Image for post
Image for post
Thiago Bento | DPO Office | everis Brasil

Privacy by design como responsabilidade

Embora tenha se popularizado no Brasil nos últimos anos, em decorrência da LGPD e das mudanças que a nova legislação traz, o conceito de Privacy By Design, ou Privacidade desde a Concepção, remonta ao ano de 2009, quando mencionado por Ann Cavoukian, em seu notório trabalho “Privacy by Design — The 7 Foundational Principles”[1].

A ex-comissária de Informação e Privacidade canadense anteviu a necessidade de que o respeito à privacidade não se atenha apenas às legislações e frameworks, de maneira reativa, mas que seja um dos pilares do desenvolvimento de produtos e serviços, assim como a segurança, usabilidade e outros.

O que torna o conceito de Privacy By Design inovador e justifica sua introjeção no espírito das leis de privacidade é sua interoperabilidade. A privacidade desde a concepção faz todo sentido no estabelecimento da experiência do usuário e no desenvolvimento, nas atividades de Marketing, atendimento, e sem dúvida nos aspectos jurídicos das operações de uma empresa.

Por isso, embora a lei não estabeleça critérios mínimos que todos os produtos e serviços devam ostentar, o que cabe ao bom senso e a razoabilidade, verdade é que a LGPD optou por positivar a segurança e o privacy by design como exigências legais.

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

(…)

§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

Interessante verificar que o conceito jurídico de culpa, de maneira muito simplificada, se refere à responsabilidade que une o agente à conduta, em função de imprudência, imperícia ou negligência; assim, a definição de obrigações como as trazidas acima se justifica para definir mínimos necessários, cujo descumprimento torna o agente diretamente culpável por eventual dano, em contrário, possibilita o afastamento da culpabilidade.

Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:

(…)

III — que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

Nesse sentido, é possível para a empresa afastar sua culpa, e consequentemente sua responsabilidade, alegando o mau uso por parte do titular de dados, a exploração maliciosa por parte de alguém mal-intencionado ou mesmo o caso fortuito ou força maior decorrente de evento completamente imprevisível, quando o aplicativo ou serviço tiver sido desenvolvido respeitando medidas de segurança e privacy by design, entretanto, a empresa não pode tentar fugir da responsabilização quando não tiver feito o mínimo que lhe competia.

Além da possibilidade da completa exclusão da responsabilidade, percebe-se que a Autoridade Nacional levará em consideração a adoção das medidas também para a aplicação de sanções:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

(…)

§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

(…)

VIII — a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;

Dessa breve análise sobre o Privacy by Design é possível perceber que o respeito à privacidade desde o conceito, e não mais apenas como uma reação adaptável às leis ou frameworks obrigatórios à atividade, é um conceito multidisciplinar e interoperável, que tem grande validade, especialmente quando aplicado ao direito.

Alçar esse jovem conceito ao nível de mínimo necessário para o cumprimento da lei demonstra a importância da proteção à privacidade, que deixa de ser programática e toma lugar entre os direitos fundamentais, como sempre deveria ter sido.

[1] https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store