O que é esse tal de privacy by design
LGPD

O que é Privacy by Design?

Introdução

Os últimos 30 anos transformaram nossa forma de trabalhar, de se relacionar, de viver e trocar experiências, e o motor para toda essa mudança passa pela revolução tecnológica da informação.

Somos testemunhas de um mundo novo, em construção, no qual a informatização permitiu a integração das informações, a avaliação de indicadores de desempenho, a compilação de fatores e parâmetros, permitindo uma avaliação mais assertiva dos fatos, e a capacidade de intuir o futuro.

O processamento de informações, o uso de algoritmos cada vez mais complexos, rapidamente deixou a indústria de transformação, para atuar na avaliação de comportamento de pessoas, seus hábitos e interesses, permitindo o desenvolvimento de produtos e serviços aderentes a um mercado também em transformação.

 

Sistemas de processamentos de dados

Os sistemas de processamento de dados, passaram a contar com a internet como apoio de captação de informações; o surgimento das redes sociais, com suas entregas e integrações, estimularam seu uso em grande escala, e hábitos, relacionamentos, opiniões e interesses passaram a ser coletados, processados, integrados em grandes bancos de dados (big data), permitindo a expansão da análise e para a tomada de decisão., seja na indústria de produtos, seja em serviços.

A partir dessa capacidade de processamento, a aplicação dos dados pessoais abriu novas opções, ativando interesses antigos e até então impossíveis, em larga escala. A capacidade de prever uma ação ou reação de pessoas é uma habilidade, que bem (ou mal) explorada, confere a seu possuidor vantagens importantes no mercado.

Seja para a oferta de um produto adequado, aderente; seja para o desenvolvimento de um aplicativo de namoro, o uso de dados pessoais em larga escala pode implicar em riscos para o “dono” da informação.

O mesmo processamento que compreende desejos, também os estimula. O mesmo tratamento que identifica tendências, também as constrói. A capacidade, ou a mera possibilidade, de que grandes massas sejam movidas em uma ou outra direção a partir de uma publicação, ou conjunto de publicações, expõe o ser humano ao risco de não tomar por si, suas próprias decisões.

É da essência da humanidade, a transformação das ideias, a mudança de opinião por influência. Crescemos, evoluímos assim. Contudo, essa construção deve ocorrer a partir de pensamentos divergentes, pelo debate, pelo contraditório, pela argumentação. Tal transformação e crescimento não ocorre quando todos envolvidos possuem a mesma opinião e interesse.

O risco estará, exatamente, no ponto da extinção do debate. Quando pessoas passarem a se relacionar apenas com pessoas de mesmos gostos, interesses, experiências, teremos uma sociedade polarizada, separada em grupos fiéis às suas convicções ao ponto de não se permitir ouvir o outro, abrindo espaço para um ambiente de conflito e não de diálogo, influenciadas por pensamentos que as coloquem em situação de conforto, uma analgesia mental totalmente influenciada e condicionada. Agindo conforme o desejo e interesse de poucos.

Nesse momento, perde-se a capacidade de tomar decisões consciente, abandona-se a capacidade de desenvolvimento do raciocínio, do aprendizado e do crescimento. Perde-se um pouco da humanidade.

Confiança

O processo de coleta de informações ocorre em diversos momentos; em uma pesquisa de rua, no cadastro para um crediário, na entrevista de emprego, ou mesmo visitando um site na internet.

A todo momento cedemos dados, pessoais ou não, para prestação de serviço, compra de um produto, uso de um equipamento. No trabalho, no lazer, em casa ou na rua. O celular, agora smartphone, integrou diversos recursos em um único aparelho, tornando-se companheiro indispensável em praticamente 24 horas do dia. Contudo, seus aplicativos e funções, indispensáveis, recolhem e processam informações de toda ordem, como localização, voz, compras, saldo bancário, etc.

Qual a razão de cedermos nossos dados, pessoais, íntimos, com tanta facilidade? Confiança.

Consciente ou inconsciente, o usuário da informação, aquele que se vale de recursos tecnológicos para trabalhar ou para lazer, confia que seus dados sejam utilizados com segurança, em um ambiente que não o exponha a riscos.

Contudo, por vezes, essa confiança não é retribuída, permitindo falhas que exponham o usuário a situações que podem variar de um mero incômodo, como receber um e-mail SPAM ou uma ligação para oferta de um produto indesejado, até uma exposição de hábitos ou experiências que possam causar constrangimento, humilhação ou perdas pessoais e financeiras.

Com o objetivo de preservar o livre desenvolvimento da pessoa, a autodeterminação e proteger a dignidade da pessoa humana, foi publicada em agosto de 2018 a Lei Geral de Proteção de Dados. Atenta aos riscos reais que o uso de dados pessoais pode causar, ao indivíduo e à sociedade, a LGPD tem a dupla missão de orientar usuários (agora Titulares de Dados Pessoais) e aqueles que recolhem e tratam os dados, quanto a obrigações e responsabilidades no tratamento.

A LGPD regulamenta o tratamento de dados pessoais no Brasil, definindo uma moldura ética para a aplicação da tecnologia, e estabelece sanções para as falhas técnicas e procedimentais que desrespeitem a confiança do Titular de Dados quando da cessão de seus dados.

Privacy by Design

Embora poderosa, a legislação por si, não seria suficiente para proteger a privacidade. As pessoas se conectaram, o uso e compartilhamento de informações é necessário para o funcionamento de praticamente tudo, do mais simples ato de se deslocar de ônibus para o trabalho, com o pagamento em um cartão de bilhetagem eletrônica, passando pelo sistema de câmeras e reconhecimento facial necessários à segurança pública.

As pessoas estão conectadas, e devem ser protegidas de seus próprios atos inconscientes de confiança. A mesma tecnologia que pode se valer das informações que tem para violar a privacidade, também pode/deve ser capaz de conduzir ações de proteção à privacidade, com a adoção de medidas, desde sua concepção, privacy by design.

O conceito foi desenvolvido por Ann Cavoukian, que apontou 7 (sete) princípios norteadores para sua aplicação, são eles:

  • Adoção de medidas proativas e preventivas, não reativas, a fim de remediar as situações;
  • Privacidade como default, ou seja, como padrão;
  • Privacidade inserida no design e na arquitetura do sistema de tecnologia da informação e nas práticas de negócio;
  • Funcionalidade completa, de modo que o resultado seja benéfico, não nulo;
  • Segurança de ponta a ponta;
  • Visibilidade e transparência, e,
  • Respeito pela privacidade do usuário

*(Trecho traduzido retirado da obra Tratado de proteção de dados pessoais / Coordenadores Danilo Doneda … [et al.]. – Rio de Janeiro: Forense, 2020)

Os desenvolvedores, atentos à importância do tema, já conduzem seus projetos sob essa perspectiva a alguns anos. Não obstante, as legislações pelo mundo traduzem o conceito em imposição e responsabilidade. Como exemplo o Regulamento Geral de Proteção de Dados da União Europeia – GDPR, que inclui o conceito em seu art. 25, e no Brasil, a LGPD aplica o conceito em seu art. 46.

“Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”

O legislador brasileiro, observando uma consciência e preocupação mundial com a privacidade e com o uso adequado das informações confiadas, consolida o processamento de dados exigindo dos Agentes de Tratamento aplicação de critérios de segurança e proteção à privacidade em todo o ciclo de vida da informação, estabelecendo critérios para esse processamento.

Entre os critérios apontados pelo legislador, destacamos o art. 6º, como limitador ao processamento de informações. Vejamos:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.” (grifo nosso)

 

Grifamos os incisos I, II, III e VII, como parte da entrega que o desenvolvedor de software, prestador de serviço de tecnologia, deve estar atento, quanto a incorporação de conceitos de privacidade que permitam a seus clientes (Agentes de Tratamento) a melhor tomada de decisão para a proteção dos interesses de seus Titulares de Dados (clientes, funcionários, etc).

Embora a responsabilidade pelo atendimento à legislação, seja do agente de tratamento, será dele a capacidade de escolha de seus fornecedores.

 

Conclusão

O processamento de informações pessoais é necessário para o natural desenvolvimento da sociedade, a produção de produtos que simplifiquem a vida humana, o crescimento da economia e o aperfeiçoamento das relações pessoais e de trabalho.

Contudo, o uso de tais informações, a formação de perfis, a seleção de conteúdo e a indução de pessoas e grupos a uma tendência, pode influenciar diretamente em escolhas e decisões, o que poder trazer consequências negativas à formação de uma consciência social, limitando debate e estimulando o ódio.

A Lei Geral de Proteção de Dados tem o objetivo de criar condições para um processamento adequado de informação, estimulando o crescimento tecnológico, econômico e humano.

A responsabilidade dos desenvolvedores de software é grande, e assumem importante papel garantidor dos direitos e da preservação da segurança das pessoas.

O uso de conceitos de desenvolvimento, baseados em segurança e privacidade, permitirão uma relação mais honesta e duradoura com clientes e consumidores, e estimulará o crescimento do respeito pela privacidade de dados e respeito à pessoa humana.

 

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *