A Lei Geral de Proteção de Dados (Lei 13.709/18) entrou em vigor no dia 18/09/2020 e, a partir desta data, todas as empresas, incluindo startups, deverão observar regras para o tratamento, proteção e transferência de dados pessoais.
Desenvolver boas práticas de proteção de dados e privacidade não é uma tarefa fácil, contudo, com algumas metodologias, essa nova realidade pode ser incorporada aos procedimentos da empresa, como é o caso do Privacy by Design.
Conforme definição prevista na LGPD, os dados pessoais são informações relacionadas à pessoa natural identificada, ou seja, qualquer informação que possa identificar uma pessoa; já os tratamentos de dados são operações realizadas com esses dados pessoais, como a utilização, coleta, transmissão, arquivamento, recepção, reprodução, dentre outras ações.
Se a empresa fez ou faz uso de dados pessoais realizando alguma das operações de tratamento, ela deverá se adequar à LGPD para que o tratamento dos dados seja realizado de acordo com as regras e princípios previstos nesta nova Lei.
Contudo, para se adequar à Lei Geral de Proteção de Dados, não basta participar de programas de adequação ou inserir uma política de privacidade em seu site, mesmo que completa . Mais do que isso, as empresas que quiserem se alinhar com os princípios da lei deverão ter a proteção de dados em seu DNA!
Uma forma de introduzir a proteção de dados na cultura da empresa é através do Privacy by Design e vamos explicar melhor como você pode fazer isso.
A PROTEÇÃO DE DADOS COMO REGRA
O Privacy by Design (“Privacidade por Definição”) é uma metodologia que prevê a privacidade e a proteção dos dados desde a concepção do produto ou serviço, fazendo com que a proteção dos dados pessoais do titular – que futuramente será o usuário do produto ou serviço – comece a ser pensada no momento de ideação do projeto.
Todas os passos, ideias, produtos, funcionalidades devem ter como foco a privacidade do usuário e a proteção de suas informações pessoais, ou seja, a proteção de dados é colocada no centro do desenvolvimento de todo projeto, sendo esse valor incorporado pela empresa, diretores e colaboradores.
Ninguém pensa ou desenvolve nada que não tenha a privacidade ou a proteção de dados pessoais como plano de fundo.
O Privacy by Design foi desenvolvido na década de 90, por Ann Cavoukian e possui sete princípios que, se observados resultarão em produtos e cultura de privacidade e proteção de dados dentro da empresa:
1 – Proativo Não Reativo: Quando falamos em Privacy by Design, estamos falando de uma metodologia preventiva, que antecipa futuros eventos que possam colocar em risco a privacidade dos dados do usuário. Ela não remedia os problemas existentes, mas auxilia na prevenção de problemas futuros.
Esse primeiro princípio se assemelha muito ao “princípio da prevenção” trazido pela LGPD, que determina que, no tratamento de dados pessoais, deverão ser adotadas medidas para prevenir a incidência de possíveis danos.
Isso quer dizer que durante o desenvolvimento de um software ou do design deste software, você deve avaliar se algo deve ser implementado para mitigar riscos relacionados à privacidade.
2 – Privacy by Default: também conhecido como privacidade por padrão, esse princípio prevê que a configuração padrão de qualquer produto ou serviço disponibilizado no mercado garanta a privacidade do usuário.
Ou seja, no primeiro contato do usuário, o seu produto ou serviço deve já estar configurado para coletar, armazenar, utilizar, transferir o mínimo de dados pessoais possíveis, garantindo, assim, a privacidade do usuário. O usuário não deve ser obrigado a fazer nenhum esforço para garantir a sua privacidade.
Na prática, você deve garantir que seu produto ou serviço colete o mínimo de dados possíveis para o funcionamento da tecnologia e o usuário pode escolher entregar mais dados para melhorar a sua utilização.
3 – Privacidade Embutida no Design: a privacidade não deve ser uma opção ou uma funcionalidade, ela deve estar incorporada no serviço ou produto, desde sua concepção até a entrega ao usuário final.
Em outras palavras, a proteção de dados deve sempre ser o plano de fundo do projeto, ou seja, deve estar incluída na arquitetura do produto ou serviço.
4 – Funcionalidade Total: a proteção dos dados pessoais não deve ser um empecilho para o desenvolvimento do produto ou serviço. Pelo contrário, ela deve contribuir e integrar esse novo negócio, e não tirar suas funcionalidades.
Esse princípio é o famoso jogo do ganha-ganha, não deve existir a opção proteção de dados ou funcionalidades, mas sim proteção de dados e funcionalidades.
5 – Segurança de Ponta-a-Ponta: esse princípio também se assemelha ao “princípio da segurança” previsto na LGPD. Ambos estabelecem que a proteção aos dados pessoais deve estar presente em todo ciclo de vida dos dados, ou seja, desde o momento em que o dado é coletado até o momento em que ele é eliminado, sendo certo que esse ciclo deve ser monitorado por padrões rígidos de segurança da informação.
Nem a LGPD e nem os conceitos de Privacy by design trazem de forma objetiva padrões de segurança, mas você pode se basear em normas como as ISOs 27001 e 27701 para implementar metodologias e padrões de segurança da informação em seus produtos.
6 – Visibilidade e Transparência: A transparência sobre como dados dos usuários são tratados ou armazenados é a base de uma empresa que respeita a privacidade e protege os dados dos seus usuários. O titular dos dados tem o direito – agora previsto em lei – de saber como e com qual finalidade seus dados pessoais são tratados.
Dessa forma, na concepção de um produto ou serviço, ele deverá ser idealizado para garantir ao usuário o máximo de transparência possível no que diz respeito à utilização de seus dados pessoais, bem como os processos e procedimentos de todas as empresas devem garantir o atendimento e entrega de informações em relação à privacidade.
7 – Respeito pela Privacidade do Usuário: “Meus Dados Minhas Regras” – Esse princípio vem trazer um resumo de todos os princípios do Privacy by Design e da Lei Geral de Proteção de Dados.
Os dados pessoais são de titularidade do usuário, de modo que pertence exclusivamente a ele o direito de decidir como e quando esses dados serão tratados – e, claro, essa decisão deve ser respeitada pela empresa! 😉
INCORPORANDO O PRIVACY BY DESIGN NA SUA STARTUP
Para garantir que um produto ou serviço está adequado à Lei Geral de Proteção de Dados, não basta que você informe, em seu site, que cumpre os princípios da LGPD e que respeita os direitos do titular de dados.
Mais do que isso, é necessário realmente incorporar a cultura de proteção de dados dentro da empresa, ou seja, pensar em proteção desde a concepção do negócio!
De fato, não é fácil trazer esse conceito para o dia a dia, principalmente quando se tem pouca ou nenhuma prática na proteção de dados pessoais de clientes ou usuários.
Contudo, algumas técnicas, incluindo o Privacy by Design, podem facilitar essa transição, fazendo com que a empresa incorpore a política de proteção de dados e consequentemente se adeque às regras previstas na LGPD.
Para começar, elenque os princípios do Privacy by Design e da LGPD e verifique se o seu novo produto ou serviço atende a esses princípios. Caso não atenda, reúna uma equipe multidisciplinar para pensar, de forma criativa, “como esse produto ou serviço pode se adequar à LGPD sem perder suas funcionalidades?”. Lembre-se sempre que a proteção de dados deve agregar ao negócio, e não ser um obstáculo!
Faz sentido pra você?
Aqui no L&O, recomendamos aos nossos clientes que façam uso das práticas de Privacy by Design para integrar a proteção de dados em seus produtos e serviços, fazendo da proteção de dados pessoais uma parceira de negócios e não uma burocracia a ser cumprida. Tudo acaba se encaixando naturalmente!
