Dados pessoais e o anglicismo no Brasil: afinal, o que é privacy by design e privacy by default?

Este texto pretende desmistificar alguns dos anglicismos utilizados, frequentemente, quando o tema da proteção de dados está em pauta. Apesar do Brasil ser um país continental, com cerca de 214 milhões de habitantes, leia-se, uma enorme quantidade de falantes nativos de língua portuguesa, é muito comum encontrar termos de língua inglesa incorporados ao vocabulário técnico da área.

Para começar a tratar sobre o assunto, quero perguntar se você conhece aquela frase clássica “diga-me com quem tu andas que eu direi quem tu és?”. Pois então, acredito que sim, né!? Não que eu acredite muito nela, mas vou utilizá-la para fazer uma analogia e abordar a temática do texto.

Quando nos referimos à coleta de dados pessoais na internet, poderíamos transformar essa frase em “diga-me o que acessas que eu direi quem tu és”. Isso porque diversas organizações, tanto de âmbito público quanto privado, tratam dados pessoais e, por vezes, a coleta das informações se dá a partir do acesso do usuário a determinado sítio online. Privacy by design e privacy by default têm sido apontadas como elementos positivos diante do respeito à autodeterminação informativa do usuário, preservando a proteção de suas informações e sua privacidade. Continue a leitura e descubra quais os seus significados!

Dados pessoais como matéria-prima 

De acordo com o relatório divulgado pela ONU, em 2019, intitulado “a era da interdependência digital” (The Age of Digital Interdependence), a sociedade atual está mais conectada do que nunca, como resultado das tecnologias da informação e comunicação (TICs). No entanto, de acordo com o documento, ao mesmo tempo, existe a constatação de que a comunidade global está enfrentando dificuldades para gerenciar os impactos econômicos, sociais, culturais e políticos das transformações digitais. 

Diante dessa realidade conectada, importa mencionar a tamanha importância dos dados pessoais, já que as informações relacionadas ou relacionáveis às pessoas naturais são consideradas, nas últimas décadas, como matéria-prima crucial da economia global. Eis uma das razões pelas quais a proteção de dados tornou-se preocupação relevante dos indivíduos, governos e do setor privado.  

A importância do tratamento de dados pessoais para o desenvolvimento econômico e para a prestação de serviços, privados e públicos, acarreta na utilização crescente de informações pessoais para diversos tipos de atividades. Importa ressaltar que a sua utilização não é o problema em si, no entanto é imprescindível que haja limite a essa coleta, processamento e armazenamento. O tratamento de dados pessoais deve ser balizado pelos direitos humanos, conferindo proteção e segurança ao titular.

Vale pontuar que designar ao usuário que, por si próprio, tenha controle de todos os dados que disponibiliza é uma tarefa, praticamente, impossível. Isso acontece porque existem muitas entidades coletando, compartilhando e utilizando dados pessoais, o que torna muito difícil que as pessoas gerenciem suas próprias informações disponibilizadas. Além disso, muitos dos danos advindos do tratamento indevido de dados pessoais são o resultado de processos de longo período de tempo, onde diferentes entidades podem estar inseridas.“ 

No Brasil, a proteção de dados pessoais está estruturada em legislação específica. A partir da Lei nº 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados (LGPD), o país passou a ter normas específicas sobre o tratamento de dados pessoais. Como fator externo e acelerador da LGPD, está a aprovação, no dia 25 de maio de 2018, do Regulamento Geral sobre Proteção de Dados (RGPD). O Regulamento 2016/679 trata de regras relativas à proteção das pessoas naturais no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e  revogou a Diretiva 95/46/CE.

As normas aplicadas à proteção de dados no contexto normativo: União Europeia e Brasil

No cenário brasileiro faz referência a algumas medidas que devem ser tomadas pelos agentes de tratamento em relação à fase de concepção e execução do produto ou serviço diante da proteção dos dados. Conforme o capítulo VII, intitulado “Da segurança e do Sigilo de Dados”, no art. 46:

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

• 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.
• 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

No contexto da União Europeia, o RGPD introduziu, expressamente, os conceitos. No capítulo IV, “Responsável pelo tratamento e subcontratante”, o tema é abordado no artigo 25, intitulado “Proteção de dados desde a concepção e por defeito”:

Artigo 25. Proteção de dados desde a conceção e por defeito

1. Tendo em conta as técnicas mais avançadas, os custos da sua aplicação, e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do presente regulamento e proteja os direitos dos titulares dos dados.

2. O responsável pelo tratamento aplica medidas técnicas e organizativas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento. Essa obrigação aplica-se à quantidade de dados pessoais recolhidos, à extensão do seu tratamento, ao seu prazo de conservação e à sua acessibilidade. Em especial, essas medidas asseguram que, por defeito, os dados pessoais não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas singulares.

Vale ressaltar, ainda, que na Diretiva 95/46/CE, diploma legal que tratava da proteção de dados na União Europeia antes do RGPD, o tema era abordado no considerando 46. Conforme a redação do dispositivo:

(46) Considerando que a protecção dos direitos e liberdades das pessoas em causa relativamente ao tratamento de dados pessoais exige que sejam tomadas medidas técnicas e organizacionais adequadas tanto aquando da concepção do sistema de tratamento como da realização do próprio tratamento, a fim de manter em especial a segurança e impedir assim qualquer tratamento não autorizado; que compete aos Estados-membros zelar por que os responsáveis pelo tratamento respeitem estas medidas; que estas medidas devem assegurar um nível de segurança adequado, atendendo aos conhecimentos técnicos disponíveis e ao custo da sua aplicação em função dos riscos que o tratamento implica e a natureza dos dados a proteger.

Privacidade do usuário como prioridade: Privacy by Design e Privacy by Default

No ambiente online, apenas uma pequena porcentagem dos usuários de sítios e aplicações online alteraram os padrões pré-estabelecidos de privacidade. Por si só, isso já demonstra suficiente para entender-se que essa não é a maneira adequada para que as pessoas tenham suas informações protegidas. 

O conceito de Privacidade desde a Concepção foi desenvolvido, em meados dos anos 90, pela Comissária de Informação e Privacidade de Ontário, Canadá, Dra. Ann Cavoukian. A autora defende que o futuro da privacidade não podia ser assegurado apenas pela conformidade com a legislação e estruturas regulatórias e que, ao invés disso, a garantia de privacidade deveria se tornar o modo de operação padrão das organizações. Sendo assim, a preocupação com a privacidade deveria vir antes de qualquer eventual problema que acontecesse devido a sua falta. 

A ideia de que as empresas apliquem a técnica de Privacidade desde a Concepção, envolve o desenvolvimento de projetos internos, de produtos e serviços e também que o planejamento estratégico estejam alinhados com a ideia de privacidade. Em particular, está refletida na exigência de que os agentes de tratamento, projetem suas ofertas de maneira minimizadora no que diz respeito às informações pessoais.

A Privacidade por Padrão significa que um produto ou serviço, ao ser lançado no mercado, deve vir com as configurações de privacidade no modo mais restrito possível por padrão, e que, caso julgue necessário, o usuário deve liberar acesso à coleta de mais informações. No entanto, a maioria das empresas fazem justamente o contrário, ou seja, coletam o máximo de informações possíveis por padrão, permitindo que o usuário desative a coleta de dados. 

A Privacidade por Padrão é um dos princípios apresentados pela Privacidade desde a Concepção, a qual significa que todas as etapas do processo de desenvolvimento de um produto ou serviço de uma empresa devem ter a privacidade em primeiro lugar. Ou seja, o conceito de privacidade deve estar totalmente embutido no projeto, não se aplicando apenas às iniciativas onde a privacidade é discutida somente na fase final. 

Os 7 princípios da Privacidade desde a Concepção: 

Em 2010, na assembleia anual dos Comissários Internacionais de Proteção de Dados e Privacidade, foi aprovada, por unanimidade, uma resolução reconhecendo a Privacidade desde a Concepção como um componente essencial do direito à proteção de dados pessoais. Em 2012, a Comissão Federal do Comércio dos Estados Unidos da América, reconheceu a técnica como uma de suas três práticas recomendadas para proteger a privacidade online, no relatório intitulado “Protegendo a privacidade do consumidor em uma era de mudanças rápidas – uma validação importante de sua importância” (Protecting Consumer Privacy in an Era of Rapid Change: Recommendations For Businesses and Policymakers). Em 2014, foi incorporada aos planos da Comissão Europeia para unificar a proteção de dados na União Europeia com uma única lei – o RGPD. 

Desde 2010, os 7 Princípios Fundamentais da Privacidade desde a Concepção, que foram traduzidos para 31 idiomas oficiais, vêm sendo difundidos internacionalmente. São eles:

1. Proativo, não reativo; prevenir, não remediar (Proactive not reactive; preventive not remedial)

Caracteriza-se por medidas proativas em vez de reativas. O item antecipa e previne eventos invasivos de privacidade antes que eles aconteçam. A Proteção desde a Concepção não espera por riscos de privacidade para se materializar, nem oferece remédios para resolver infrações de privacidade uma vez que tenham ocorrido, pois visa evitar que ocorram. Em suma, a privacidade por planejamento vem antes do fato, não depois.

2. Privacidade por Padrão (Privacy as the default setting)

A Privacidade desde a Concepção busca entregar o máximo grau de privacidade, garantindo que os dados pessoais sejam protegidos automaticamente, isso é, por padrão em qualquer serviço ou produto oferecido. Nenhuma ação é necessária por parte do indivíduo para proteger sua privacidade, ela é incorporada ao sistema, por padrão.

3. Privacidade desde a Concepção (Privacy embedded into design)

A Privacidade desde a Concepção está incorporada no planejamento e na arquitetura dos produtos, serviços e práticas de negócios. O resultado é que a privacidade se torna um componente essencial da funcionalidade principal que está sendo entregue. A privacidade é parte integrante do sistema, sem diminuir a funcionalidade

4. Funcionalidade total – soma positiva, não soma zerada (Full functionality—positive-sum, not zero-sum)

Privacidade desde a Concepção procura acomodar todos os interesses e objetivos legítimos em uma soma positiva, onde ambas partes têm proveito (o usuário e o agente de tratamento). Prevê que as trocas aconteçam apenas quando necessárias (soma positiva) e que não sejam realizadas trocas desnecessárias (soma zerada). Evitando a pretensão de falsas dicotomias, como privacidade ou segurança, demonstrando que é possível, e muito mais desejável, ter ambos.

5. Segurança Ponta-a-Ponta (End-to-end security—full lifecycle protection)

A privacidade é incorporada ao sistema antes do primeiro elemento de informação ser coletado, estende-se com segurança por todo o ciclo de vida dos dados envolvidos — fortes medidas de segurança são essenciais para a privacidade, do início ao fim. Garantindo que todas informações sejam retidas com segurança e destruídas com segurança no final do processo, em tempo hábil. A Privacidade desde a Concepção garante o gerenciamento sério e seguro ao ciclo de vida das informações, de ponta a ponta.

6. Visibilidade e Transparência (Visibility and transparency – keep it open)

Assegura-se a todos os interessados ​​que, seja qual for a prática de negócios ou a tecnologia envolvida, deve operar-se de acordo com as finalidades e objetivos declarados. Questões relativas ao tratamento de dados pessoais permanecem visíveis e transparentes, tanto para usuários quanto para agentes de tratamento. A transparência com o usuário é essencial para estabelecer relação de responsabilidade e confiança. 

7. Respeito pela privacidade do usuário (Respect for user privacy—keep it user-centric.)

Acima de tudo, exige que os interesses do usuário sejam elevados à nível máximo, oferecendo, entre outras medidas de segurança, fortes padrões de privacidade, avisos apropriados e opções que valorizem sua autodeterminação informativa. Em suma, trata-se de manter o sistema centrado no usuário.

Proteção de dados: o respeito ao titular do início ao fim

Sem dúvida, a preocupação com a proteção de dados deve tornar-se parte integrante dos serviços e produtos, assim como das prioridades organizacionais, objetivos do projeto, processos e operações de planejamento. Devendo ser incorporada em todos os padrões e protocolos que afetem a vida do usuário. Da mesma forma, as operações de negócios e arquiteturas físicas devem demonstrar o mesmo grau de consideração pelo indivíduo.

O respeito à proteção de dados vai além da aplicação dos 7 princípios ou da aplicação das leis que regulam a matéria, mas com certeza esses servem como bons referenciais para o alinhamento às boas práticas diante do tratamento de informações pessoais. O mais importante, não devemos esquecer: qualquer prática deve estar centrada na pessoa humana do início ao fim.

As opiniões e perspectivas retratadas neste artigo pertencem a seu autor e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.
Ilustração de capa adaptada do Storyset