Dados pessoais e o anglicismo no Brasil: afinal, o que é privacy by design e privacy by default?
Escrito por
Juliana Roman (Ver todos os posts desta autoria)
6 de abril de 2022
Este texto pretende desmistificar alguns dos anglicismos utilizados, frequentemente, quando o tema da proteção de dados está em pauta. Apesar do Brasil ser um país continental, com cerca de 214 milhões de habitantes, leia-se, uma enorme quantidade de falantes nativos de língua portuguesa, é muito comum encontrar termos de língua inglesa incorporados ao vocabulário técnico da área.
Para começar a tratar sobre o assunto, quero perguntar se você conhece aquela frase clássica “diga-me com quem tu andas que eu direi quem tu és?”. Pois então, acredito que sim, né!? Não que eu acredite muito nela, mas vou utilizá-la para fazer uma analogia e abordar a temática do texto.
Quando nos referimos à coleta de dados pessoais na internet, poderíamos transformar essa frase em “diga-me o que acessas que eu direi quem tu és”. Isso porque diversas organizações, tanto de âmbito público quanto privado, tratam dados pessoais e, por vezes, a coleta das informações se dá a partir do acesso do usuário a determinado sítio online. Privacy by design e privacy by default têm sido apontadas como elementos positivos diante do respeito à autodeterminação informativa do usuário, preservando a proteção de suas informações e sua privacidade. Continue a leitura e descubra quais os seus significados!
Dados pessoais como matéria-prima
De acordo com o relatório divulgado pela ONU, em 2019, intitulado “a era da interdependência digital” (The Age of Digital Interdependence), a sociedade atual está mais conectada do que nunca, como resultado das tecnologias da informação e comunicação (TICs). No entanto, de acordo com o documento, ao mesmo tempo, existe a constatação de que a comunidade global está enfrentando dificuldades para gerenciar os impactos econômicos, sociais, culturais e políticos das transformações digitais.
Diante dessa realidade conectada, importa mencionar a tamanha importância dos dados pessoais, já que as informações relacionadas ou relacionáveis às pessoas naturais são consideradas, nas últimas décadas, como matéria-prima crucial da economia global. Eis uma das razões pelas quais a proteção de dados tornou-se preocupação relevante dos indivíduos, governos e do setor privado.
A importância do tratamento de dados pessoais para o desenvolvimento econômico e para a prestação de serviços, privados e públicos, acarreta na utilização crescente de informações pessoais para diversos tipos de atividades. Importa ressaltar que a sua utilização não é o problema em si, no entanto é imprescindível que haja limite a essa coleta, processamento e armazenamento. O tratamento de dados pessoais deve ser balizado pelos direitos humanos, conferindo proteção e segurança ao titular.
Vale pontuar que designar ao usuário que, por si próprio, tenha controle de todos os dados que disponibiliza é uma tarefa, praticamente, impossível. Isso acontece porque existem muitas entidades coletando, compartilhando e utilizando dados pessoais, o que torna muito difícil que as pessoas gerenciem suas próprias informações disponibilizadas. Além disso, muitos dos danos advindos do tratamento indevido de dados pessoais são o resultado de processos de longo período de tempo, onde diferentes entidades podem estar inseridas.“
No Brasil, a proteção de dados pessoais está estruturada em legislação específica. A partir da Lei nº 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados (LGPD), o país passou a ter normas específicas sobre o tratamento de dados pessoais. Como fator externo e acelerador da LGPD, está a aprovação, no dia 25 de maio de 2018, do Regulamento Geral sobre Proteção de Dados (RGPD). O Regulamento 2016/679 trata de regras relativas à proteção das pessoas naturais no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e revogou a Diretiva 95/46/CE.
As normas aplicadas à proteção de dados no contexto normativo: União Europeia e Brasil
No cenário brasileiro faz referência a algumas medidas que devem ser tomadas pelos agentes de tratamento em relação à fase de concepção e execução do produto ou serviço diante da proteção dos dados. Conforme o capítulo VII, intitulado “Da segurança e do Sigilo de Dados”, no art. 46:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
- 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.
- 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
No contexto da União Europeia, o RGPD introduziu, expressamente, os conceitos. No capítulo IV, “Responsável pelo tratamento e subcontratante”, o tema é abordado no artigo 25, intitulado “Proteção de dados desde a concepção e por defeito”:
Artigo 25. Proteção de dados desde a conceção e por defeito
- Tendo em conta as técnicas mais avançadas, os custos da sua aplicação, e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do presente regulamento e proteja os direitos dos titulares dos dados.
- O responsável pelo tratamento aplica medidas técnicas e organizativas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento. Essa obrigação aplica-se à quantidade de dados pessoais recolhidos, à extensão do seu tratamento, ao seu prazo de conservação e à sua acessibilidade. Em especial, essas medidas asseguram que, por defeito, os dados pessoais não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas singulares.
Vale ressaltar, ainda, que na Diretiva 95/46/CE, diploma legal que tratava da proteção de dados na União Europeia antes do RGPD, o tema era abordado no considerando 46. Conforme a redação do dispositivo:
(46) Considerando que a protecção dos direitos e liberdades das pessoas em causa relativamente ao tratamento de dados pessoais exige que sejam tomadas medidas técnicas e organizacionais adequadas tanto aquando da concepção do sistema de tratamento como da realização do próprio tratamento, a fim de manter em especial a segurança e impedir assim qualquer tratamento não autorizado; que compete aos Estados-membros zelar por que os responsáveis pelo tratamento respeitem estas medidas; que estas medidas devem assegurar um nível de segurança adequado, atendendo aos conhecimentos técnicos disponíveis e ao custo da sua aplicação em função dos riscos que o tratamento implica e a natureza dos dados a proteger.
Privacidade do usuário como prioridade: Privacy by Design e Privacy by Default
No ambiente online, apenas uma pequena porcentagem dos usuários de sítios e aplicações online alteraram os padrões pré-estabelecidos de privacidade. Por si só, isso já demonstra suficiente para entender-se que essa não é a maneira adequada para que as pessoas tenham suas informações protegidas.
O conceito de Privacidade desde a Concepção foi desenvolvido, em meados dos anos 90, pela Comissária de Informação e Privacidade de Ontário, Canadá, Dra. Ann Cavoukian. A autora defende que o futuro da privacidade não podia ser assegurado apenas pela conformidade com a legislação e estruturas regulatórias e que, ao invés disso, a garantia de privacidade deveria se tornar o modo de operação padrão das organizações. Sendo assim, a preocupação com a privacidade deveria vir antes de qualquer eventual problema que acontecesse devido a sua falta.
A ideia de que as empresas apliquem a técnica de Privacidade desde a Concepção, envolve o desenvolvimento de projetos internos, de produtos e serviços e também que o planejamento estratégico estejam alinhados com a ideia de privacidade. Em particular, está refletida na exigência de que os agentes de tratamento, projetem suas ofertas de maneira minimizadora no que diz respeito às informações pessoais.
A Privacidade por Padrão significa que um produto ou serviço, ao ser lançado no mercado, deve vir com as configurações de privacidade no modo mais restrito possível por padrão, e que, caso julgue necessário, o usuário deve liberar acesso à coleta de mais informações. No entanto, a maioria das empresas fazem justamente o contrário, ou seja, coletam o máximo de informações possíveis por padrão, permitindo que o usuário desative a coleta de dados.
A Privacidade por Padrão é um dos princípios apresentados pela Privacidade desde a Concepção, a qual significa que todas as etapas do processo de desenvolvimento de um produto ou serviço de uma empresa devem ter a privacidade em primeiro lugar. Ou seja, o conceito de privacidade deve estar totalmente embutido no projeto, não se aplicando apenas às iniciativas onde a privacidade é discutida somente na fase final.
Os 7 princípios da Privacidade desde a Concepção:
Em 2010, na assembleia anual dos Comissários Internacionais de Proteção de Dados e Privacidade, foi aprovada, por unanimidade, uma resolução reconhecendo a Privacidade desde a Concepção como um componente essencial do direito à proteção de dados pessoais. Em 2012, a Comissão Federal do Comércio dos Estados Unidos da América, reconheceu a técnica como uma de suas três práticas recomendadas para proteger a privacidade online, no relatório intitulado “Protegendo a privacidade do consumidor em uma era de mudanças rápidas – uma validação importante de sua importância” (Protecting Consumer Privacy in an Era of Rapid Change: Recommendations For Businesses and Policymakers). Em 2014, foi incorporada aos planos da Comissão Europeia para unificar a proteção de dados na União Europeia com uma única lei – o RGPD.
Desde 2010, os 7 Princípios Fundamentais da Privacidade desde a Concepção, que foram traduzidos para 31 idiomas oficiais, vêm sendo difundidos internacionalmente. São eles:
- Proativo, não reativo; prevenir, não remediar (Proactive not reactive; preventive not remedial)
Caracteriza-se por medidas proativas em vez de reativas. O item antecipa e previne eventos invasivos de privacidade antes que eles aconteçam. A Proteção desde a Concepção não espera por riscos de privacidade para se materializar, nem oferece remédios para resolver infrações de privacidade uma vez que tenham ocorrido, pois visa evitar que ocorram. Em suma, a privacidade por planejamento vem antes do fato, não depois.
- Privacidade por Padrão (Privacy as the default setting)
A Privacidade desde a Concepção busca entregar o máximo grau de privacidade, garantindo que os dados pessoais sejam protegidos automaticamente, isso é, por padrão em qualquer serviço ou produto oferecido. Nenhuma ação é necessária por parte do indivíduo para proteger sua privacidade, ela é incorporada ao sistema, por padrão.
- Privacidade desde a Concepção (Privacy embedded into design)
A Privacidade desde a Concepção está incorporada no planejamento e na arquitetura dos produtos, serviços e práticas de negócios. O resultado é que a privacidade se torna um componente essencial da funcionalidade principal que está sendo entregue. A privacidade é parte integrante do sistema, sem diminuir a funcionalidade
- Funcionalidade total – soma positiva, não soma zerada (Full functionality—positive-sum, not zero-sum)
Privacidade desde a Concepção procura acomodar todos os interesses e objetivos legítimos em uma soma positiva, onde ambas partes têm proveito (o usuário e o agente de tratamento). Prevê que as trocas aconteçam apenas quando necessárias (soma positiva) e que não sejam realizadas trocas desnecessárias (soma zerada). Evitando a pretensão de falsas dicotomias, como privacidade ou segurança, demonstrando que é possível, e muito mais desejável, ter ambos.
- Segurança Ponta-a-Ponta (End-to-end security—full lifecycle protection)
A privacidade é incorporada ao sistema antes do primeiro elemento de informação ser coletado, estende-se com segurança por todo o ciclo de vida dos dados envolvidos — fortes medidas de segurança são essenciais para a privacidade, do início ao fim. Garantindo que todas informações sejam retidas com segurança e destruídas com segurança no final do processo, em tempo hábil. A Privacidade desde a Concepção garante o gerenciamento sério e seguro ao ciclo de vida das informações, de ponta a ponta.
- Visibilidade e Transparência (Visibility and transparency – keep it open)
Assegura-se a todos os interessados que, seja qual for a prática de negócios ou a tecnologia envolvida, deve operar-se de acordo com as finalidades e objetivos declarados. Questões relativas ao tratamento de dados pessoais permanecem visíveis e transparentes, tanto para usuários quanto para agentes de tratamento. A transparência com o usuário é essencial para estabelecer relação de responsabilidade e confiança.
- Respeito pela privacidade do usuário (Respect for user privacy—keep it user-centric.)
Acima de tudo, exige que os interesses do usuário sejam elevados à nível máximo, oferecendo, entre outras medidas de segurança, fortes padrões de privacidade, avisos apropriados e opções que valorizem sua autodeterminação informativa. Em suma, trata-se de manter o sistema centrado no usuário.
Proteção de dados: o respeito ao titular do início ao fim
Sem dúvida, a preocupação com a proteção de dados deve tornar-se parte integrante dos serviços e produtos, assim como das prioridades organizacionais, objetivos do projeto, processos e operações de planejamento. Devendo ser incorporada em todos os padrões e protocolos que afetem a vida do usuário. Da mesma forma, as operações de negócios e arquiteturas físicas devem demonstrar o mesmo grau de consideração pelo indivíduo.
O respeito à proteção de dados vai além da aplicação dos 7 princípios ou da aplicação das leis que regulam a matéria, mas com certeza esses servem como bons referenciais para o alinhamento às boas práticas diante do tratamento de informações pessoais. O mais importante, não devemos esquecer: qualquer prática deve estar centrada na pessoa humana do início ao fim.
As opiniões e perspectivas retratadas neste artigo pertencem a seu autor e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.
Ilustração de capa adaptada do Storyset
Escrito por
Juliana Roman (Ver todos os posts desta autoria)
Líder de pesquisa em proteção de dados pessoais e pesquisadora no Instituto de Referência em Internet e Sociedade (IRIS). Mestre em Direito pelo Programa de Pós-Graduação da Universidade Federal do Rio Grande do Sul (UFRGS 2022), vinculado ao Centro de Estudos Europeus e Alemães (CDEA). Realizou pesquisa de campo em Amsterdam, Holanda, durante o Mestrado para fundamentar estudo comparado realizado na dissertação. Especialização em Direito do Consumidor pelo Centro de Direito do Consumo (CDC) da Faculdade de Direito da Universidade de Coimbra (UC 2021). Pós-graduação (lato sensu) em Direito Digital na Fundação Escola Superior do Ministério Público (FMP 2021). Graduada em Direito pela Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS 2019). Colaboradora no projeto de pesquisa “Proteção de Dados Pessoais nas Américas”, idealizado em parceria pelo Grupo de Pesquisa CNPq “Observatórios da Lei Geral de Proteção de Dados e do Marco Civil da Internet”, vinculado a Universidade de São Paulo (USP), e pelo Grupo de Pesquisa CNPq “Mercosul, Direito do Consumidor e Globalização”, vinculado a UFRGS. Realizou período de mobilidade internacional na Universidad Internacional de Cataluña, Barcelona, Espanha (UIC 2017). Durante a graduação, realizou período de estudo de língua estrangeira em Vancouver, Canadá. Foi bolsista de iniciação científica do Programa de Bolsa Pesquisa – BPA (PUCRS 2016-2018). Prestou serviços de assessoria jurídica voluntária no Serviço de Assessoria Jurídica Universitária (SAJU UFRGS) – Direito do Consumidor (G7) – durante os anos de 2019 e 2022. Atua e pesquisa nas áreas de proteção de dados pessoais e privacidade, Direito da Informática, criptografia, Tecnologias da Informação e Comunicação (TICs) e Direito do Consumidor.