A forma como grandes empresas e governos tratam nossos dados diz muito sobre seus objetivos. Shoshana Zuboff traz importante alerta sobre algumas dessas metas: não só nos conhecer, mas nos moldar. Assim, “com tal reorientação transformando conhecimento em poder, não basta mais automatizar o fluxo de informação sobre nós; a meta agora é nos automatizar”.1
A questão é que com a ascensão da matéria de proteção de dados pelo mundo, culminando na edição de várias leis e inserção de novos comportamentos, aquele modelo prejudicial deve ser transformado para garantir os direitos de todos os titulares de dados. Essa mudança de mentalidade não pode ser admitida apenas no aviso de privacidade quando fazemos uma conta em determinada rede social, ou quando compramos algo. Deve estar presente também na fase de criação de determinado produto, bem como na execução de serviços que tratem dados.
Sob essa perspectiva, Ann Cavoukian, já na década de 90, compreendeu a importância de embutir a proteção da privacidade no design das atividades, abarcando toda a vida do dado. Nasce aqui o conceito da privacidade desde a concepção ou privacy by design. Nas palavras da autora:
A privacidade deve se tornar parte integrante de prioridades organizacionais, objetivos do projeto, processos de design e operações de planejamento. A privacidade deve ser incorporada em todos os padrões, protocolos e processos que afetam nossas vidas (tradução livre).2
Essa metodologia tem como base 7 princípios: 1) Proatividade e prevenção; 2) privacidade por padrão; 3) privacidade embutida no design; 4) funcionalidade integral; 5) segurança durante todo o ciclo de vida do dado; 6) visibilidade e transparência e 7) respeito à privacidade dos usuários.3
Por proatividade e prevenção entende-se como a adoção de medidas que protejam os dados muitos antes de materialização do dano, não esperando o vazamento de dados para se aplicarem instrumentos de mitigação de danos. Segundo Cavoukian, uma das implicações desse princípio é a implementação de altos padrões de privacidade, geralmente mais rigorosos que as próprias leis e regulamentos sobre a matéria.4
A privacidade por padrão, o famoso privacy by default, estabelece que as funcionalidades do produto ou serviço devem estar pré-definidas para proteger a privacidade do indivíduo. Assim, não deve ser esperada alguma ação da pessoa para se proteger. Se ele(a) nada fizer, sua privacidade ainda permanece intacta.5
Já embutir a privacidade ao design é tornar essa meta parte integrante, essencial dos produtos e serviços. Para Cavoukian, ela se faz de maneira holística, integrativa e criativa:
Holístico, porque contextos adicionais e mais amplos devem sempre ser considerados. Integrativo, porque todas as partes interessadas e interesses devem ser consultados. Criativo, porque incorporar a privacidade às vezes significa reinventar as escolhas existentes porque as alternativas estão inaceitáveis (tradução livre).6
Já a busca pela funcionalidade integral compreende sopesar não só a privacidade. Existem atividades com motivos legítimos para tratar dados, os quais também devem ser considerados. Como dito no início do texto, busca-se combater é o modelo de extração de dados, que enxerga as experiências das pessoas como matéria prima. Como lembra novamente Zuboff, nesse sistema não há relação de reciprocidade entre produtor e consumidor, pois somos as fontes de superávit, cujos verdadeiros consumidores são as empresas que negociam nos mercados de comportamento futuro.7 Privilegiar a coexistência de objetivos justos com a privacidade permite sua compatibilização e otimização, em uma lógica de ganha-ganha.
A segurança durante toda vida do dado remete a adoção de padrões de segurança da informação que garantam a proteção do dado durante todo o processo. Esses diferentes níveis de proteção deverão se atentar ao contexto em questão, podendo requerer padrões mais elevados, como os dados pessoais sensíveis,8 mas sempre visando um standard satisfatório aos titulares. Nas palavras de Cavoukian, a segurança é garantida do berço ao túmulo (cradle to grave).9
A visibilidade e transparência defende que as atividades de tratamento seguirão aquilo que foi acordado entre as partes, garantindo a elas acesso às operações e possibilidade de verificação independente.
Como último princípio, o respeito aos usuários, é estabelecido que os interesses dos indivíduos devem ocupar posição preferencial quando do feitio dos produtos e execução dos serviços, estabelecendo fortes padrões de segurança e medidas facilitadas aos usuários.
Essa metodologia, apesar de ser inicialmente teórica, ganhou tamanha força que acabou sendo incorporada, literalmente, tanto no Regulamento Geral de Proteção de Dados Europeu quanto na Lei Geral de Proteção de Dados brasileira. Dessa forma, não se trata mais de recomendação, mas exigência legal para cumprimento da proteção de dados.
O art.25 da GDPR estabelece que observadas situações relativas ao tratamento, como contexto e finalidade dos dados, técnicas mais avançadas e custo de aplicação, o responsável deve, “tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, [tomar] as medidas técnicas e organizativas adequadas” para garantir o cumprimento da GDPR.10 Destaca-se também o Considerando 78 que além de corroborar com o art.25 estabelece, em determinado trecho, que cabe aos responsáveis pelo tratamento
incentivar os fabricantes dos produtos, serviços e aplicações a ter em conta o direito à proteção de dados quando do seu desenvolvimento e [concepção] e, no devido respeito pelas técnicas mais avançadas, a garantir que os responsáveis pelo tratamento e os subcontratantes estejam em condições de cumprir as suas obrigações em matéria de proteção de dados.
A LGPD, apesar de não dedicar tanto dispositivos legais para tratar expressamente da matéria, apresenta a disposição do art.46, §2º, o qual obriga os agentes de tratamento observar as medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais “desde a fase de concepção do produto ou do serviço até a sua execução”.
Vale destacar aqui também as recomendações da autoridade nacional do Reino Unido, a Information Comissioner’s Office (ICO). Ela reforça vários dos princípios de Ann Cavoukian, bem como busca trazer pontos práticos aos responsáveis pelo tratamento de dados. Mas talvez uma das observações mais interessantes dessa autoridade, a fim de promover o privacy by design, seja que, caso venha a impor uma sanção, ela levará em conta as medidas técnicas e de organização que o responsável tomou para respeitar a privacidade desde a concepção.11
A adoção dessa metodologia, a par de ser exigência regulatória, demonstra acima de tudo a mentalidade a ser incorporada não só por controladores e operadores de dados, mas por todos partícipes do ciclo de vida do dado. Busca-se subverter a lógica da extração de dados para um pensamento em que bens e serviços serão pensados com objetivos voltados a valorização dos titulares, tendo seus dados protegidos antes mesmo que saibam.
____________________
Referências
________________________________________
1. ZUBOFF, Shoshana. A era do capitalismo de vigilância: a luta por um futuro humano na nova fronteira do poder. Trad. George Schlesinger. Rio de Janeiro: Editora Intrínseca, 2020, p.19.
2. No original: “Privacy must become integral to organizational priorities, project objectives, design processes, and planning operations. Privacy must be embedded into every standard, protocol and process that touches our lives”. CAVOUKIAN, Ann. Publicação da Information and Privacy Comissioner of Ontario. Publicado em maio de 2010. Revisado em jan. 2011. p.2. Disponível em: https://bit.ly/3Fcw7EN. Acesso em: 10 nov. 2021.
3. 1) Proactive not Reactive; Preventative not Remedial; 2) Privacy as the Default Setting; 3) Privacy Embedded into Design; 4) Full Functionality – Positive-Sum, not Zero-Sum; 5) End-to-End Security – Full Lifecycle Protection; 6) Visibility and Transparency – Keep it Open; 7) Respect for User Privacy – Keep it User-Centric.
4. CAVOUKIAN, Ann. Publicação da Information and Privacy Comissioner of Ontario. Publicado em maio de 2010. Revisado em jan. 2011. p. 2. Disponível em: https://bit.ly/3Fcw7EN. Acesso em: 10 nov. 2021.
5. CAVOUKIAN, Ann. Publicação da Information and Privacy Comissioner of Ontario. Publicado em maio de 2010. Revisado em jan. 2011. p. 2. Disponível em: https://bit.ly/3Fcw7EN. Acesso em: 10 nov. 2021
6. CAVOUKIAN, Ann. Publicação da Information and Privacy Comissioner of Ontario. Publicado em maio de 2010. Revisado em jan. 2011. p. 3. Disponível em: https://bit.ly/3Fcw7EN. Acesso em: 10 nov. 2021.
7. ZUBOFF, Shoshana. A era do capitalismo de vigilância: a luta por um futuro humano na nova fronteira do poder. Trad. George Schlesinger. Rio de Janeiro: Editora Intrínseca, 2020, p.21-22.
8. KORKMAZ, Maria Regina Detoni Cavalcanti Rigolon, 2019. Dados Sensíveis na Lei Geral de Proteção de Dados Pessoais: mecanismos de tutela para o livre desenvolvimento da personalidade. 2019. 119 f. Dissertação (Mestrado) – Curso de Direito, Universidade Federal de Juiz de Fora, Juiz de Fora. p. 49. Disponível em: https://bit.ly/3cjHC0R. Acesso em: 10 out. 2021.
9. CAVOUKIAN, Ann. Publicação da Information and Privacy Comissioner of Ontario. Publicado em maio de 2010. Revisado em jan. 2011. p. 4. Disponível em: https://bit.ly/3Fcw7EN. Acesso em: 10 nov. 2021.
10. “Art.25. 1. Tendo em conta as técnicas mais avançadas, os custos da sua aplicação, e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas, como a [pseudoanonimização], destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do presente regulamento e proteja os direitos dos titulares dos dados.”
11. “In considering whether to impose a penalty, the ICO will take into account the technical and organisational measures you have put in place in respect of data protection by design. Additionally, under the Data Protection Act 2018 (DPA 2018) we can issue an Enforcement Notice against you for any failings in respect of Article 25.” GUIDE to the General Data Protection Regulation (GDPR). Information Comissioner’s Office. 01 jan. 2021. Disponível em: https://bit.ly/3qvKsbm. Acesso em: 10 nov. 2021.
