Data Protection Officer (Encarregado) - Ed. 2020

Data Protection By Design e Data Protection By Default

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Caio César Carvalho Lima 1

Introdução

Em primeiro lugar, devemos entender o conceito de Data Protection by Design (DPbD – em português, traduziremos para Proteção de Dados desde a Concepção), o qual foi cunhado incialmente por Ann Cavoukian, Comissária de Proteção de Dados de Ontário, entre os anos de 1997 e 2014 – como será visto mais à frente, no item 1 deste artigo, Cavoukian estipulou 7 princípios que devem ser observados, a fim de que se alcance o DPbD na prática.

Tal conceito traz a necessidade de que os controladores incorporem a proteção à privacidade aos produtos e serviços, em todo o seu ciclo de vida (contemplando, desde o momento inicial de coleta dos dados, passando pelo uso, armazenamento, compartilhamento e incluindo o momento final, de exclusão desses dados pessoais), alcançando real e efetiva governança acerca dessa questão, por meio da implementação de medidas apropriadas para alcançar o atendimento de todos os princípios da lei e atender aos direitos dos titulares, garantindo a segurança dos dados.

Para que tal se faça possível, a organização como um todo deve estar comprometida com essa questão (incluindo o alto corpo diretivo), bem como devem ser estipuladas as responsabilidades de todos os que terão contato com dados pessoais, mediante políticas e processos realmente implantados na estrutura de governança da companhia, havendo indicadores em Guidelines do European Data Protection Board (EDPB) 2 , por meio dos quais seja possível identificar o atendimento (ou não) das obrigações.

Em síntese, o ponto principal é realmente integrar questões de privacidade à governança das companhias, não sendo suficiente tratar o tema como mera questão secundária.

Já o Data Protection by Default (DPbDf – em português, traduziremos para Proteção de Dados como Padrão 3 ), conceito surgido como consequência do DPbD 4 , leva em conta a necessidade de as organizações, por padrão e independentemente de qualquer atitude dos titulares de dados, garantirem que os dados pessoais serão tratados da forma mais restrita possível, aplicando, na prática, todos os estudos que foram feitos no momento de desenho do produto ou serviço. Assim, por exemplo, apenas os mínimos dados para alcançar determinada finalidade deverão ser utilizados, limitando o período de armazenamento ao mínimo necessário, por padrão, sendo certo que apenas quem realmente precise ter acesso aos dados deverá conseguir fazê-lo, entre outras disposições correlatas.

Ambos os conceitos (DPbDD – Data Protection by Design and by Default) foram incorporados ao Regulamento Geral de Proteção de Dados Europeu (GDPR – General Data Protection Regulation), em seu artigo 25, por meio do qual se consegue constatar a necessidade de que os controladores implementem as lições de privacidade e proteção de dados, desde os momentos iniciais de idealização de novos produtos e serviços, entregando-os por padrão, atendendo a essas disposições que foram identificadas no momento de concepção, razão pela qual ambos os conceitos estão diretamente inter-relacionados.

Por meio da leitura da Consideranda 78 e do artigo 28 do GDPR, extrai-se que os operadores e demais fornecedores que tratarem dados pessoais também devem observar essas disposições, devendo ser encorajados pelo controlador para que igualmente atentem para essas disposições, sob pena de não poder haver o compartilhamento de dados com aqueles que não demonstrarem conformidade com a legislação.

Em relação à LGPD, subsiste alguma dúvida acerca da existência do DPbD e do DPbDf em nossa Lei, havendo entendimentos contrários e favoráveis. Particularmente, entendemos que, no § 2º do artigo 46, houve a inclusão de ambos os princípios:

(...)

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

(...)

§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

O DPbD está previsto especificamente no momento em que afirma que as medidas de segurança, técnicas e administrativas para proteger os dados pessoais devem ser observadas “desde a fase de concepção”; já o DPbDf tem previsão no momento em que há direcionamento à sua garantia “até a fase de execução” dos produtos ou serviços.

Considerados esses aspectos introdutórios, passamos adiante a observar com maior detalhe o que diz respeito ao Data Protection by Design, endereçando os seus 7 Princípios Fundacionais à luz da doutrina de Ann Cavoukian:

1.Os 7 Princípios do Data Protection by Design estipulados por Ann Cavoukian

Devido à relevância da pesquisadora, especialmente no que concerne ao estudo do tema em referência, trazemos rápida síntese dos 7 princípios fundacionais desenhados por Ann Cavoukian, conforme disponibilização em seu marco teórico acerca do tema, já anteriormente referenciado. Como será possível observar, em alguns momentos, os princípios parecem se sobrepor, razão pela qual podem ser identificadas interseções entre eles.

1.1.Proatividade, não Reatividade; Prevenir, não remediar

Em linhas gerais, a fim de que se alcance efetivamente o DPbD, os sistemas devem ser concebidos de modo a antecipar ameaças que possam ser trazidas a ele, já havendo previsibilidade do que se deve levar a efeito, com a finalidade de mitigar as consequências negativas que possam advir de incidentes.

Para que tal objetivo se faça possível, fundamental que seja criada uma cultura de proteção de dados dentro da corporação, o que, em se tratando do nosso país, levará tempo até que se alcance efetivamente, diante da baixa compreensão da população em geral.

1.2.Privacidade como padrão

Cavoukian também destaca que não seria suficiente ter identificado os pontos que devem ser efetivamente atendidos, em decorrência da legislação de privacidade, se o usuário necessitasse de complexas configurações, a fim de conseguir alcançá-las.

Por isso, os produtos e serviços já devem ser entregues aos usuários, por padrão, com as configurações em pleno atendimento à legislação de privacidade, não demandando esforço do usuário para tanto.

O atendimento a esse ponto, na prática, representa extenso levantamento da legislação aplicável, entendendo os princípios a serem seguidos, bem como todos os direitos dos titulares, estabelecendo metodologia para pleno atendimento dos pontos relevantes.

1.3.Privacidade como parte indissociável ao desenvolvimento

Por meio desse princípio, a intenção é garantir que a privacidade efetivamente fará parte de toda a prática empresarial, sendo incorporado integralmente em todos os produtos e serviços.

Assim, importante que a companhia documente todos esses aspectos, de modo a deixar claro os procedimentos que devem ser seguidos, sendo também capaz de demonstrar para autoridades todos os procedimentos, caso isso venha a ser solicitado.

1.4.Funcionalidades integrais: “Soma-Positiva, e não “Soma-Zero”

Têm sido bastante comuns as discussões antagônicas relacionadas à privacidade – privacidade vs. segurança; privacidade vs. desenvolvimento tecnológico e econômico; privacidade vs. inovação.

Superado o momento inicial de “susto”, deve-se passar a entender como se conseguirá encontrar modo de atender aos ditames de privacidade e a todos os demais pontos anteriormente mencionados, não se podendo usar o “atendimento à privacidade” como forma de justificar impactos deletérios.

Certamente existirão situações especialmente desafiadoras, mas será justamente nesse momento que se fará necessário demonstrar a sabedoria para criar alternativas que contemplem integralmente essas situações aparentemente contraditórias.

1.5.Segurança de “fim a fim”: proteção completa ao ciclo de vida dos dados

Por meio desse ponto, Cavoukian traz a importância de que as...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
7 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548770/data-protection-by-design-e-data-protection-by-default-data-protection-officer-encarregado-ed-2020