O Privacy by Design como diferencial competitivo aos negócios e à implementação da Lei Geral de Proteção de Dados
Portal Tempo de Inovação
15 de junho de 2021
Por Geórgia Vasconcelos Ferfoglia e Paula Talpo
Com a expansão das relações interpessoais pelos meios tecnológicos, o ambiente virtual tornou-se o espaço em que o compartilhamento de dados tem crescido a níveis expressivos, seja por pessoas naturais ou por pessoas jurídicas de direito público ou privado de modo que as bases de dados são nutridas com informações cada vez mais sensíveis e capazes de expor os titulares e morais.
À vista disso, considerando o cenário crescente de enaltecimento do respeito à privacidade e estandardização de regulamento e legislação sobre proteção de dados, as empresas que investirem na adequação de seus procedimentos internos para o cumprimento destas regras indubitavelmente estarão à frente no mercado.
Nesta perspectiva, inserta-se o conceito de “Privacy by Design” (“PbD”), originada do inglês e desenvolvido no Canadá, por Ann Cavoukian, especialista em privacidade e proteção de dados e que, de maneira geral, expressa a adoção de princípios basilares de privacidade desde a concepção de novos serviços, produtos ou processos.
Dentre os preceitos desta metodologia, destacam-se: a proatividade, ou seja, a conduta de antecipar cenários que coloquem a privacidade em risco, sendo uma análise fundamental para a tomada de decisões e que torna, portanto, privacidade como regra padrão inerente a qualquer prática do negócio.
A privacidade incorporada ao design, a implementação de medidas de segurança por todo o ciclo de vida dos dados, a transparência aos titulares e o respeito pela privacidade, incorporadas em medidas organizacionais e técnicas também são princípios fundamentais da sistemática proposta. De forma geral, os parâmetros de PbD assinalam a privacidade e a segurança das informações compartilhadas pelos titulares de dados pessoais como um norte fundamental para suas operações.
Essa metodologia ganhou ainda mais enfoque com a criação do Regulamento Geral sobre a Proteção de Dados (GDPR) na União Europeia, e que determina a implementação de medidas técnicas e organização que assegurem como regra, o tratamento de dados pessoais estritamente necessários e com propósitos definidos para a operação. Denota-se, portanto, que o compliance com a GDPR assume a aplicação da metodologia de Privacy by Design.
Aqui no Brasil, a Lei Geral de Proteção de Dados, também conhecida como LGPD, disciplina as operações de tratamento por pessoa natural ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Nesse contexto, infere-se que a LGPD adota parâmetros de PbD em seu teor, como a determinação de adoção de medidas de segurança de proteção de dados pessoais que deverão ser observadas desde a fase de concepção do produto ou do serviço, até sua execução e, até mesmo, o fundamento da autodeterminação informativa, que coloca o titular de dados pessoais no centro das operações de tratamento.
A transparência aos titulares é observada na medida em que a legislação determina que na hipótese de qualquer incidente, o controlador não deverá tão somente comunicar à Autoridade Nacional (ANPD), mas também ao titular que teve seu direito à privacidade violada e discriminar, dentre outros, a natureza dos dados pessoais afetados, os riscos do incidente e as medidas adotadas para a reversão ou mitigação do prejuízo.
Somado a isso, a LGPD também determina que as organizações não devem se preocupar apenas com uma parte do processo, mas sim com o ciclo de vida completo dos dados em suas operações, ou seja, “do berço ao túmulo”, nas palavras de Ann Cavoukian[1].
Isto posto, o PbD visa nortear as atividades corporativas sob as hipóteses legais da Lei Geral de Proteção de Dados, sendo sua adequação um diferencial competitivo – inclusive de fidelização de clientes que permitirá a continuidade dos negócios no mercado – e estratégico diante das sanções previstas.
A ênfase na adequação como o referido diferencial competitivo também decorre da indispensabilidade para a formalização de novos negócios, posto ser um novo padrão requisitado por empresas no mundo todo.
Dessarte, cabe às organizações que, desde logo, implementem medidas organizacionais e técnicas para adequação à Lei Geral de Proteção de Dados e que estabeleçam tal medida em todas as etapas de tratamento, atentando-se ao Compliance e aos padrões de boas práticas e de governança, e respeitando a privacidade do usuário. Paula Giordano Talpo, advogada especialista da área de compliance e Direito do Trabalho do escritório Lira Advogados.