Privacy by design e a LGPD

O privacy by design é um conceito que começou a aparecer bastante recentemente, inclusive no compliance. Apesar de ser originalmente pensado para setores da tecnologia, se tornou muito importante para quem trabalha com regulamentação.

Isso porque a General Data Protection Regulation (GDPR), que originou a LGPD, menciona a estratégia nominalmente e explica a importância dela para a proteção de dados pessoais.

O que é privacy by design?

O privacy by design é uma abordagem à engenharia de sistemas que, basicamente, diz que um produto ou sistema precisa ser pensado para proteger os dados dos usuários desde sua concepção.

Ou seja, o sistema teria que ser criado já pensando em salvaguardas e funcionalidades para proteger os dados.

Para que isso seja feito de forma padronizada e para guiar os engenheiros de sistemas, existem os pilares do privacy by design:

• Proativo não reativo; preventiva não corretiva: No privacy by design, não existe a reação a problemas de privacidade e sim a antecipação dos problemas. Também conta com monitoração para identificar riscos e constantemente criar soluções antecipadamente;
• Privacidade incorporada ao design: O usuário terá o controle para alterar as configurações padrão e optar por fornecer ou não seus dados sem perder o acesso ao produto ou serviço;
• Funcionalidade completa: O produto ou serviço deve ser plenamente utilizável se o usuário não alterar as configurações de privacidade. Não pode haver vantagem ao usuário caso altere a configuração de privacidade.
• Segurança de ponta a ponta: Quando o usuário autorizar a coleta de algum dado, o tratamento deve ser de forma segura durante todo o ciclo de vida do dado;
• Visibilidade e transparência: O produto ou sistema precisa, obrigatoriamente, ser facilmente auditável por terceiros, como organizações de fiscalização. É preciso que a empresa tenha forma de apresentar evidências de seus esforços em proteger os dados pessoais;
• Respeito pela privacidade do usuário: Devem ser estabelecidas diretrizes de segurança da informação que assegurem: confidencialidade, integridade e disponibilidade dos dados e informações durante todo o ciclo de vida;
• Privacidade como configuração padrão (Privacy by Default): Essa é uma garantia dentro do desenho da privacidade.

O que tem a ver com a LGPD?

O privacy by design tem a ver com a LGPD porque tem a ver com a GDPR. Na lei brasileira, não é citado o conceito nominalmente, mas as referências diretas aos princípios são perceptíveis.

Já na lei europeia, no Artigo 25 intitulado “Data protection by design and by default” é dito que:

“O controlador deve, tanto no momento da determinação dos meios de processamento quanto no próprio processamento, implementar medidas técnicas e organizacionais apropriadas […] para implementar princípios de proteção de dados […] de maneira eficaz e integrar as salvaguardas necessárias ao processamento”.

Ou seja, mesmo que não dito explicitamente na nossa lei, fica bem detalhado os processos e princípios como obrigação das empresas.

Além disso, como a GDPR é mais abrangente, é uma boa prática se basear principalmente nela para implantação de programas de compliance de privacidade de dados.

No entanto, é importante lembrar que a LGPD tem suas particularidades, e empresas precisam conhecer bem ela também.

Qual o dever do profissional de compliance?

Por enquanto, o que vimos é principalmente relacionada à concepção de produtos e sistemas. Por exemplo, que o sistema da empresa apague completamente dados automaticamente, encerrando seu ciclo de vida.

O que ainda acontece em muitos casos é que os dados são armazenados pela empresa após o tratamento inicial. Podem até chegar a serem utilizados novamente para outro fim no futuro.

Com as novas leis isso é ilegal, visto que o titular precisa autorizar os diferentes fins que terão esses dados.

Mas o profissional de compliance ainda terá muito trabalho, não só os profissionais de TI. São 4 principais funções para o compliance com a LGPD e o privacy by design:

• Guiar a empresa com seu conhecimento sobre as leis
• Comunicar sobre o tema
• Monitoramento
• Produzir evidências

Guiar a empresa com seu conhecimento sobre as leis

Primeiramente, nenhum funcionário deverá conhecer melhor as leis sobre privacidade de dados que o profissional de compliance.

Esse conhecimento profundo sobre o que a empresa precisa e pode fazer é o que servirá para guiar os outros setores a implementarem seus processos.

Por isso, uma função do compliance será acompanhar de perto a implementação de todas as normas previstas nas leis sobre proteção de dados com a ajuda do DPO.

Comunicar sobre o tema

Outra atribuição do profissional de compliance sobre privacy by design é assegurar que o conceito esteja bem comunicado dentro da empresa. Isso inclui campanhas internas, como também treinamentos periódicos e políticas e processos bem compreendidos pelos funcionários.

Monitoramento

Outra responsabilidade do compliance é fazer o monitoramento desses processos e das campanhas implementadas. Isso também pode ser feito com o acompanhamento do DPO, dependendo da empresa.

Produzir evidências

A última responsabilidade do compliance é produzir evidências do seu programa de compliance de dados. Ou seja, estar preparado para mostrar a autoridades fiscalizadores os dados que mostram que a empresa tem se esforçado para estar em compliance.

Em ambas as leis (LGPD e GDPR) e nos princípios do privacy by design é deixado explícito que é dever da empresa fornecer dados que comprovem seus esforços em mitigar os riscos relacionados à privacidade de dados.