O privacy by design é um conceito que começou a aparecer bastante recentemente, inclusive no compliance. Apesar de ser originalmente pensado para setores da tecnologia, se tornou muito importante para quem trabalha com regulamentação.
Isso porque a General Data Protection Regulation (GDPR), que originou a LGPD, menciona a estratégia nominalmente e explica a importância dela para a proteção de dados pessoais.
O privacy by design é uma abordagem à engenharia de sistemas que, basicamente, diz que um produto ou sistema precisa ser pensado para proteger os dados dos usuários desde sua concepção.
Ou seja, o sistema teria que ser criado já pensando em salvaguardas e funcionalidades para proteger os dados.
Para que isso seja feito de forma padronizada e para guiar os engenheiros de sistemas, existem os pilares do privacy by design:
O privacy by design tem a ver com a LGPD porque tem a ver com a GDPR. Na lei brasileira, não é citado o conceito nominalmente, mas as referências diretas aos princípios são perceptíveis.
Já na lei europeia, no Artigo 25 intitulado “Data protection by design and by default” é dito que:
“O controlador deve, tanto no momento da determinação dos meios de processamento quanto no próprio processamento, implementar medidas técnicas e organizacionais apropriadas […] para implementar princípios de proteção de dados […] de maneira eficaz e integrar as salvaguardas necessárias ao processamento”.
Ou seja, mesmo que não dito explicitamente na nossa lei, fica bem detalhado os processos e princípios como obrigação das empresas.
Além disso, como a GDPR é mais abrangente, é uma boa prática se basear principalmente nela para implantação de programas de compliance de privacidade de dados.
No entanto, é importante lembrar que a LGPD tem suas particularidades, e empresas precisam conhecer bem ela também.
Por enquanto, o que vimos é principalmente relacionada à concepção de produtos e sistemas. Por exemplo, que o sistema da empresa apague completamente dados automaticamente, encerrando seu ciclo de vida.
O que ainda acontece em muitos casos é que os dados são armazenados pela empresa após o tratamento inicial. Podem até chegar a serem utilizados novamente para outro fim no futuro.
Com as novas leis isso é ilegal, visto que o titular precisa autorizar os diferentes fins que terão esses dados.
Mas o profissional de compliance ainda terá muito trabalho, não só os profissionais de TI. São 4 principais funções para o compliance com a LGPD e o privacy by design:
Primeiramente, nenhum funcionário deverá conhecer melhor as leis sobre privacidade de dados que o profissional de compliance.
Esse conhecimento profundo sobre o que a empresa precisa e pode fazer é o que servirá para guiar os outros setores a implementarem seus processos.
Por isso, uma função do compliance será acompanhar de perto a implementação de todas as normas previstas nas leis sobre proteção de dados com a ajuda do DPO.
Outra atribuição do profissional de compliance sobre privacy by design é assegurar que o conceito esteja bem comunicado dentro da empresa. Isso inclui campanhas internas, como também treinamentos periódicos e políticas e processos bem compreendidos pelos funcionários.
Outra responsabilidade do compliance é fazer o monitoramento desses processos e das campanhas implementadas. Isso também pode ser feito com o acompanhamento do DPO, dependendo da empresa.
A última responsabilidade do compliance é produzir evidências do seu programa de compliance de dados. Ou seja, estar preparado para mostrar a autoridades fiscalizadores os dados que mostram que a empresa tem se esforçado para estar em compliance.
Em ambas as leis (LGPD e GDPR) e nos princípios do privacy by design é deixado explícito que é dever da empresa fornecer dados que comprovem seus esforços em mitigar os riscos relacionados à privacidade de dados.
