Já falamos bastante aqui no site sobre o conceito de privacy by design (“PbD”). Você pode ler sobre o tema clicando aqui, aqui e aqui também. Mas uma coisa interessante e que não falamos tanto é sobre como como operacionalizar o PbD com a ISO 31700, o novo padrão da ISO que fala sobre o tema.
Em 31 de janeiro de 2023, a Organização Internacional de Normalização (ISO) publicou a norma ISO 31700, oficialmente intitulada “Proteção ao consumidor – privacy by design para bens de consumo e serviços”. Ela consiste de duas partes: uma lista de requisitos (31700-1) e casos de uso (31700-2). A norma foi adotada pela ISO em 8 de fevereiro.
O novo padrão tem uma óbvia semelhança com “proteção de dados by design e by default” – um conceito que é bem conhecido pelas empresas que se esforçam para cumprir (e operacionalizar as exigências do) Regulamento Geral sobre a Proteção de Dados (RGPD). Vale a pena, portanto, explorar se os dois têm algo em comum e, em caso afirmativo, se o novo regime traz alguma boa notícia para aqueles que lidam com a RGPD – e, de lambuja, com a LGPD, já que a lei brasileira tem claras similaridades com a lei europeia.
Uma rápida visão geral
A ISO é uma rede global de organismos nacionais encarregados de estabelecer padrões em diferentes áreas para tratar, por exemplo, de questões tecnológicas ou sociais. Em essência, uma norma ISO é uma forma internacionalmente reconhecida de fazer “coisas”. Algumas normas permitem que as empresas (voluntariamente) certifiquem como operando nesse nível se elas atenderem às especificações prescritas e passarem nas revisões apropriadas.
Por outro lado, o privacy by design é um conceito que exige a integração da privacidade no projeto e na arquitetura de sistemas e práticas comerciais. Desenvolvido inicialmente em 2009 pela então Comissária de Informação e Privacidade de Ontário, tornou-se um requisito expresso pela legislação da UE após a adoção do RGPD. O artigo 25 desta legislação exige que todos os controladores de dados incorporem a proteção de dados by design (e by default, que é um conceito complementar) em seus processos desde a fase de projeto e durante todo o seu ciclo de vida. O PbD também está presente na LGPD, no § 2º do seu Art. 46.
A “proteção de dados by design” significa que os controladores devem aplicar medidas técnicas e organizacionais apropriadas aos tratamentos de dados pessoais que realizam. Não há uma lista exaustiva de medidas, e elas podem variar dependendo da tecnologia disponível, das circunstâncias do tratamento, dos custos e da avaliação de risco. O ponto principal é que qualquer projeto deve respeitar os princípios e direitos de proteção de dados. A “proteção de dados by default” se baseia nesta exigência e impede que os controladores utilizem configurações padrão que resultem em um tratamento excessivo. Outras orientações sobre como operacionalizar estas obrigações são fornecidas pelo Comitê Europeu para a Proteção de Dados (EDPB). Por exemplo, em relação à transparência, o EDPB esclarece que isto implicaria em linguagem clara e clara, acessibilidade, divulgação de informação no momento correto, etc.
Algo novo?
A ISO 31700 estabelece 30 requisitos para a incorporação da privacidade de dados em produtos e serviços de consumo. Como a abordagem do EDPB, ela não especifica limites ou etapas, mas mantém o conjunto de regras de alto nível e fornece exemplos para melhor compreensão.
O padrão gira em torno de alguns pilares, cada um deles consistindo de vários requisitos de privacidade. Por exemplo, o pilar “comunicação com o consumidor” instrui sobre como fornecer aos consumidores informações sobre privacidade, responder a consultas e reclamações ou preparar uma comunicação de violação de dados. O pilar “gestão de risco” trata de processos como avaliações de risco à privacidade ou diligência de terceiros. Além disso, há todo um pilar dedicado a “controles de privacidade”, como o gerenciamento da violação de dados. A ISO 31700 também cobre muitos outros requisitos, incluindo a aplicação dos direitos de privacidade dos consumidores, a atribuição de funções e autoridades relevantes, e ainda como permitir a determinação das preferências de privacidade dos consumidores.
A ISO 31700 não está diretamente ligada à estrutura de proteção de dados da UE, mas existem algumas sobreposições. Por exemplo, ela adotou uma definição de dados pessoais parecida com a do RGPD, e muitas de suas exigências se sobrepõem às do RGPD. A obrigação de fornecer informações sobre privacidade e assegurar a aplicação dos direitos de privacidade é apenas um dos exemplos. Além disso, as fontes da norma revelam claramente que tanto o RGPD quanto as diretrizes do EDPB foram utilizadas na preparação da ISO 31700.
Então, qual é a relação entre a ISO 31700 e o privacy by design e by default do RGPD (e também da LGPD)? Por enquanto, oficialmente, nenhuma. A conformidade com a norma ISO não equivale ao cumprimento do RGPD/da LGPD (e vice versa), e as empresas que procuram aderir cumprir com estas legislações ainda devem observar seus requisitos separadamente.
Mas…
De qualquer forma, a ISO 31700 deve ser útil para as organizações. Para alguns, a ISO pode servir de inspiração para aqueles que desenvolvem medidas e salvaguardas técnicas e organizacionais sob o RGPD e/ou a LGPD – uma espécie de “folha de consulta” com orientações e ideias. Além disso, o próprio EDPB incentivou os controladores a fazer uso de certificações e códigos de conduta disponíveis no mercado. Isto sugere que as empresas que confiam nos padrões internacionais podem achar mais fácil demonstrar sua conformidade às autoridades ou construir confiança dos consumidores, o que também poderia ser uma vantagem estratégica em relação aos concorrentes. Finalmente, vale lembrar que tanto o RGPD quanto a LGPD preveem a introdução de mecanismos especiais de certificação de acordo com os critérios destas legislações. E isto é bastante relevante: no contexto europeu, por exemplo, ao fornecer orientações sobre este tópico, o EDPB aceitou que os critérios de certificação possam ser elaborados de acordo com as normas ISO. Há certificação para (quase) tudo, e aqui está outro conjunto de normas que poderia servir como um referencial de conformidade relevante.
Caso você queira saber como operacionalizar o PbD com a ISO 31700, dê uma olhadinha na Oficina de Privacidade “ISO 31700 – Privacy by Design”, que poderá te auxiliar a colocar em prática os requisitos desta norma.
Vamos que vamos e #colanopapai!
Texto originalmente publicado neste link. Todos os direitos são reservados aos autores do texto. Tradução e adaptação por Prof. Matheus Passos.