Os 7 Princípios do Privacy by Design

Na nossa postagem de ontem fizemos uma introdução ao privacy by design. Já no texto de hoje falaremos sobre os 7 Princípios do Privacy by Design criados pela Dra. Ann Cavoukian, ex-Comissária de Informação e Privacidade de Ontário, Canadá. Vale lembrar que são estes princípios que fundamentaram a novíssima norma da ISO, a 31700:2023, cujo título é Consumer protection – Privacy by design for consumer goods and services.

O privacy by design é uma metodologia que foi apresentada ao público na 31ª Conferência Internacional de Comissários de Proteção de Dados e Privacidade em 2009 com o título “Privacy by Design: The Definitive Workshop”. A metodologia foi aceita internacionalmente na 32ª Conferência Internacional de Comissários de Proteção de Dados e Privacidade, realizada em Jerusalém em 2010, com a adoção da “Resolução sobre Privacy by Design”.

De maneira bastante sintética, o privacy by design introduziu um método preventivo para evitar problemas à privacidade. A proposta é que o privacy by design deva ser um complemento à atuação regulatória, que é sempre reativa.

O argumento da Dra. Ann Cavoukian é simples, mas lógico, baseado em uma espécie de “método médico” de prevenção. Nas palavras dela, esta é uma situação que nunca iria ocorrer: “Você vai a um médico e ele diz: ‘Sim, vejo aqui um câncer se desenvolvendo. Vamos monitorá-lo e se piorar você faz quimio ou radioterapia depois’.” Isto não ocorre, correto?

A lógica deve ser a mesma na área da privacidade. Segundo a Dra. Ann Cavoukian, “é impensável ver uma violação de dados e agir apenas depois que ela ocorrer.” Além disso, ela se preocupa bastante com uma visão ampla da privacidade, que vai além da “mera” conformidade legal: “O futuro da privacidade não pode ser assegurado apenas pelo cumprimento das estruturas regulatórias; ao contrário, a garantia da privacidade deve, idealmente, tornar-se um modo de operação padrão da organização. Para que isto ocorra “é necessária uma abordagem mais substancial, adotando uma abordagem de soma positiva – funcionalidade total –, não de soma zero – uma falsa dicotomia.” É por isto que “os objetivos do Privacy by Design – assegurar a privacidade e garantir controle pessoal sobre seus dados e, para as organizações, obter uma vantagem competitiva sustentável – podem ser alcançados praticando os seguintes 7 Princípios Fundamentais [do privacy by design].”

Quer saber mais sobre o privacy by design? Participe da Oficina de Privacidade “ISO 31700 - Privacy by Design” no dia 4 de março de 2023 a partir das 9h. Inscrições neste link.

Os 7 Princípios do Privacy by Design são os seguintes:

Proativo, não reativo; preventivo, não reparador:
- O Privacy by Design é caracterizado por medidas proativas em vez de reativas.
- Ele antecipa e previne eventos invasivos à privacidade antes que eles aconteçam.
- O Privacy by Design não espera que os riscos à privacidade se materializem nem oferece soluções para resolver as infrações à privacidade uma vez que elas tenham ocorrido: ele visa evitar que elas ocorram.
- Em resumo, Privacy by Design vem antes do fato, não depois.
Privacidade como padrão
- O Privacy by Design busca proporcionar o máximo grau de privacidade, assegurando que os dados pessoais sejam automaticamente protegidos em qualquer sistema de TI ou prática comercial.
- Se o titular não fizer nada sua privacidade ainda permanece intacta.
- Nenhuma ação é necessária por parte do titular para proteger sua privacidade: ela é incorporada ao sistema por padrão.
Privacidade incorporada ao design
- O Privacy by Design deve estar embutido no projeto e na arquitetura dos sistemas de TI e nas práticas comerciais.
- Ela não é adicionada como um complemento depois do fato.
- O resultado é que a privacidade se torna um componente essencial da funcionalidade central que está sendo entregue.
- A privacidade é parte integrante do sistema sem diminuir sua funcionalidade.
Funcionalidade total: soma positiva, não soma zero
- O Privacy by Design procura acomodar todos os interesses e objetivos legítimos de uma maneira “win-win” (“vence-vence”) de soma positiva, não por meio de uma abordagem datada, de soma zero, onde são feitas compensações desnecessárias.
- O Privacy by Design evita a pretensão de falsas dicotomias, tais como privacidade vs. segurança, demonstrando que é possível ter ambas.
Segurança de ponta a ponta – proteção completa do ciclo de vida
- O Privacy by Design, tendo sido incorporado ao sistema antes do primeiro dado pessoal ser coletado, estende-se com segurança por todo o ciclo de vida dos dados envolvidos.
- Fortes medidas de segurança são essenciais à privacidade, do início ao fim.
- Isto assegura que todos os dados sejam armazenados e depois destruídos com segurança no final do processo.
- Assim, o Privacy by Design garante o gerenciamento das informações de ponta a ponta, de forma segura durante todo o ciclo de vida.
Visibilidade e transparência
- O Privacy by Design procura assegurar a todas as partes interessadas que qualquer que seja a prática comercial ou tecnologia envolvida, ela está de fato operando de acordo com as promessas e objetivos declarados, sujeita a verificação independente.
- Suas partes componentes e operações permanecem visíveis e transparentes tanto para usuários como para fornecedores.
Respeito pela privacidade do usuário – ele está no centro de tudo
- Acima de tudo, Privacy by Design exige que os responsáveis mantenham os interesses do titular em primeiro plano, oferecendo medidas como fortes padrões de privacidade, aviso apropriado e opções de fácil utilização.
- Mantenha o projeto sempre centrado no usuário.

Quer saber como colocar em prática o Privacy by Design? Adquira a Oficina de Privacidade “Como aplicar o Privacy by Design na prática” neste link.

Para terminarmos, duas perguntas: você já conhecia os 7 Princípios do Privacy by Design? E a sua empresa, já aplica todos os 7 Princípios do Privacy by Design?

No próximo texto desta série falaremos sobre os benefícios do privacy by design.

Vamos que vamos e #colanopapai!

Leia a série completa: