Arquivo da tag: Privacy by design

“Privacy by design”: a criação de produtos e serviços, de acordo com a LGPD

Publicado em por
Responder

Por Eduardo Mendes Zwierzikowski

O advogado Eduardo Mendes Zwierzikowski atua no setor Cível do Prolik.

Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709/2018 – LGPD) em agosto de 2020, o desenvolvimento de novos sistemas, projetos, serviços e aplicativos, enfim, todas as soluções que envolvam o tratamento de dados pessoais, deverá proteger a privacidade do usuário desde a sua concepção.

O “Privacy by Design” é um conceito criado por Ann Cavoukian, antiga Comissária de Informação e Privacidade da província de Ontário, Canadá, que parte da premissa de que a privacidade deve ser levada em consideração em todo o processo de criação e desenvolvimento da arquitetura de sistemas de informação.

A LGPD prestigia o “privacy by design” ao prever que devem ser observadas, desde a fase de concepção do produto ou do serviço até a sua execução, as medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (art. 46 e parágrafo segundo, da Lei n.º 13.709/2018).

Para que o tratamento, isto é, toda e qualquer operação envolvendo dados pessoais, possa ser realizado de acordo com a LGPD, as novas aplicações devem seguir os dez princípios básicos trazidos pela lei, que são os seguintes: (i) finalidade, ou seja, a realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular; (ii) adequação do tratamento com as finalidades informadas; (iii) necessidade; (iv) livre acesso aos dados ao usuário; (v) qualidade dos dados; (vi) transparência; (vii) segurança; (viii) prevenção; (ix) não discriminação e (x) responsabilização/prestação de contas.

A partir desses preceitos, desdobram-se outros direitos garantidos ao titular dos dados, como o de confirmar a existência do tratamento, a correção de dados incompletos, inexatos ou desatualizados, o acesso aos dados, a anonimização, o bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei, a portabilidade dos dados para outro fornecedor de serviço ou produto, a eliminação de dados tratados sem o seu consentimento e a obtenção de informações sobre o compartilhamento dos dados.

Diante da abrangência da proteção legal, a privacidade do usuário deve ser a configuração padrão no desenvolvimento de aplicações, incluindo-o no centro da inovação. Para que seja cumprido o dever de transparência imposto pela LGPD, o titular deve ter à disposição os meios aptos ao gerenciamento de seus dados de maneira segura e eficaz.

A necessidade de as empresas fortalecerem os mecanismos de segurança aos dados pessoais, como dito, também se destina a prevenir a ocorrência de danos em todo o ciclo de vida dos dados, por meio de uma postura proativa, ao invés de reativa.

No momento de desenvolvimento desse novo produto ou serviço, também deverá ser estabelecida qual é a base legal que permitirá a utilização dos dados pessoais do cliente, se eles são de fato necessários à execução da atividade, ou, ainda, se é imprescindível obter o consentimento do titular, pois existem exceções na LGPD que o dispensam, como legítimo interesse, cumprimento de obrigação legal, exercício regular de direitos, proteção da vida, ao crédito, tutela da saúde, dentre outros.

É recomendável que o processo prévio de análise acerca da adequação de um novo produto ou serviço às exigências trazidas pela LGPD seja condensado em um “relatório de impacto à proteção de dados pessoais”, documento que poderá ser exigido pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD), no qual são descritos os processos de tratamento de dados pessoais que têm condições de gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação do risco inerente a essa atividade.

Como visto, a constituição de novas soluções, principalmente na indústria 4.0, passa por significativa mudança com a LGPD, diante da necessidade de serem adequados diversos processos internos das empresas, no âmbito técnico e jurídico, como forma de prevenir a aplicação de sanções administrativas ou judiciais derivadas de seu descumprimento.