"Privacy by Design" e governança de dados pessoais

Não há dúvidas de que o mundo vem se tornando cada vez mais digital com a inteligência artificial presente nas ferramentas e tarefas do dia a dia das organizações. Neste contexto, tratar de ética e proteção de dados e da privacidade se tornou tema de maior urgência e necessidade junto às empresas, que devem garantir e construir relações de confiança junto aos seus clientes e usuários.

Esse conceito e seus respectivos princípios foram originalmente desenvolvidos na década de 90 por uma especialista em privacidade de dados (doutora Ann Cavoukian) que acreditava que a privacidade do indivíduo na sociedade da informação não poderia ser satisfatoriamente tutelada apenas pelas leis e regulações, era preciso também incorporar essa preocupação à arquitetura dos sistemas e das funcionalidades, provocando uma mudança nas práticas de negócios, na forma de padrão de desenvolvimento, bem como na criação de produtos e serviços pelas empresas.

Em seus estudos, Cavoukian delineou quais seriam os sete princípios fundamentais para a consecução dos objetivos do "Privacy by Design", que nos ajudam a compreender seu conceito e seus propósitos, a saber: 1) seja proativo e não reativo, é sempre melhor "prevenir do que remediar"; 2) trate a privacidade como configuração padrão ('by default') e como design, de forma que ela se torne um componente essencial de funcionalidade de um produto e/ou serviço a ser disponibilizado; 3) imprima segurança de ponta a ponta, ou seja, desde o desenvolvimento até a fase final do produto e/ou serviço; 4) ofereça visibilidade e transparência aos usuários e fornecedores sobre a realização do tratamento e de seus respectivos agentes e, acima de tudo e 5) respeite a privacidade dos usuários, de forma que os sistemas tecnológicos sejam projetados levando-se em conta as necessidades e interesses dos titulares dos dados.

A compreensão desses princípios, nos leva a concluir que uma implementação de um programa de adequação a LGPD que envolva o "privacy by design" é necessário seguir os seguintes passos: 1) treinar o time de forma a incorporar a cultura da privacidade e segurança de dados pessoais em seu dia a dia; 2) detectar com antecedência os requisitos essenciais de proteção de dados e segurança de informação que o produto ou serviço deve conter, a fim de mitigar ameaças externas; 3) realizar testes no produto desenvolvido, buscando garantir que todos os requisitos foram cumpridos e implementados, além de verificar se há alguma vulnerabilidade a possíveis ameaças, e por fim 4) garantir periodicamente a manutenção e revisão dos requisitos essenciais e de segurança.

A garantia da privacidade por padrão em produtos e serviços representa uma mudança no modo de proteção aos direitos e liberdades dos indivíduos, já que é pensado e incorporado às práticas de negócio antecipadamente, ou seja, desde o momento inicial de concepção dos produtos e serviços. Essa é inclusive a regra pensada pelo legislador quando da elaboração da Lei Geral de Proteção de Dados.

Assimilar e implementar os princípios fundamentais que formam o "Privacy by Design" é indispensável a qualquer organização pois garante e resguarda as empresas quanto ao correto e adequado uso dos dados pessoais dentro das suas ferramentas tecnológicas desde a sua concepção.

Não há dúvidas de que a aplicação da metodologia indicada acima é uma ferramenta importante para inclusive reduzir custos com a adequação à lei já que ela permite começar um projeto, serviço ou tecnologia, de forma aderente à LGPD, mesmo com poucos recursos. Na maioria das vezes, adotar a proteção de dados desde o início sai muito mais barato do que arcar com a adequação posteriormente. Da mesma maneira, também evita multas e prejuízos causados por incidentes de segurança.

O principal desafio em qualquer organização é fazer esse conceito se concretizar na prática e isso somente será alcançado quando questões relativas à proteção da privacidade e dos dados pessoais se torne um valor para a empresa e para as suas lideranças, disseminado por meio das estruturas internas de governança e boas práticas.

Entender a importância de conceber produtos e serviços desde a sua concepção com regras que garantam a privacidade e proteção de dados dos usuários, além de cumprir com a legislação e mitigar riscos, posiciona a empresa de forma competitiva no mercado, reforçando positivamente a marca e destacando o seu compromisso perante o usuário.