Publicado originalmente em: Jota
Dado é a moeda da economia digital e cada vez mais incidentes de segurança da informação demonstram e alertam a sociedade acerca da necessidade de procedimentos rígidos a serem estabelecidos pelas empresas que determinam o propósito e a forma do processamento de dados (controller), bem como por aqueles que de fato processam os dados (processor).
As premissas legais doravante sinalizadas foram extraídas da legislação brasileira (CDC, Lei 12.965/14 e seu Decreto regulamentador 8.771/16), da General Data Protection Regulation da União Europeia, que entrará em vigor em 25 maio de 2018 (2016/679), bem como do Projeto de Lei brasileiro, que pode se transformar na futura Lei Geral de Proteção de Dados Pessoais em nosso país (5.276/16).
Primeiramente, importante ressaltar que um incidente de violação de dados pessoais (data breach) não está somente atrelado ao vazamento de informações, mas também a qualquer hipótese de destruição, perda, alteração, quebra de sigilo, acesso, transferência ou processamento indevido de dados. Ou seja, um data breach é sempre um incidente de segurança, culposo ou doloso, envolvendo dados pessoais que são, de alguma forma, processados em desconformidade legal.
Tais incidentes podem resultar em danos físicos, materiais e imateriais às pessoas naturais, limitando seus direitos, como nos casos de furto de identidade, fraudes financeiras, danos à reputação, discriminação, bem como desvantagem econômica ou social.
Ainda, na era da Internet das Coisas e da Inteligência Artificial, a interação entre dispositivos viabiliza cidades inteligentes, carros autônomos, comércio eletrônico intersistemático e comunicações entre drones, marca-passos e médicos, apenas para citar alguns exemplos, o que eleva as preocupações com relação aos potenciais riscos à segurança. Falhas de proteção de dados podem acarretar de forma imediata em incêndios, enfermidades, ferimentos, explosões, acidentes em meios de transporte, entre outros.
Diante de tal cenário, o emprego efetivo do privacy by design (and by default) é condição sine qua nonpara o mercado empresarial que de alguma forma processa ou determina o processamento de dados.
Nele, a proteção à privacidade advém da trilogia:
(i) sistemas de tecnologia informação (IT systems);
(ii) práticas negociais responsáveis (accountable business practices);
(iii) design físico e infraestrutura de rede (physical and networked infrastructure).
Para atingir seus objetivos, é fundado em sete princípios fundamentais, conforme estudo de Ann Cavoukian (2011. Privacy by Design, the 7 foundational principles):
(i) Proactive not Reactive; Preventative not Remedial, pelo qual é adotada postura preventiva, de modo a evitar incidentes;
(ii) Privacy as the Default Setting, pelo qual a configuração padrão de determinado sistema deve preservar a privacidade do usuário;
(iii) Privacy Embedded into Design, pelo qual a privacidade deve estar incorporada à arquitetura de sistemas e modelos de negócio;
(iv) Full Functionality — Positive-Sum, not Zero-Sum, pelo qual devem ser acomodados todos os interesses envolvidos, evitando falsas dicotomias que levam à mitigação de direitos;
(v) End-to-End Security — Full Lifecycle Protection, vez que, na medida em que a segurança de dados é incorporada ao sistema antes da coleta de qualquer informação, esta é estendida para todo o ciclo de vida da informação;
(vi) Visibility and Transparency — Keep it Open, pelo qual deve ser assegurado a todos os envolvidos que os sistemas e negócio são operacionalizados de acordo com as premissas e objetivos informados; e
(vii) Respect for User Privacy — Keep it User-Centric, que exige que os operadores dos serviços respeitem os interesses dos usuários, mantendo altos padrões de privacidade.
Assim, o privacy by design determina que não se espere que eventuais riscos à privacidade se materializem. Visa evitar que de fato eles ocorram.
No Brasil, está previsto em nosso Código de Defesa do Consumidor, no Capítulo “Da Qualidade de Produtos e Serviços, da Prevenção e da Reparação dos Danos” e Seção de “Da Proteção à Saúde e Segurança”, que os produtos e serviços colocados no mercado de consumo não acarretarão riscos à saúde ou segurança dos consumidores, exceto os considerados normais e previsíveis em decorrência de sua natureza e fruição, obrigando-se os fornecedores, em qualquer hipótese, a dar as informações necessárias e adequadas a seu respeito.
Ainda, o Decreto 8.771/16, estabelece os padrões de segurança e sigilo de dados pessoais, como: (i) o estabelecimento de controle estrito sobre o acesso aos dados; (ii) a previsão de mecanismos de autenticação de acesso, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento; (iii) a criação de inventário detalhado dos acessos aos registros; (iv) o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação.
As sanções administrativas por descumprimento das regras estabelecidas na Europa podem variar de € 10.000.000 a € 20.000.000 ou de 2% a 4% do volume financeiro da empresa no exercício financeiro do ano anterior. O que for maior. No Brasil, advertência, suspensão temporária ou proibição das atividades de processamento de dados, bem como multa de até 10% do faturamento do grupo econômico no Brasil no seu último exercício.
Ademais, tanto na Europa como no Brasil, é fator decisivo para o estabelecimento das sanções, entre outros, a avaliação do nível de conformidade legal da empresa, principalmente quanto aos requisitos preventivos de proteção aos dados, com destaque ao privacy by design e suas derivações.
Portanto, para quaisquer empresas que de alguma forma processam ou determinam o processamento de dados pessoais – que atualmente são praticamente todas as corporações – a proteção de dados deve ser tratada não somente como um dever legal ou para evitar sanções, mas principalmente como valor ético, de integridade, transparência, comprometimento e de respeito ao próximo, pois, ocorrido o incidente, possivelmente os efeitos colaterais serão gravíssimos e de difícil reparação.
Seguindo as premissas do privacy by design, além de cumprir com a sua função social, as empresas estarão mitigando o risco de incidentes, bem como, se mesmo assim infelizmente eles ocorrerem, potenciais sanções serão possivelmente atenuadas.
Rony Vainzof – Advogado, sócio do Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados; Coordenador e Professor do MBA em Direito Eletrônico da Escola Paulista de Direito (EPD); Coordenador da Comissão de Direito Digital do Conselho Superior de Direito da Fecomercio/SP; Diretor do Departamento de Segurança da FIESP e Coordenador do Grupo de Trabalho de Segurança Cibernética; Integrante da Câmara de Segurança e Direitos na Internet do Comitê Gestor da Internet no Brasil; Co-autor dos livros Marco Civil da Internet e Educação Digital.
