O Privacy by Design como ferramenta de adequação à LGPD
Não obstante a Lei Geral de Proteção de Dados (Lei Federal n° 13.709/2018) ter passado mais de 2 anos em período de vacância, o desafio das empresas de se adequarem à LGPD ainda é latente, sejam elas controladoras (tomadoras de decisão) ou operadoras dos tratamentos de dados.
A fim de evitar a judicialização de casos relacionados ao exercício dos titulares dos dados, assim como as futuras sanções administrativas que poderão ser aplicadas pela ANPD a partir de agosto de 2021 (sem falar nas potenciais perdas em negócios pela falta de conformidade), as organizações, independentemente de seu porte e área de atuação, devem revisar as operações de tratamento que realizem e adotar medidas técnicas e organizacionais que garantam o cumprimento da LGPD e demais normas aplicáveis.
Dentre as diversas maneiras de se assegurar a privacidade e a proteção de dados pessoais, há uma abordagem inteligente, que demanda relativamente poucos recursos e esforços e atua de forma estrutural, conhecida como “privacy by design”, que significa a privacidade desde a concepção. Esse conceito, desenvolvido por Ann Cavoukian, ex-Comissária de Privacidade de Ontário (Canadá), visa a conformidade de uma ideia com a privacidade desde seu nascimento, de sua concepção.
Baseada em sete princípios fundamentais, dentre os quais: a postura pró ativa e não reativa, a privacidade como padrão, a privacidade incorporada ao design, a total funcionalidade com soma positiva de interesses, a garantia de segurança por todo o ciclo de vida do dado, a visibilidade e a transparência aos interessados e a centralização do titular dos dados, a “privacy by design” se apresenta como uma estrutura de avaliação e incorporação da privacidade de modo criativo e que leva em conta os valores humanos.
O passo a passo é simples. Ao início de cada análise, deve-se examinar se os dados em questão podem ou não ser anonimizados, ou seja, desassociados de seus titulares. Se possível, a privacidade já está garantida. Caso contrário, deve-se buscar a aplicação das seguintes ações com relação aos dados pessoais: a minimização, a pseudonimização, a aplicação de criptografia, o estabelecimento de controles de acessos, a aplicação de definições, interface e gestão de permissões amigáveis à privacidade (também chamada de privacidade por padrão), a instauração de normas quanto à retenção e à eliminação dos dados e, por fim, a facilitação do exercício dos direitos pelos respectivos titulares, sendo imprescindível que todas estas fases e respectivas decisões sejam documentadas. A partir do cumprimento destas etapas, ainda, viabiliza-se a criação e redação de políticas, declarações, matrizes e padrões de privacidade e de segurança da informação, bem como registros de obtenção de consentimento e sua gestão.
E quanto aos negócios já desenvolvidos, que não estão consonantes com a privacidade? Cavoukian desenvolveu a “privacy by redesign”, ou seja, o conceito de “redesenhar” os negócios existentes. Uma vez identificadas em quais áreas estão presentes os tratamentos de dados pessoais, adapta-se a “privacy by design”, introduzindo proativamente gatilhos automáticos que incorporarão a privacidade por padrão, de modo a gerenciar consentimentos ou protocolos adicionais como, por exemplo, de limitações de uso, que garantirão a adequação à privacidade e à proteção dos dados. Neste cenário, o principal desafio é tecer a privacidade em toda a organização de forma holística e quebrando as barreiras entre as áreas internas e tornando a privacidade acessível na linguagem de qualquer setor.
*Mônica Villani , advogada com atuação especializada em direito empresarial e das startups e compliance de privacidade e proteção de dados, professora no LAB de Inovação da Faculdade de Direito de São Bernardo do Campo e na Privacy Academy