A elaboração de legislações específicas sobre a proteção de dados pessoais surge em função do exponencial crescimento da coleta e compartilhamento de dados em escala mundial, em razão dos efeitos da globalização, especialmente a partir do desenvolvimento do mercado transnacional e da tecnologia.
Nessa perspectiva, no Brasil, a Lei Geral de Proteção de Dados (LGPD – Lei n. 13.709/2018) foi elabora com base na General Data Protection Regulation (GDPR), legislação europeia de proteção de dados pessoais, visando à proteção dos direitos fundamentais de liberdade e de privacidade e do livre desenvolvimento da personalidade da pessoa natural.
Dentre as diretrizes apropriadas pela legislação brasileira, destaca-se a metodologia do Privacy by Design definida nos artigos 46, § 2º e 47 da Lei n. 13.709/2018, que preceituam que as medidas de proteção de dados deverão ser observadas desde a fase de concepção do produto ou do serviço até mesmo após o seu término.
É desse contexto temático que se extrai a seguinte problemática: como aplicar de forma concreta a metodologia do Privacy by Design em empresas que realizam o tratamento de dados pessoais por meio de softwares?
Para isso, utilizar-se-á do método dedutivo e de pesquisa bibliográfica, com o objetivo de demonstrar sucintamente de que modo o Privacy by Design deve ser aplicado para atender às diretrizes da Lei Geral de Proteção de Dados.
O Privacy by Design consiste em uma metodologia que estabelece que as empresas definam a proteção da privacidade como objetivo central de todas as etapas de desenvolvimento de produtos e serviços, desde a sua concepção até mesmo após a sua execução, integrando esse conceito entre seus valores e os determinando como referência de suas condutas[1].
Trata-se do entendimento de que a efetivação da proteção de dados no decorrer de todo o processo de desenvolvimento de programas otimiza os custos e é mais eficaz do que sua implementação em sistemas já existentes[2].
Para isso, baseia-se em sete princípios básicos: i) proativo e não reativo, isto é, prevenir e não corrigir, consiste da necessidade de prever e antecipar eventos que possam comprometer a privacidade; ii) privacidade como configuração padrão, em que todos os produtos e serviços devem ser fornecidos com suas configurações de privacidade definidas no máximo de proteção possível; iii) privacidade incorporada ao projeto, visando definir a proteção de dados pessoais como parte indissociável do planejamento do ambiente tecnológico ou da prática do negócio, da concepção à pós-execução; iv) funcionalidade total, com o objetivo de garantir que a proteção de dados pessoais esteja ordenada com os interesses e objetivos legítimos de quem está realizando o tratamento dos dados; v) segurança de ponta a ponta, de modo que a segurança dos dados deve ser garantida durante todo o ciclo de tratamento, da coleta até a sua destruição ou compartilhamento com terceiros; vi) visibilidade e transparência, que consiste no dever de informar ao titular do dado quando e para qual finalidade as suas informações estão sendo coletadas, assim como possibilitar a realização de auditorias, e vii) respeito pela privacidade do usuário, de modo que toda a arquitetura e operacionalidade do sistema e das práticas de negócios devem ser pautadas na privacidade do usuário[3].
Visando facilitar a execução dessa metodologia, a Norwegian Data Protection Authority, com base na “Privacy and Data Protection by Design – from policy to engineering”, publicada pela European Union Agency Network and Information (ENSINA) no ano de 2014, elaborou o documento informativo “Software development with Data Protection by Design and by Default”, com o objetivo de auxiliar as organizações a compreender e cumprir com os requisitos do Privacy by Design and by Default.
Nesse informativo, é estabelecido um conjunto de sete atividades fundamentais para a implementação do sistema de proteção, sendo: treinamento; exigências; design; codificação; testes; lançamento e manutenção[4]. Mister destacar que a metodologia a ser implementada é influenciada pela atividade desenvolvida, devendo ser avaliada conforme as especificidades de cada empresa[5].
A primeira atividade consiste no treinamento direcionado a todos os agentes da empresa, de colaboradores a gestores, visando demonstrar a necessidade e os riscos referentes à proteção e à segurança de dados.
Na segunda etapa, define-se as exigências, que são os requisitos para a proteção de dados, pretendendo detectar possíveis ameaças com antecedência, com a finalidade de corrigi-las antecipadamente. Posteriormente, o design deve assegurar que os requisitos definidos na etapa anterior foram aplicados no desenvolvimento do projeto do software.
Importante que no desenvolvimento dos códigos do software, a empresa defina uma metodologia confiável que permita que os desenvolvedores detectem e removam eventuais vulnerabilidades[6]. A seguir, devem ser realizados testes para observar se todos os requisitos de proteção de dados e segurança da informação estão de acordo com o que foi planejado.
Após a realização dos testes, há a etapa do lançamento, que inclui a preparação do software para chegar ao mercado, o plano de contingência contra acidentes e os meios de atualização quando necessária.
Por fim, na etapa de manutenção, é imprescindível que a empresa esteja preparada para lidar com possíveis incidentes, mesmo após a execução de sua atividade. Conforme descreve Mariana Gonzálvez, quando um incidente crítico acontecer, é importante que a equipe esteja preparada, sabendo quais são as prioridades dentro de cada situação e todos os procedimentos que devem ser adotados. Desse modo, é fundamental que a empresa realize treinamentos para preparação dos funcionários para eventuais incidentes de vazamento[7].
Dessa forma, o Privacy by Design representa um importante mecanismo de implementação e efetivação das diretrizes estabelecidas na Lei Geral de Proteção de Dados. Sua metodologia considera que a proteção de dados deve ser observada desde o planejamento de produtos e serviços até depois da sua execução, sempre atenta ao princípio da prevenção, visando solucionar possíveis ameaças de forma antecipada. Nessa perspectiva, a proteção de dados é tida como o objetivo intrínseco do desenvolvimento de produtos e de serviços, sendo considerada uma norma de conduta na empresa.
Notas e Referências
BRASIL. Lei n. 13.709, de 14 de agosto de 2018. In: CÉSPEDES, Livia (coord.) et al. Vade Mecum Saraiva OAB e Graduação. 20. ed. São Paulo: Saraiva Educação, 2020, p. 1787 – 1796.
DANIEL, Rubens. LGPD vai impactar o planejamento do ambiente tecnológico nas empresas. 2019. Disponível em: < https://cryptoid.com.br/protecao-de-dados/lgpd-vai-impactar-o-planejamento-do-ambiente-tecnologico-nas-empresas/>. Acesso em: 05 de maio de 2020.
ENSINA, European Union Agency for Network and Information Security. Privacy and Data Protection By Design – from policy to engineering. DOI 10.2824/38623. ISBN 978-92-9204-108-3, 2014.
GONZÁLEZ, Mariana. Veja como implementar o Privacy by Design nos seus processos de tecnologia. IDBLOG, 2019. Disponível em: < https://blog.idwall.co/privacy-by-design-implementar-processos-tecnologia/>. Acesso em: 23 de maio de 2020.
NORWEGIAN Data Protection Authority. Software development with Data Protection by Design and by Default. Disponível em: <https://www.datatilsynet.no/en/about-privacy/virksomhetenes-plikter/innebygd-personvern/data-protection-by-design-and-by-default/?print=true>. Acesso em: 23 de maio de 2020.
OSTEC. O que significa “Privacy By Design” e qual a relação com a LGPD. 2019. Disponível em: <https://ostec.blog/geral/privacy-by-design>. Acesso em: 23 de maio de 2020.
[1] OSTCEC. O Que Significa “Privacy By Design” e Qual a Relação Com a LGPD. 2019.
[2] GONZÁLEZ. Mariana. Veja Como Implementar o Privacy By Design nos seus processos de tecnologia. 2019.
[3] DANIEL, Rubens. LGPD vai impactar no planejamento do ambiente tecnológico nas empresas. 2019.
[4] “Each activity is depicted as a jigsaw piece or a step leading to the next activity in the circle. We chose a circle to ilustre because both software development and data protection are continuous processes” (NORWEGIAN, [20--], n.p).
[5] “The choice of methodology is typically influenced by the services provided, the industry, the type of software being developed, and considerations/perceptions relating to the organisation’s own level of risk” (NORWEGIAN, [20--], n.p).
[6] GONZÁLEZ. Mariana. Op. cit.
[7] Veja como implementar o Privacy by Desugn nos seus processos de tecnologia. 2019
Imagem Ilustrativa do Post: Study // Foto de: Startup Stock Photos // Sem alterações
Disponível em: https://www.pexels.com/photo/notes-macbook-study-conference-7102/
Licença de uso: https://creativecommons.org/publicdomain/mark/2.0/
