quarta-feira, 2 de dezembro de 2020

MIGALHAS DE PESO

Publicidade

As engenharias de segurança, privacy by design e privacy by default, à luz do Regulamento Geral Europeu sobre a Proteção de Dados (2016/679)

O RGPD, na busca por práticas de governança que contemplem os processos de tratamento de dados pessoais em todas as suas fases de desenvolvimento, introduziu novos parâmetros de proteção e sigilo de dados no continente europeu.

sexta-feira, 18 de setembro de 2020

t

A partir do penúltimo quarto do século XX, a proteção de dados passou a ser objeto de debate pelos poderes legislativos de países europeus. De início, a discussão estava voltada para a defesa da privacidade dos indivíduos frente a ingerências estatais. Todavia, com o desenvolvimento exponencial de tecnologias digitais inserido numa crescente necessidade de se implementar uma cultura de proteção de dados, o foco logo se redirecionou a questões atinentes à autodeterminação informacional, direitos fundamentais de liberdade e ao livre desenvolvimento da personalidade do indivíduo.

Nesse trilhar, tem-se as Diretrizes  da  Organização  para  Cooperação  e  Desenvolvimento  Econômico (1980) voltadas à cooperação e a privacidade no âmbito da proteção de dados pessoais, bem como a Convenção 108 do Conselho da Europa para a Proteção das Pessoas Singulares (1981), surgindo como marco inaugural legislativo no que tange ao respeito aos direitos e liberdades fundamentais dos indivíduos frente a um crescente  tratamento automatizado dos dados pessoais. Pode-se dizer que tais iniciativas possibilitaram o amadurecimento do debate no continente, resultando na Diretiva 95/46/CE do Parlamento Europeu e do Conselho voltada à proteção e à livre circulação dos dados pessoais e a Diretiva 2002/58/CE destinada à regulação da privacidade e das comunicações eletrônicas (Diretiva ePrivacy). Como estágio mais avançado desse processo evolutivo regulatório, em abril de 2016, o Regulamento Geral Europeu sobre a Proteção de Dados de 2016/679 (RGPD) foi aprovado com posterior publicação em maio do mesmo ano. O RGPD revogou a Diretiva 95/46/CE do Parlamento Europeu e do Conselho, passando a vigorar a partir de 25 de maio de 2018.

O RGPD, na busca por práticas de governança que contemplem os processos de tratamento de dados pessoais em todas as suas fases de desenvolvimento, introduziu novos parâmetros de proteção e sigilo de dados no continente europeu. Essa nova concepção fez com que fossem inseridas ferramentas que evidenciam a importância da segurança da rede e das informações contra um tratamento não autorizado ou ilícito, em especial, o realizado por governos e empresas. Dessa forma, restou emergente que os procedimentos, processos e políticas relacionados aos dados pessoais estariam destinados a garantir a integridade e confidencialidade do tratamento (art. 5º, (1), "f" do RGPD). Pois, o contemporâneo estágio de compliance, exigido pelo RGPD, além de abranger todas as fases das operações de tratamento, desde a fase de concepção do produto ou do serviço até a sua eliminação, preceitua como um dever que o tratamento de dados pessoais seja realizado por bases legais garantidoras da devida segurança e confidencialidade (Considerando 39, parte final, do RGPD).

E por assim dizer, em seu considerando 78, o RGPD é expresso ao preceituar que: "A defesa dos direitos e liberdades das pessoas singulares relativamente ao tratamento dos seus dados pessoais exige a adoção de medidas técnicas e organizacionais adequadas, a fim de assegurar o cumprimento dos requisitos do presente regulamento. Para poder comprovar a conformidade com o presente regulamento, o responsável pelo tratamento deverá adotar orientações internas e aplicar medidas que respeitem, em especial, os princípios da proteção de dados desde a concepção (privacy by design) e da proteção de dados por padrão (privacy by default)".

Nesse sentido, a noção de que a proteção dos dados pessoais está diretamente atrelada à implementação de medidas técnicas e administrativas, como o privacy by design e default, tornou-se uma regra.

Antes de adentrar nas disposições do RGPD que tratam sobre privacy by design e by default, cumpre salientar que a ideia de uma proteção de dados desde a concepção (privacy by design) já existe a mais de 30 anos por meio dos estudos desenvolvidos pela pesquisadora canadense Ann Cavoukian. Não por outra razão, na 31ª Conferência Internacional de Comissários de Proteção de Dados e Privacidade (2009), a pesquisadora apresentou seu trabalho denominado de "Privacy by Design: The Definitive Workshop". Como ponto marcante do estudo, tem-se a enumeração de sete princípios1 tidos como fundamentais às engenharias de segurança relacionadas à proteção de dados pessoais:

1. Proativo, não reativo; preventivo, não corretivo. Uma abordagem de técnicas de privacidade pautadas pelo privacy by design é caracterizada por medidas proativas em vez de reativas. Em suma, o privacy by design vem antes e não depois.

2. Proteção de dados como padrão (privacy  by  default). O privacy by design visa garantir o mais alto nível de proteção de dados, fazendo com que os dados pessoais sejam protegidos de tal maneira que o titular não precisa realizar qualquer ação.

3. Privacidade incorporada desde a fase de design. A privacidade insere-se como uma funcionalidade central no design e na arquitetura de sistemas de TI e nas práticas negociais.

4. Funcionalidade total. Todos ganham, pois os objetivos das atividades de tratamento adequam-se às políticas de boas práticas de segurança sem que o produto ou serviço seja desvalorizado. Evita-se falsas dicotomias, como privacidade vs. segurança, demonstrando que é possível ter ambos.

5. Segurança de ponta a ponta. Garantir a privacidade e a segurança durante toda a existência dos dados. O privacy by design garante, do início ao fim, o gerenciamento do ciclo de vida das informações.

6. Clareza e transparência. O desenvolvimento das atividades de tratamento passa a estar atrelado a valores como a integridade das informações e a confiança do titular. Tais valores se materializam por meio de três práticas centrais: responsabilidade, abertura e conformidade.

7. Respeito ao titular. O privacy by design deve considerar os interesses e necessidades dos titulares em primeiro lugar, fornecendo informações facilmente acessíveis, consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como notificar o mesmo em caso de ocorrência de incidente de segurança.

A relevância e os impactos dos estudos na comunidade europeia, fizeram com que, na 32ª Conferência Internacional de Comissários de Proteção de Dados e Privacidade (2010), o princípio do privacy by design fosse reconhecido como um elemento central no âmbito da proteção de dados e da privacidade.

O "privacy by design" pode ser compreendido como uma forma de conceber o tratamento de dados pessoais intrinsecamente ligado a técnicas que garantam a segurança e a privacidade da informação em todas as etapas do produto ou do serviço, de modo a abranger todo o seu ciclo de tratamento. Consiste em projetar tecnologias e práticas negociais, desde o início, de acordo com bases legais de privacidade e de proteção de dados.

Com efeito, o RGPD, em seu artigo 25, 1, versa no seguinte sentido: " tendo em conta as técnicas mais avançadas, os custos da sua aplicação, e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e liberdades das pessoas naturais, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizacionais adequadas, como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, visando incluir as garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do presente regulamento e proteja os direitos dos titulares dos dados.

No que tange ao "privacy by default", a engenharia visa conferir ao titular dos dados uma tutela sobre a proteção de seus dados pessoais sem que seja necessária uma intervenção do mesmo para a efetivação desse objetivo.

Nesse sentido, tem-se o art. 25, 2 do RGPD: "O responsável pelo tratamento aplica medidas técnicas e organizacionais para assegurar que, por padrão, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento. Essa obrigação aplica-se à quantidade de dados pessoais recolhidos, à extensão do seu tratamento, ao seu prazo de conservação e à sua acessibilidade. Em especial, essas medidas asseguram que, por padrão, os dados pessoais não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas singulares".

O RGPD estabelece "o privacy by design" e o "privacy by default" como requisitos essenciais para a efetivação de uma conformidade legal com a norma. A efetividade dessa máxima, perpassa pela análise das condições gerais para a aplicação das sanções administrativas trazidas pelo RGPD, que traz em seu art. 83. 2, a previsão de que: "(...) Ao decidir sobre a aplicação de uma multa e sobre o montante da multa em cada caso individual, é tido em devida consideração o seguinte: (...) d) O grau de responsabilidade do responsável pelo tratamento ou do subcontratante tendo em conta as medidas técnicas ou organizacionais por eles implementadas nos termos dos artigos 25 e 32;

Nesse modelo de proteção, os agentes responsáveis pelas atividades de tratamento, no cumprimento de suas atribuições legais, devem adotar engenharias de segurança e profissionais capazes de garantir o cumprimento dos requisitos do RGPD e, em particular, a obrigação de garantir uma proteção dos dados pautada no "privacy by" design e "by default".

A par desse entendimento, já é possível verificar uma atuação das Autoridades de Proteção de Dados da Europa com vistas a efetivar tais práticas.

Em outubro de 2019,2 a Autoridade de Berlim para Proteção de Dados e Liberdade da Informac¸a~o (Berliner Beauftragte fu¨r Datenschutz und Informationsfreiheit - BlnBDI) verificou a existência de graves falhas no sistema de armazenamento de dados da empresa Deutsche Wohnen SE (setor imobiliário). As infrações foram constatadas após a realização de duas auditorias (2017 e 2019). A BlnBDI asseverou para o fato de que levando em consideração o estado da técnica, o custo de implementação, a natureza, o escopo, o contexto e as finalidades das operações realizadas pela empresa, bem como os riscos para os direitos e liberdades das pessoas naturais decorrentes das atividades de tratamento, a Deutsche Wohnen SE deveria, tanto no momento da determinação dos meios de tratamento quanto no momento do próprio tratamento, ter implementado medidas aptas a efetivar as técnicas de segurança da proteça~o de dados pessoais que norteiam o RGPD, como a pseudonimizac¸a~o e a anonimizac¸a~o, bem como ter adotado salvaguardas e mecanismos de mitigac¸a~o de risco. Em conclusão, a BlnBDI constatou que o sistema de armazenamento de dados pessoais da empresa não possibilitava a exclusão de dados pessoais, bem como que as atividades de tratamento não foram desenvolvidas por meio da implementação dos princípios de privacy by design e by default. Dessa forma, em sua sanção administrativa, a BlnBDI multou a empresa Deutsche Wohnen SE em ?14.500.000,00 (catorze milhões de euros) e determinou a implementação de medidas e mecanismos de mitigação de risco.

No mesmo sentido, em abril de 2020,3  a Autoridade Finlandesa de Proteção de Dados (Tietosuojavaltuutetun toimisto) recebeu denúncias em face de uma empresa (não identificada) que monitorava o horário de trabalho de seus funcionários por meio de dados de localização. As informações foram extraídas do sistema de informação existente nos veículos da empresa. Nas conclusões de suas investigações, a Autoridade Finlandesa constatou, dentre outras infrações, que as atividades do controlador da empresa não estavam lastreadas por medidas técnicas e administrativas aptas a proteger os dados pessoais dos funcionários (art. 25 do RGPD). Sendo assim, a empresa foi multada em ? 16.000,00 (dezesseis mil euros) e notificada sobre a necessidade de adoção de medidas corretivas em suas operações de tratamento.

Desse modo, é possível verificar que a implementação de engenharias de segurança aptas a efetivar o privacy by design e by default já é uma realidade não somente no campo teórico e legal.

Num contexto social em que governos e empresas desenvolvem serviços baseados na utilização de dados pessoais cujo impacto na privacidade é potencializado pela utilização de tecnologias disruptivas, é necessária a adoção de medidas técnicas e organizacionais eficazes que contribuam para que seja garantida a tutela dos direitos e liberdades do indivíduos no que diz respeito ao tratamento de dados pessoais.

Os desafios para a implementação das engenharias de segurança de privacy by design e by default possuem um papel de protagonismo nos esforços do governo e das empresas para adequar suas atividades de tratamento aos comandos legais de proteção de dados pessoais. Em razão da abrangência e complexidade técnica do assunto, pode-se concluir que a execução de um modelo de governança adequado a esses valores deverá contemplar diferentes níveis operacionais, e, principalmente, compreender que a adoção dessas engenharias não representa uma barreira à inovação, mas uma oportunidade para o desenvolvimento econômico e tecnológico.

_________

1 CAVOUKIAN, Ann. Privacy by design: the definitive workshop. A foreword by Ann Cavoukian, 2010. p 249-250.

2 ALEMANHA. Processo Administrativo 711.412.1. Disponível clicando aqui  Acessado em: 14.09.2020.

3 FINLÂNDIA. Processo Administrativo 531/161/20. Disponível clicando aqui  Acessado em: 14.09.2020.

_________

t*Pedro Dalese é bacharel em Direito pela Universidade Federal Fluminense (UFF), advogado do Escritório Luciano Tolla Advogados (Niterói/RJ) e especializado em Direito Digital e Proteção de Dados pela Escola Superior de Advocacia (ESA/OABRJ).

t

Atualizado em: 18/9/2020 12:29

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca

AUTORES MIGALHAS VIP

Carolina Amorim

Migalheira desde 2020

Cleanto Farina Weidlich

Migalheiro desde 2007

Ricardo Penteado

Migalheiro desde 2008

Leonardo Quintiliano

Migalheiro desde 2019

Douglas Lima Goulart

Migalheiro desde 2020

Carla Domenico

Migalheira desde 2011

Guershom David

Migalheiro desde 2020

Luís Roberto Barroso

Migalheiro desde 2003

Lenio Luiz Streck

Migalheiro desde 2005

Publicidade