre.

De tal forma, é possível entender que o foco de todas as ações da empresa deve ser justamente o cliente.

Sendo assim, deve ser garantido pela empresa que os dados estão protegidos e totalmente seguros.

Afinal, caso isso não ocorra, a empresa pode sofrer uma série de sanções e o usuário é altamente impactado uma vez que seus dados podem ser roubados ou tratados sem a devida permissão.

E quanto às áreas que podem ter esse conceito aplicado por parte da empresa, podemos citar:

  • Projetos internos;
  • Desenvolvimento de algum software;
  • Departamento de TI e planejamento estratégico.

No entanto, a forma de pensar na privacidade é alinhando-a com o projeto, e não vendo como algo a parte.

Qual é a relação com a LGPD?

Qual é a relação com a LGPD?

Apesar de constar a Privacy by Design no GDPR, o caso não é o mesmo quando falamos da LGPD, a legislação brasileira.

Contudo, mesmo sem possuir princípios como o Privacy by Design ou Privacy by Default de maneira explícita, é válido pontuar que a legislação brasileira possui conceitos parecidos.

Estes, por sua vez, possuem ligação com a proteção dos dados, ditando então como deve ser garantida a segurança por parte das empresas.

Sendo assim, apesar de ambos possuírem a mesma finalidade, não existe uma relação entre o PbD e a Lei Geral de Proteção de Dados.

É válido pontuar que não existe um requerimento de que todas as empresas façam uso desta metodologia, mas não existe nada que impeça que este seja aplicado.

Afinal, o objetivo deste tipo de ação por parte de uma empresa é justamente o de oferecer mais segurança e privacidade aos dados do usuário.

Dessa forma, a transparência sobre o motivo e período de uso destes também é algo que é colocado em prática.

Além de ser algo recomendado por profissionais do ramo e considerado como uma fase de adequação à LGPD, esta é uma boa forma de agir.

Outro ponto é que, através desta metodologia, o usuário se torna o principal moderador dos seus dados.

Sendo assim, ele se ganha o controle sobre quais dados  serão fornecidos e quais não, limitando-se apenas aqueles que são obrigatórios para uma finalidade declarada explicitamente pelo controlador.

Quer se tornar um especialista em LGPD certificado pela EXIN? Acesse a página de cursos do Certifiquei e confira nosso curso Privacy & Data Protection – Essentials!

Diferença entre Privacy by Design e Privacy by Default

Uma vez que entendemos o que é este primeiro conceito, existe um outro ponto importante o qual iremos esclarecer.

Ele diz respeito justamente a diferença existente entre Privacy by Design e Privacy by Default, duas metodologias similares.

O primeiro dita principalmente a maneira como o projeto deve ser desenvolvido através dos pilares que citamos anteriormente.

Dessa maneira, se torna necessário que exista a segurança e privacidade de dados em qualquer projeto que envolva informações de clientes.

Aqui podemos citar tanto produtos como softwares e sistemas de TI desenvolvidos por uma empresa para que exista sempre a antecipação de problemas, diminuindo riscos de roubos e vazamentos de dados.

Sendo assim, os projetos gerados através deste conceito são proativos e oferecem controle para que o usuário altere configurações padrão do sistema, optando por fornecer os dados ou não, e utilizar o produto ou serviço livremente.

Agora, quando falamos nesta segunda metodologia, é preciso entender que ele significa que assim que o produto ou serviço é lançado ao público, as configurações mais seguras são aplicadas por padrão.

Em outras palavras, o usuário não precisa entrar e escolher pela configuração de privacidade e proteção uma vez que estas já vem de fábrica, por assim dizer.

Todas as informações pessoais cedidas pelo usuário são coletadas apenas para que seja feita a entrega do serviço ou produto.

Porém, ainda assim todos os dados necessários devem ser informados para o usuário, bem como qual a finalidade de cada um deles.

Ao falar sobre o tempo de armazenamento destas, é válido pontuar que elas são mantidas apenas pelo período o qual serão utilizadas para aquele projeto.

Apesar de não estar requisitado pela legislação brasileira, ambos os conceitos possuem ligação tanto com a LGPD como com o GDPR, garantindo segurança aos dados dos clientes.

Portanto, é possível entender que a segunda é uma consequência da primeira. Ambas são duas boas estratégias que, quando desempenhadas corretamente, garantem a privacidade, ponto fundamental atualmente.

Como este conceito se aplica dentro das certificações de DPO?

Para desempenhar o papel de encarregado de dados, ou DPO, dentro de uma empresa, existem três certificações necessárias para credenciar o profissional:

Uma vez conquistadas os certificados nestas três áreas, além da expansão de conhecimento sobre o negócio que atua e os seus respectivos processos, ele possuirá bagagem suficiente para ser um Data Protection Officer.

Contudo, a dúvida que fica é sobre o papel da metodologia Privacy by Design nas certificações necessárias.

De tal maneira, seja antes ou depois de tiradas as certificações, é necessário que o profissional conheça o PbD.

Afinal, tendo em vista que o DPO é um profissional responsável pela proteção e privacidade dos dados, este conceito terá aplicação dentro da empresa.

E, dessa forma, todas as mudanças propostas pelo DPO devem girar em torno do cuidado com privacidade e segurança de dados.

É válido pontuar que, apesar de possuir relação direta com a profissão, este não é um ponto cobrado em provas para qualquer uma dos três certificados.

O importante, no entanto, é justamente possuir o conhecimento nesta área.

Isso se dá uma vez que todas as estratégias adotadas por uma empresa devem, necessariamente, possuir alinhamento com esse conceito.

Dessa forma, o DPO é o responsável direto por propagar essa metodologia a fim de mudar a cultura e futuros projetos da empresa para colocar a privacidade em primeiro lugar.

Podemos entender então que, mesmo não sendo obrigatória para a LGPD, a Privacy by Design é importante para empresas que trabalham com dados pessoais de usuários.

Denis Zeferino
Denis Zeferino
Denis Zeferino é Data Protection Officer (DPO) certificado pela EXIN. Bacharel em Ciência da Computação e pós-graduado em Gestão de Infraestrutura de TI, Segurança da Informação e Cybersecurity. Tem mais de 15 anos de experiência, conciliando sua vida profissional entre o universo da Tecnologia e Segurança da Informação e da Educação. É membro da Associação Nacional dos Profissionais de Privacidade de Dados e dedicado a levar o entendimento da LGPD e Proteção de Dados aos alunos do Certifiquei.