A proteção de dados não pode ser tratada como um adendo corretivo; ela deve ser a base de qualquer inovação. O conceito de Privacy by Design (Privacidade desde a Concepção) garante que a privacidade e a proteção de dados sejam incorporadas na fase de concepção de qualquer sistema, serviço, produto ou processo.
No Brasil, essa prática é um requisito legal. O artigo 46, § 2º da Lei Geral de Proteção de Dados (LGPD) estabelece que as medidas de segurança, técnicas e administrativas devem ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
Este artigo visa orientar equipes de projetos, desenvolvedores, gestores de negócios e Encarregados de Dados (DPOs) na aplicação prática do Privacy by Design e do Privacy by Default (Privacidade por Padrão) em novas soluções.
Vamos trazer aqui os 7 princípios fundamentais do Privacy by Design definidos por Ann Cavoukian, criadora deste conceito nos anos 1990 e influenciou a regulamentação do GPDR (norma Europeia de Proteção de Dados)
1. Os 7 Princípios Fundamentais (Framework de Ann Cavoukian)
Para aplicar o Privacy by Design em qualquer produto ou serviço, a equipe responsável deve garantir que o projeto atenda aos 7 princípios fundamentais criados por Ann Cavoukian:
1. Proativo, não reativo, preventivo, não corretivo: O projeto deve antecipar problemas e riscos de privacidade antes que eles aconteçam, em vez de esperar que violações ocorram para então agir.
2. Privacidade como configuração padrão (Privacy by Default): O sistema deve proteger os dados pessoais automaticamente. Se o usuário não fizer nada, sua privacidade ainda assim deve permanecer intacta e protegida.
3. Privacidade incorporada no design: A proteção de dados deve fazer parte das funções principais do sistema, tornando-se parte integrante da arquitetura, e não um “puxadinho” adicionado depois.
4. Funcionalidade total (Soma positiva, não soma zero): O produto não deve sacrificar a segurança em prol da privacidade, ou vice-versa. É perfeitamente possível (e necessário) ter total funcionalidade operacional aliada à segurança e à privacidade.
5. Segurança de ponta a ponta (Ciclo de vida total): As medidas de segurança devem acompanhar o dado pessoal desde a sua coleta inicial até o seu descarte ou destruição segura no final do processo.
6. Visibilidade e transparência: As operações de negócio e a tecnologia devem operar de acordo com o prometido. O titular deve saber quais dados são processados e com qual finalidade.
7. Respeito pela privacidade do usuário: O design deve ser centrado no usuário, oferecendo padrões fortes de privacidade, controles fáceis de usar e avisos apropriados.
2. Estratégias Práticas de Engenharia e Design
Ao desenhar uma nova solução, aplique as seguintes táticas práticas recomendadas por guias internacionais de privacidade desde a concepção:
Minimizar: Limite o tratamento de dados pessoais tanto quanto possível. Colete apenas os dados estritamente necessários para a finalidade do produto.
Ocultar: Evite que dados pessoais sejam divulgados ou tornados públicos indevidamente. Utilize técnicas como criptografia, anonimização e pseudonimização.
Separar: Mantenha conjuntos de dados separados ou segregados lógica e fisicamente para dificultar a identificação cruzada em caso de vazamento.
Abstrair: Limite o nível de detalhe utilizado no tratamento (ex: ao invés de coletar a data de nascimento exata em um aplicativo, colete apenas a faixa etária, se isso for suficiente para o negócio).
Informar: Mantenha os titulares informados sobre a natureza e as condições de tratamento dos dados de forma clara e acessível.
Controlar: Proporcione aos titulares controle efetivo sobre seus dados pessoais, como gestão de preferências e consentimento.
3. Passos para Implementação Corporativa
Para que um novo produto ou serviço nasça adequado à LGPD, a organização deve seguir um fluxo de avaliação contínua:
A. Política e Metodologia
Estabeleça uma norma corporativa interna sobre Privacy by Design para que todos os desenvolvedores e gestores de projetos saibam das regras.
Crie uma metodologia de avaliação obrigatória para o lançamento de novos produtos. O uso da ferramenta Privacy Impact Assessment (PIA) / Relatório de Impacto à Proteção de Dados (RIPD) É altamente recomendado para minimizar e eliminar riscos às informações pessoais durante o processamento de novos projetos.
B. Alinhamento de Fluxos
Alinhe o fluxo de desenvolvimento do produto com as áreas pertinentes: negócios, projetos, segurança da informação, auditoria, jurídico e marketing. A privacidade não é um dever apenas da TI.
C. Aculturamento (Treinamento)
A capacitação das equipes que criam o produto é vital. Conscientize os colaboradores, pois a grande maioria dos incidentes de segurança cibernética (cerca de 95%) é causada por erro humano. A adoção da privacidade exige o desenvolvimento de uma cultura de “consciência sobre a privacidade” em toda a organização.
D. Demonstração (Accountability)
Documente e evidencie todas as avaliações de impacto e as decisões tomadas em prol da privacidade durante a criação do produto. Ser capaz de demonstrar que o tratamento de dados está sendo feito de forma adequada (Princípio da Responsabilização e Prestação de Contas) é uma exigência legal.
Conclusão
A aplicação do Privacy by Design e do Privacy by Default no desenvolvimento de produtos, serviços e soluções vai além do mero cumprimento legal da LGPD. Ela representa uma estratégia inteligente de negócios que gera redução de custos com reparação de violações, prevenção de incidentes de segurança e significativos ganhos reputacionais e financeiros junto a consumidores e parceiros de mercado. Integrar a privacidade no DNA do seu produto é garantir inovação sustentável e confiável.
