Privacy by Design e Privacy by Default como estratégias de segurança para a proteção de dados pessoais

Direito Digital e Proteção de Dados
  • 5 de maio de 2022

O mundo atual transita entre o real e o virtual. A proliferação das tecnologias digitais e a hiper conectividade passaram a fazer parte do cotidiano, trazendo não só benefícios como a democratização de informações e o avanço nas áreas da educação, saúde, agronomia, entre tantas outras, mas também constantes ameaças digitais como o sequestro de informações, espionagem e crimes cibernéticos.

E foi nesse contexto que os dados pessoais passaram a ficar desprotegidos. Se por um lado os indivíduos se tornaram vulneráveis e, em certos casos, até mesmo reféns de atos maliciosos e crimes cometidos pelo meio digital, por outro as empresas também se veem nesse cenário, mas em proporções muitas vezes avassaladoras se considerado o volume de dados dos quais são detentoras e as medidas de segurança da informação acessíveis para a sua proteção.

Assim, vários países do mundo passaram a normatizar a proteção de dados pessoais por meio de leis e regulamentos. A mais conhecida é a GDPR “General Data Protection Regulation”, regulamento europeu que serviu de inspiração a nossa LGPD – Lei Geral de Proteção de Dados Pessoais, vigente no Brasil desde setembro de 2020.

“Nos ambientes digitais, em que as informações são disseminadas de forma exponencial e milhares de pessoas passam a conhecer um fato ou informação em poucos minutos, é imperioso o cuidado com dados pessoais, seja por parte de seus titulares, expondo somente aquilo que é necessário, seja por pare das Organizações que, atualmente, em razão dos marcos regulatórios sobre privacidade, passam a utilizar, obrigatoriamente, dados pessoais apenas para finalidades esclarecidas em bases legais ou consentidas pelos seus titulares”. (VIEIRA, Elba Lúcia Carvalho Vieira. LGPD: Lei Geral de Proteção de Dados Pessoais: Manual de Implementação/ coordenação Viviane Nóbrega Maldonado – São Paulo – Thomson Reuters Brasil, 2021. p. 226)

A partir desse momento, a proteção de dados adquire um caráter obrigatório para as empresas que se deparam com a necessidade de adotar medidas de segurança técnicas e administrativas aptas a estabelecer um ambiente protegido aos dados pessoais de sua responsabilidade.

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.(Lei Geral de Proteção de Dados Pessoais – LGPD. Presidência da República. Disponível em: [https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm]. Acesso em: 05.05.2022.

Quanto aos objetivos das medidas de segurança da informação, Cots e Oliveira esclarecem que:

“os objetivos das medidas também merecem comentários. O primeiro deles é o de impedir acessos não autorizados, mantendo a sua confidencialidade de acordo com o necessário para se alcançar a finalidade do tratamento. O segundo, que, em suma, pretende preservar a integridade das informações e prevenir vazamentos, depende em boa parte do primeiro objetivo. Isso porque nem todo vazamento ou perda de informações se dá pela quebra de sistema de segurança, mas muitas vezes se dá por credenciais utilizadas indevidamente, por culpa ou dolo”. (COTS, Marcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados Pessoais comentada. São Paulo: Thomson Reuters Brasil, 2018. P. 239)

E como minimizar os riscos de uma violação de segurança diante do cenário atual em que a cada minuto se desenvolvem novas tecnologias? Existem várias formas de se proteger os dados pessoais, mas trataremos em especial do Privacy by Design  e do Privacy by Default.

O Privacy by Design ou Privacidade desde a conceção é previsto no §2º, do art. 46, da LGPD que determina que “as medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução”, o que significa dizer que a privacidade deve ser considerada desde a criação do produto ou serviço através da implementação de medidas e procedimentos necessários para garantir que o tratamento dos dados pessoais está em conformidade com a LGPD e protege o direito de seus titulares.

“a arquitetura do sistema terá a proteção da privacidade como um componente nuclear, integrado às suas funcionalidades” (JIMENE, Camila do Vale. Capítulo VII. Da Segurança e das Boas Práticas, In: MALDONADO, Viviane Nóbrega. OPICE BLUM, Reanto (coord.), LGPD – Lei Geral de Proteção de Dados. Comentada. São Paulo: Thomson Reuters Brasil, 2019, p. 180).

Já no que se refere ao conceito do Privacy by Default, ou privacidade por padrão, significa dizer que uma empresa ou organização colocará em prática, por padrão, os mecanismos aptos a garantir a proteção dos dados pessoais em toda a extensão de seu tratamento como a coleta de acordo com a necessidade e finalidade específica, sua forma de armazenamento, acessibilidade e descarte.

Assim, os conceitos de privacidade “by Design” e “by Default” compreendem a incorporação de mecanis­mos que garantam a privacidade e segurança dos dados pessoais a todo o processo de desenvolvimento o que significa dizer que a estrutura de um sistema ou programa deverá ser desenvolvida com o objetivo não só de proteger os dados pessoais em todas as suas formas de tratamento, mas também visando mitigar eventuais riscos e dados em caso de incidentes.

 

Karina Furquim da Cruz
Especialista em Direito Direito Digital e Proteção de Dados
Sócia do escritório Karina Cruz Advocacia