Privacy by Design: o que é e como se relaciona com a LGPD?

Privacy by Design é um conceito que tem por objetivo garantir a privacidade e a proteção de dados pessoais em todas as etapas de desenvolvimento de soluções tecnológicas.

Explicando de outro modo, trata-se de um framework que inclui tratativas para a privacidade dos dados sensíveis ao longo da jornada de criação e de entrega de produtos e serviços que precisam tramitar informações desse tipo para serem utilizados.

Criado em 1990, devido a sua característica, esse conceito ganhou notoriedade e reconhecimento internacional. Tanto que foi inserido no GDPR, General Data Protection Regulation, regulação europeia de proteção de dados que embasou a elaboração da LGPD brasileira.

Também por isso, o Privacy by Design vem sendo amplamente utilizado pelas empresas brasileiras — especialmente entre do setor de tecnologia, a fim de elevar o nível de privacidade em startups e de contribuir para a adequação desses modelos de negócio à Lei Geral de Proteção de Dados.

Confira agora, neste artigo, como esse conceito funciona, sua forma de interação com a LGPD e quais boas práticas de proteção dos dados dos usuários podem ser adotadas no ambiente das startups.

O que é Privacy by Design?

Privacy by Design, ou apenas PbD, é um framework elaborado para introduzir a proteção e a privacidade de dados pessoais em todas as etapas de desenvolvimento de uma solução.

A ideia é que esse cuidado com a segurança das informações seja considerado e inserido desde o momento que um projeto tecnológico — que tramita dados sensíveis dos(as) usuários(as) —, é concebido.

Ou seja, esse conceito contempla todo o ecossistema de criação, inclusive, a etapa que solicita ao(à) potencial usuário(a) o acesso aos seus dados pessoais, garantindo que ele(a) possa utilizar a ferramenta mesmo se não autorizar nenhum tratamento de suas informações.

Aqui, vale citarmos que o Privacy by Design foi criado na década de 1990 pela Ph.D canadense Ann Cavoukian, a partir de sua participação no Comissariado para Informação e Privacidade de Ontário.

Em outubro de 2010, durante a 32ª International Conference of Data Protection and Privacy Commissioners, esse conceito foi adotado como padrão internacional. Desde então, passou a ser usado na GDPR da União Europeia e, agora, na LGPD do Brasil.

Sugestão de leitura! Confira este artigo: "ENTREVISTA | Proteção e privacidade de dados no metaverso"

Os princípios do Privacy by Design

Em agosto de 2009, Ann Cavoukian definiu os princípios do Privacy by Design, os quais são considerados e utilizados até hoje. São eles:

1. Proativo não reativo; preventivo, não remediador

2. Privacidade como configuração padrão

3. Privacidade incorporada ao design

4. Funcionalidade total: soma positiva, não soma zero

5. Segurança de ponta a ponta: proteção completa do ciclo de vida

6. Visibilidade e transparência: mantê-lo aberto

7. Respeito pela privacidade do usuário: mantenha-o centrado no usuário

1. Proativo não reativo; preventivo, não remediador

A premissa do PbD é a ação antes que o risco à privacidade aconteça. Isso significa que cabe às companhias se anteciparem a potenciais eventos que geram ameaças à proteção dos dados pessoais dos(as) seus(suas) clientes, e não tomarem medidas após esses fatos acontecerem.

2. Privacidade como configuração padrão

Garantia de proteção e privacidade máxima, gerada automaticamente, ainda que o(a) usuário(a) do sistema não realize nenhuma ação voltada para isso.

3. Privacidade incorporada ao design

As medidas adotadas para promover a privacidade de dados devem ser parte natural da solução que está sendo criada, desde os primeiros passos, e não serem agregadas a ela posteriormente.

4. Funcionalidade total: soma positiva, não soma zero

O PbD garante que é possível ter segurança e privacidade de dados simultaneamente, sem que seja necessário escolher entre um ou outro para oferecer proteção aos usuários.

5. Segurança de ponta a ponta: proteção completa do ciclo de vida

As medidas de segurança no conceito PbD devem ser adotadas do princípio ao fim, ou seja, em absolutamente todas as etapas de construção e entrega das soluções.

6. Visibilidade e transparência: mantê-lo aberto

O Privacy by Design prevê a transparência e a visibilidade de todas as tratativas, tanto para quem fornece a solução quanto para quem utiliza, a fim de garantir que o prometido seja cumprido.

7. Respeito pela privacidade do usuário: mantenha-o centrado no usuário

Todas as medidas de proteção de dados devem ser pautadas na experiência do(a) usuário(a), garantindo fácil entendimento e utilização dos recursos disponibilizados.

Qual a relação entre PbD e LGPD?

O uso desse framework não está previsto na Lei Geral de Proteção de Dados, nem tão pouco é obrigatório.

Entretanto, é uma boa maneira de adequar as empresas ao atendimento dessa lei, bem como de aumentar o nível de privacidade de dados em startups, principalmente.

Potencialmente, esse conceito está alinhado ao determinado no § 2º do artigo 46 Lei n° 13.706, que é a LGPD, que diz:

"As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução."

Ou seja, as camadas de proteção de dados devem ser observadas e implementadas em todas as etapas de criação de uma solução tecnológica, chegando até o momento em que é entregue e utilizada pelo público-alvo.

5 benefícios do Privacy by Design para sua startup

Para a sua startup, os benefícios que podem ser obtidos com a utilização desse conceito são:

• garantir a proteção de dados em todas as fases do projeto, o que contribui para atender ao determinado pela LGPD;

• reduzir custos operacionais, visto que não é preciso voltar etapas para aplicar camadas de segurança de dados;

• resguardar a sua empresa de ser alvo de multas e sanções legais decorrentes do descumprimento das regras da Lei Geral de Proteção de Dados;

• aumentar o potencial competitivo da companhia;

• melhorar a imagem da marca perante o mercado e aos olhos de potenciais investidores(as).

Não deixe de ler: "MVP #40 - Como a Movile investe em startups, com Silvia Motta"

5 boas práticas de proteção de dados dos usuários de startups

Entre as boas práticas sugeridas para implementar o conceito PbD na sua startup e, com isso, elevar o nível de proteção dos dados dos(as) usuários(as) das suas soluções estão:

• treine adequadamente seu time para potencializar o entendimento sobre a LGPD;

• inclua o departamento jurídico na criação de novas soluções, de modo a garantir que estejam em compliance;

• realize diferentes testes para garantir que as medidas de proteção de dados estão ativas e funcionando corretamente;

• revise, periodicamente, as ações de segurança implementadas para confirmar que falhas não estejam ocorrendo, nem abertura de lacunas que comprometam essa proteção;

• mantenha-se atualizado(a) sobre as legislações direcionadas para o seu mercado de atuação, bem como as voltadas para privacidade de dados.

Se este artigo ajudou você, assine agora mesmo a nossa newsletter quinzenal e receba, diretamente no seu e-mail, diversos outros conteúdos como este.

A cada edição, trazemos em uma rápida leitura temas relevantes, uma seleção das matérias mais vistas das últimas semanas e recomendações da redação para impulsionar seu conhecimento.

Não perca!

Redação | Movile Orbit