A expressão Privacy by Design é atribuída a Ann Cavoukian, antiga comissária de Informação e Privacidade da Província de Ontário, no Canadá. Nos anos 1990, ela abordou a privacidade e proteção de dados como elementos primordiais e preliminares no desenvolvimento de tecnologias, modelos de negócios e infraestruturas físicas. Segundo suas premissas, a privacidade deve ser incorporada ao produto ou serviço durante o processo de criação, evitando adaptações ou correções posteriores, que podem ser caras e ineficientes.
Um exemplo que ilustra bem esse conceito está descrito em nosso livro Lei Geral de Dados Pessoais – LGPD Comentada (Editora Revista dos Tribunais). Imagine um arquiteto contratado para projetar uma casa. Inicialmente, o arquiteto desenha a casa com liberdade, privilegiando a iluminação natural, ventilação, espaços abertos e perspectivas. No entanto, o arquiteto desconhecia o fato de que a casa seria construída em um bairro com alto índice de criminalidade. Após a construção, a casa foi invadida diversas vezes, o que obrigou o arquiteto a incluir medidas de segurança suplementares. Essas adaptações diminuíram consideravelmente a qualidade do projeto e a beleza da construção, além de se mostrarem menos eficientes do que se tivessem sido previstas desde o início.
De forma similar, pensar na privacidade como premissa durante o desenvolvimento de um produto ou serviço garante que o projeto esteja mais aderente às regras de proteção de dados pessoais e privacidade, reduzindo custos ao evitar a necessidade de adaptações posteriores.
A importância do Privacy by Design já era reconhecida pela LGPD, que, em seu artigo 46, determina que “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito” (caput). Além disso, a LGPD exige que essas medidas sejam adotadas “desde a fase de concepção do produto ou do serviço até a sua execução” (§ 2º). Essa importância foi reforçada com a criação da ISO 31700, adotada em fevereiro de 2023, que orienta a aplicação do Privacy by Design nas relações de consumo.
As normas ISO são amplamente utilizadas globalmente, juntamente com as diretrizes do National Institute of Standards and Technology (NIST), como guias orientadores para padronização em diversos temas. A ISO 31700 foi criada devido às crescentes preocupações com a privacidade na economia digital. A adoção de práticas não seguras pode gerar grandes prejuízos aos titulares, como o uso indevido de dados pessoais por terceiros mal-intencionados, facilitando fraudes e outras práticas ilícitas.
Além disso, com a evolução tecnológica e a expansão do e-commerce, o volume de dados pessoais tratados pelas empresas nunca foi tão grande. Dependendo do varejista, um vazamento de dados poderia envolver uma grande parte da população de uma determinada região. Dispositivos de inteligência artificial e aparelhos conectados à internet (IoT) também coletam cada vez mais dados que antes eram inacessíveis. Por exemplo, um refrigerador “online” pode coletar dados sobre os hábitos de consumo dos usuários, que seriam de grande valor para a indústria da saúde.
A ISO 31700 busca normatizar e fortalecer o ecossistema de proteção de dados pessoais com uma abordagem holística e integrativa, sempre considerando o processo de tratamento sob a perspectiva do consumidor, o maior interessado na proteção dos seus dados. Vale ressaltar que a ISO 31700 segue os princípios do Privacy by Design, que Ann Cavoukian definiu como:
-
Proativo, não reativo;
-
Privacidade como configuração padrão, e não o contrário (como ocorre quando o titular precisa escolher não disponibilizar seus dados pessoais, desabilitando funções);
-
Privacidade incorporada ao design;
-
Consideração de todos os interesses, incluindo o do titular, e não apenas o do controlador ou desenvolvedor;
-
Segurança de ponta a ponta, abrangendo todo o ciclo de vida do produto ou serviço;
-
Preservação da visibilidade e transparência;
-
Respeito à privacidade do titular.
Por fim, a ISO 31700 inclui orientações sobre como atender aos direitos dos titulares, como investir recursos para proteger a privacidade, controlar e documentar os requisitos de controle de privacidade e proteção, além de gerenciar o ciclo de vida do tratamento de dados.
A criação da ISO 31700 certamente impulsionará a implementação do Privacy by Design, mas não dispensa uma mudança de cultura nos agentes de tratamento, especialmente nas empresas privadas. Ao desenvolver um novo produto ou serviço, é comum que o planejamento passe pela análise técnica (plano, maquinários etc.), tributária (impostos sobre a operação), trabalhista (valor, disponibilidade etc.). Agora, é essencial incluir uma nova análise: a análise de impacto no tratamento de dados pessoais, conduzida pelo encarregado de dados e pelos comitês de privacidade. Essa análise deve ser feita com a mesma naturalidade que as demais, podendo ser realizada internamente ou por terceiros, dependendo da realidade de cada agente.
Disponível em: [https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf]. Acesso em: 07.02.2023.
