Privacy by Design e LGPD: Um legado de estudos em privacidade e proteção de dados
Com a data de entrada em vigor da Lei Geral de Proteção de Dados (LGPD) brasileira se aproximando, está na hora de empresas tornarem a adequação organizacional à legislação um propósito.
terça-feira, 25 de agosto de 2020
Atualizado às 08:09
A privacidade é um tema definitivamente em voga quando se fala sobre proteção de dados pessoais. No entanto, engana-se quem pensa que a discussão está restrita aos últimos anos: a literatura jurídica nos posiciona em diversos períodos e até séculos diferentes.
Com a data de entrada em vigor da Lei Geral de Proteção de Dados (LGPD) brasileira se aproximando, está na hora de empresas tornarem a adequação organizacional à legislação um propósito. Isso porque se em 1988 a Constituição cidadã previu a proteção à vida privada e à intimidade como direito fundamental, foi na década de 1990 que houve um maior desenvolvimento de normativas e orientações no sentido de garantir tratamento adequado dos dados pessoais.
Conceitos como o de Privacy by Design (PbD) podem auxiliar na compreensão de que a privacidade, se já não ocupava, agora ocupa papel central na maneira como empresas e usuários se relacionam. Este é o legado de estudos sobre o qual o texto trata.
Alguns antecedentes, ou a privacidade é das décadas de 90
Em finais do século XIX, mais precisamente em 1890, o advogado Samuel D. Warren e o ex-juiz associado da Suprema Corte norte-americana Louis D. Brandeis publicaram o artigo 'The Right to Privacy'1, considerado um dos maiores estudos relacionados à defesa da privacidade.
É nesta obra que se aponta a interrelação entre o 'right to be let alone' e o direito à privacidade2, no sentido de que, à época, o indivíduo deveria possuir o direito de ter sua intimidade e vida privada protegidas de invasões pelos jornais. Neste contexto, já havia um embate entre privacidade e publicidade, temas que por si sós demandam abordagem própria.
Muitos estudos e novas tecnologias marcaram a história a partir de então, até que na década de 1990 uma série de acontecimentos começa a moldar conceitos e definições profundamente ligados à atualidade. Esta década demarca o intervalo temporal do que aqui se propõe discutir.
O início se dá com o lançamento da World Wide Web pelo cientista da computação britânico Tim Berners-Lee, em outubro de 1990, que possibilitava (e possibilita) criar e editar páginas navegáveis com base em três tecnologias fundamentais: a linguagem HTML, o endereço URL e o protocolo HTTP3. Quase 30 anos depois já não se faz muita coisa fora dos ambientes virtuais e dos sites, os quais, é sabido, armazenam e coletam dados pessoais de variadas formas.
Com esse avanço de forma acelerada, o campo da legislação e das normas começou a apresentar algumas respostas. Jan Holvast (2009, p. 30) destaca o 'Children's Online Privacy Protection Act' (COPPA), de 1998, o 'Fair Health Information Practice' (1997), e as emendas ao 'Fair Credit Reporting Act' de 1997, todos nos Estados Unidos, como maneiras de se assegurar a proteção dos dados de cidadãos. O Parlamento do Reino Unido, por sua vez, adotou em 1998 o 'Data Protection Act'4.
É também na metade da década de 1990 que o Parlamento Europeu e o Conselho adotaram a Diretiva 95/46/CE, relacionada à proteção das pessoas no que toca ao tratamento de dados pessoais e à livre circulação desses dados.
Anota-se que nesta diretiva havia menção ao conceito de tratamento de dados, muito caro ao General Data Protection Regulation (GDPR) e à própria LGPD. O artigo 2º da diretiva o descrevia como "qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição"5.
Veja-se que não havia limitação a meios físicos ou digitais isoladamente, mas sim a abrangência de ambos. A segurança do tratamento era uma das preocupações do instrumento, particularmente expressada na redação do artigo 17, que previa ao controlador a incumbência de adotar medidas técnicas e organizacionais adequadas a fim de evitar a perda, destruição, alteração, difusão e acesso não autorizado aos dados.
Todavia, o que de fato se destaca na última década do século XX, para fins deste texto, é o desenvolvimento do conceito de 'Privacy by Design' (PbD) pela ex-comissária de informação e privacidade da província de Ontário, Canadá, Ann Cavoukian.
Cavoukian estabeleceu sete princípios que norteiam a "incorporação da privacidade em tecnologias da informação, práticas comerciais e infraestruturas de rede como funcionalidade central, desde o início" (2012, p. 8, tradução minha). Estes princípios se mostram relevantes porque dialogam, em certa medida, com as legislações de proteção de dados.
A partir disso, a preocupação passaria a estar focada em mecanismos que resguardassem a privacidade do usuário ainda antes do início da coleta dos dados, e não no curso do tratamento. Nas palavras de Cavoukian, "a privacidade não pode ser assegurada somente pelo compliance com estruturas regulatórias; pelo contrário, a garantia da privacidade deve de preferência se tornar um modo de operação padrão da organização"6.
Trata-se, isso sim, de orientação e estudo apurados em um campo ambivalente como o da privacidade, que é tão antigo quanto atual. Antigo porque remonta a discussão não restrita a determinado período; atual porque gera debates a cada nova tecnologia desenvolvida.
Do berço ao túmulo: um caminho para a privacidade, não para a reputação da empresa
A privacidade como algo garantido durante todo o ciclo de vida do dado, a transparência quanto ao seu tratamento e o respeito ao usuário, na forma de inviolabilidade de seus direitos, são exemplos da relação entre o PbD e a LGPD. Isto é dizer que para estar em conformidade com a lei, a organização precisa adotar e respeitar a privacidade desde a coleta até a eliminação do dado, ou, nas palavras de Cavoukian, "do berço ao túmulo" (from cradle to grave7).
Embora pareça estar restrito aos aplicativos e sistemas de tecnologia da informação, o PbD pode ser muito mais amplo8 e relacionar-se também com práticas comerciais e processos internos, conforme estabelecido na 'Resolution on Privacy by Design'9 da 32nd International Conference of Data Protection and Privacy Comissioners, realizada em Jerusalém no ano de 2010.
Tal afirmação fica ainda mais compreensível com a leitura do artigo 25 do GDPR, que trata especificamente do que escolheu chamar de "data protection by design and by default". O regulamento europeu determina que o controlador deve implementar medidas técnicas e organizacionais desenvolvidas para efetivar princípios de proteção de dados e que garantam que, por padrão, só serão processados os dados pessoais estritamente necessários e com propósitos definidos.
Sem querer aprofundar a análise neste ponto, observa-se que se não robusta, há vaga lembrança do artigo 17 da diretiva europeia de 1995. Ainda, quer parecer que o GPDR adotou a ideia advinda do PbD de privacidade como ponto fundamental de produtos e serviços, ou ainda como parte do design10 destes.
Em terras brasileiras, a LGPD não menciona expressamente, mas os princípios de PbD estão invariavelmente dispostos entre os dispositivos da lei. Basta analisar cada um desses princípios e depois procurar pela previsão correspondente, como é o caso da privacidade como algo proativo e preventivo (1º princípio), a garantia da privacidade e da segurança de dados ao mesmo tempo - e não uma em detrimento da outra (4º princípio), segurança de ponta a ponta ou durante todo o ciclo de vida do dado (5º princípio), transparência quanto ao tratamento e dentro dos limites do consentimento (6º princípio), etc.
Não é preciso levar à exaustão as premissas de que a empresa ou organização que sobretudo respeita a privacidade do usuário, a despeito de ter em mente que assim o faz para evitar sanções administrativas, também tem mais chances de melhor se posicionar dentro de seu setor de atuação.
Conhecer todo o ciclo de vida dos dados que são tratados, assim como zelar pelas melhores práticas em transparência, acessibilidade, manutenção da qualidade dos dados, prevenção de acessos não autorizados e prestação de contas (accountability) passam também a ser padrão de atuação organizacional.
Se, como mencionado previamente, a privacidade é algo que se estende "do berço ao túmulo" na gestão da informação, não pode a reputação da empresa ou da organização seguir pelo mesmo caminho. Aquelas (empresas) que resistirem a adotar práticas eficientes de proteção poderão, sim, receber sanções, mas muito pior é perder a confiança de quem acreditava que seus dados estariam protegidos enquanto durasse a execução do serviço ou a entrega do produto.
Conclusão, ou próximos passos
A LGPD está programada para entrar em vigor em 3 de maio de 2021, com exceção dos artigos 52, 53 e 54, que cuidam das sanções administrativas. Mais do que se preocupar com a adequação das práticas organizacionais com vistas a evitar tais sanções, quer parecer que é hora de se entender, definitivamente, o papel da privacidade como um direito muito caro ao seu titular.
Este direito positivado constitucionalmente foi conquistado, ao longo da história, a duras penas. Neste sentido, cabe às empresas compreenderem as necessidades dos usuários e clientes tal como compreendem as do negócio. Exemplos de benefícios a ambos os lados desta parceria não faltam.
O que será da próxima década de 90, e como se comportará o legado do tema da privacidade até lá, ninguém sabe. Porém, já se pode adiantar que, ainda que haja certo tempo até a entrada em vigor da lei brasileira, a urgência da sociedade em ter direitos respeitados e a confiança nas organizações mantida é algo de hoje, e que pode não admitir mais delongas.
_________
1 WARREN, Samuel D.; BRANDEIS, Louis D. The Right to Privacy. Harvard Law Review, vol. 4, n. 5, p. 193-220, 1890.
2 ZANINI, Leonardo Estevam de Assis. O surgimento e o desenvolvimento do right of privacy nos Estados Unidos. Revista Brasileira de Direito Civil - RBDCivil, Rio de Janeiro, v. 3, p. 9 - 28, jan./mar. 2015.
3 Sobre o histórico da arquitetura da Wold Wide Web: ARAYA, Elizabeth Roxana Mass; VIDOTTI, Silvana Aparecida Borsetti Gregório. Criação, proteção e uso legal de informação em ambientes da World Wide Web [online]. São Paulo: Editora UNESP; São Paulo: Cultura Acadêmica, 2010. 144 p. Ver também: World Wide Web Foundation. History of the Web. Disponível clicando aqui. Acesso em 10 jul. 2020.
4 É interessante notar a aproximação, p. ex., entre os conceitos de dado pessoal sensível tanto na legislação britânica quanto na brasileira. Para isso, ver artigo 5º, II da LGPD e Part I, '2' do Data Protection Act 1998. Disponível em: clicando aqui. Acesso em: 10 jul. 2020.
5 Art. 2º, 'b' da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Versão em Língua Portuguesa. Disponível em: clicando aqui. Acesso em: 10 jul. 2020.
6 CAVOUKIAN, Ann. Privacy by Design: The 7 Foundational Principles. Disponível em: clicando aqui. Acesso em: 08 jul. 2020.
7 Ibidem.
8 SCHARTUM, Dag Wiese. Making privacy by design operative. International Journal of Law and Information Technology, Volume 24, Issue 2, Summer 2016, p. 151-175, clicando aqui.
9 Resolution on Privacy by Design. 32nd International Conference of Data Protection and Privacy Commissioners. Jerusalém, Israel, 27-29 out. 2010. Disponível em: clicando aqui. Acesso em: 10 jul. 2020.
10 Agencia Española de Protección de Datos. A Guide to Privacy by Design. Out. 2019, p. 5. Disponível em: clicando aqui. Acesso em: 10 jul. 2020.
_________
CAVOUKIAN, Ann. Operationalizing Privacy by Design: A Guide to Implementing Strong Privacy Practices. Dez. 2012. Disponível clicando aqui. Acesso em: 10 jul. 2020.
HOLVAST, Jan. History of Privacy. In: Matyás V., Fischer-Hübner S., Cvrcek D., Svenda P. (eds) The Future of Identity in the Information Society. Privacy and Identity 2008. IFIP Advances in Information and Communication Technology, vol 298. Springer: Berlin, Heidelberg, 2009.
_________
*Mario Cesar Lobo Junior é colaborador da L. Baddauy Advocacia.
