Privacy by Design
Com a aprovação da General Data Protection Regulation (GDPR), foram criados dois princípios basilares na produção de software, aplicativos e serviços digitais no contexto da proteção de dados. São eles o Privacy by Design e Privacy by Defult.
Apesar da semelhança e do segundo ser decorrência do primeiro, eles são diferentes e entender esses conceitos é crucial na governança de dados que se busca também na Lei Geral de Proteção de Dados
A ideia do Privacy by Design é colocar a privacidade dos dados no centro da atividade de desenvolvimento de software. É desde o planejamento, como etapa inicial de qualquer projeto, buscar recursos e técnicas para a efetiva segurança dos dados.
Assim, a segurança passa a ser requisito não-funcional obrigatório e a privacidade deve ser preventiva, se antecipando aos riscos e desenvolvendo soluções que os impeçam de acontecer.
O Privacy By Defult, por sua vez pode ser entendido como um princípio derivado do Privacy by Design e que estabelece que, para se ter a privacidade garantida, não deve ser necessário ao usuário alterar alguma configuração no serviço. A salvaguarda dos dados deve ser o padrão dentro do sistema.
Os pilares na LGPD
Para que empresas e usuários possam entender e incorporar as ideias do privacy by design, devem ser levados em conta os 7 pilares que o formam segundo este artigo da Ostec.
1) Ser proativo e não reativo — Prevenir e não remediar
Deve-se sempre prever e antecipar eventos que possam comprometer a privacidade do usuário. Dessa forma é necessário monitoramento constante, análise de riscos e desenvolvimento de correções sempre que alguma possível falha seja identificada, tomando precauções para evitar que a mesma ocorra.
2) Privacidade por padrão (privacy by default)
A configuração padrão de qualquer serviço disponibilizado ao usuário, deve proporcionar a máxima proteção ao usuário. Ele não deve precisar ajustar nenhuma configuração para garantir sua privacidade.
Um exemplo simples de aplicação prática deste princípio pode ser a opção de compartilhamento de localização de seu smartphone. Para estar de acordo com este princípio, ele deveria, por padrão, vir configurado para não realizar este compartilhamento de nenhuma maneira.
3) Privacidade incorporada ao projeto
A privacidade não deve ser vista como um adicional ao projeto. Ela é parte indissociável da solução desenvolvida, pensada desde sua concepção.
4) Funcionalidade total — “Soma-positiva” ao invés de soma-zero
Um jogo de soma-positiva é aquele em que todos ganham, diferente do jogo de soma-zero, onde para um ganhar, outro precisa perder.
Para a metodologia de privacy by design a proteção de dados deve estar em consonância com os interesses e objetivos de quem utiliza estas informações. Dessa forma, não deve haver, por exemplo, uma vantagem ou funcionalidade extra para quem altera alguma configuração de privacidade. Todas as funcionalidades devem estar completas e protegidas.
5) Segurança de ponta a ponta — Proteção durante todo o ciclo de vida da informação
Todos os dados devem estar seguros desde sua coleta até sua destruição ou o compartilhamento com um terceiro. Dados pessoais não podem ser esquecidos em dispositivos antigos ou banco de dados inutilizados. Muito menos deve-se permitir que sejam acessados por terceiros sem autorização.
6) Visibilidade e transparência
Deve-se sempre permitir que o titular do dado saiba para qual fim suas informações estão sendo coletadas, quem tem acesso a elas e até mesmo ter a possibilidade de que entidades independentes possam realizar auditorias para certificar-se que as informações estão sendo protegidas.
7) Respeito pela privacidade do usuário — Solução centrada no usuário
Este é um dos preceitos básicos do privacy by design. Toda a arquitetura e operacionalidade do sistema ou da prática de negócio devem ser centradas na privacidade do usuário, pensando sempre na proteção completa dos seus dados.
Conclusão
Embora não haja uma previsão expressa do princípio na legislação brasileira, os pilares que o compõe estão todos presentes dentro da Lei Geral de Proteção de Dados.
O que podemos constatar é que o privacy by design é como uma fonte de inspiração para que empresas incorporarem a privacidade entre seus valores e passem a efetivamente implementá-la como um compromisso com a ética e a transparência.
