Privacy by Design: ISO 31700 reconhece a importância do tema
A expressão Privacy by Design é atribuída à Ann Cavoukian, antiga comissária de Informação e Privacidade da Província de Ontário, no Canadá, que, nos anos 1990, abordou a privacidade e proteção da privacidade como item primordial e preliminar na criação e no desenvolvimento de estruturas tecnológicas, modelos de negócio ou infraestruturas físicas. Segundo suas premissas, a privacidade deve se incorporar ao produto ou serviço durante o processo de sua criação, evitando-se adaptações ou correções posteriores que podem se revelar caras e ineficientes.
Segundo o exemplo que mencionamos em nosso livro Lei Geral de Dados Pessoais - LGPD Comentada (Editora Revista dos Tribunais), imaginemos um arquiteto que foi contratado para projetar uma casa. O profissional vai desenhando suas formas com liberdade, privilegiando iluminação natural e ventilação, espaços abertos, perspectivas etc. Todavia, não sabia o arquiteto, em nosso exemplo, que a casa seria construída em um bairro com alto índice de criminalidade. Após construída, a casa foi invadida diversas vezes, obrigando o arquiteto a prever medidas de segurança suplementares que, por serem adaptações, diminuíram consideravelmente a qualidade do projeto e a beleza da construção, além se serem menos eficientes do que se tivessem sido projetadas na construção original.
De igual forma, pensar na privacidade como premissa ou pressuposto do desenvolvimento de um produto ou serviço tornará o projeto mais aderente às regras de proteção de dados pessoais e privacidade, diminuindo custos por evitar a necessidade de adaptações posteriores.
A importância do Privacy by Design já havia sido reconhecida pela LGPD, considerando que, em seu artigo 46, determinou que “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito” (caput), isso “desde a fase de concepção do produto ou do serviço até a sua execução” (§ 2º). Contudo, tal importância foi acentuada com a criação da ISO 31700, adotada a partir de fevereiro de 2023, dedicada à aplicação do Privacy by Design nas relações de consumo.
As normas ISO são utilizadas globalmente, ao lado das normas da National Institute of Standards and Technology (NIST), como guias orientadores de padronização em diversos temas.
A Organização Internacional de Padronização justificou a criação na ISO 31700 por conta das preocupações crescentes quanto a privacidade no âmbito da economia digital. Isso porque, a adoção de práticas não seguras poderia gerar grandes prejuízos aos titulares, como é o caso, por exemplo, da facilitação de fraudes contra eles, com o aproveitamento dos dados pessoais para práticas ilícitas de terceiros mal-intencionados.
Ademais, por conta da evolução tecnológica e da ampliação do e-commerce, o volume de dados pessoais tratados pelas empresas nunca foi tão grande. A depender do varejista, um vazamento de base de dados poderia envolver um grande percentual da população total de uma determinada região. Por outro lado, os dispositivos eletrônicos de inteligência artificial ou vinculado à internet (IOT) coletam cada vez mais dados de interesse do mercado, antes inacessíveis (basta notar que um refrigerador “online” teria condição de coletar dados de hábitos de consumo que seriam de grande valor à indústria da saúde).
Desta forma, a ISO 31700 pretende normatizar e fortalecer o ecossistema de proteção de dados pessoais, com uma abordagem holística e integrativa, sempre olhando o processo de tratamento com os olhos do consumidor, maior interessado nos contornos do uso de seus dados.
Não custa lembrar que ISO 31700 levará em conta os princípios do Privacy by design, que, segundo Ann Cavoukian, são: (i) é proativo, não reativo; (ii) privacidade como configuração padrão, não o contrário (como ocorre nos casos em que o titular precisa escolher não disponibilizar os seus dados pessoais, desabilitando funções); (iii) privacidade incorporada ao design; (iv) todos os interesses devem ser considerados, inclusive o do titular, não apenas o do controlador ou desenvolvedor; (v) segurança de ponta a ponta, abrangendo todo o ciclo de vida do produto ou serviço; (vi) preservação da visibilidade e transparência; (vii) respeito à privacidade do titular.
Por fim, destacamos que ISO 31700 inclui orientações para atendimento dos direitos dos titulares, como investir recursos para esse fim, como controlar e documentar os requisitos de controle de privacidade e proteção, gerenciamento de ciclo de vida do tratamento, entre outros temas.
A criação da ISO 31700 certamente impulsionará o Privacy by design, mas não dispensa uma mudança de cultura dos agentes de tratamento, especialmente empresas privadas. Ao pensar um novo produto ou serviço, já é comum que o planejamento passe pela análise técnica (planta, maquinários etc.), tributária (carga de impostos sobre a operação), trabalhista (valor, disponibilidade etc.) etc. Agora é necessário incluir mais uma análise, que será a análise de impacto de tratamento de dados pessoais feita pelo encarregado de dados e comitês de privacidade. Tal análise deverá ser feita com a mesma naturalidade com que são feitas as demais análises, podendo ser conduzida internamente ou por terceiros, dependendo da realidade de cada agente.
_________________________________________________________
Disponível em: [https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf]. Acesso em: 07.02.2023.