As engenharias de segurança, privacy by design e privacy by default, à luz do Regulamento Geral Europeu sobre a Proteção de Dados (2016/679)

A partir do penúltimo quarto do século XX, a proteção de dados passou a ser objeto de debate pelos poderes legislativos de países europeus. De início, a discussão estava voltada para a defesa da privacidade dos indivíduos frente a ingerências estatais. Todavia, com o desenvolvimento exponencial de tecnologias digitais inserido numa crescente necessidade de se implementar uma cultura de proteção de dados, o foco logo se redirecionou a questões atinentes à autodeterminação informacional, direitos fundamentais de liberdade e ao livre desenvolvimento da personalidade do indivíduo.

Nesse trilhar, tem-se as Diretrizes  da  Organização  para  Cooperação  e  Desenvolvimento  Econômico (1980) voltadas à cooperação e a privacidade no âmbito da proteção de dados pessoais, bem como a Convenção 108 do Conselho da Europa para a Proteção das Pessoas Singulares (1981), surgindo como marco inaugural legislativo no que tange ao respeito aos direitos e liberdades fundamentais dos indivíduos frente a um crescente  tratamento automatizado dos dados pessoais. Pode-se dizer que tais iniciativas possibilitaram o amadurecimento do debate no continente, resultando na Diretiva 95/46/CE do Parlamento Europeu e do Conselho voltada à proteção e à livre circulação dos dados pessoais e a Diretiva 2002/58/CE destinada à regulação da privacidade e das comunicações eletrônicas (Diretiva ePrivacy). Como estágio mais avançado desse processo evolutivo regulatório, em abril de 2016, o Regulamento Geral Europeu sobre a Proteção de Dados de 2016/679 (RGPD) foi aprovado com posterior publicação em maio do mesmo ano. O RGPD revogou a Diretiva 95/46/CE do Parlamento Europeu e do Conselho, passando a vigorar a partir de 25 de maio de 2018.

O RGPD, na busca por práticas de governança que contemplem os processos de tratamento de dados pessoais em todas as suas fases de desenvolvimento, introduziu novos parâmetros de proteção e sigilo de dados no continente europeu. Essa nova concepção fez com que fossem inseridas ferramentas que evidenciam a importância da segurança da rede e das informações contra um tratamento não autorizado ou ilícito, em especial, o realizado por governos e empresas. Dessa forma, restou emergente que os procedimentos, processos e políticas relacionados aos dados pessoais estariam destinados a garantir a integridade e confidencialidade do tratamento (art. 5º, (1), "f" do RGPD). Pois, o contemporâneo estágio de compliance, exigido pelo RGPD, além de abranger todas as fases das operações de tratamento, desde a fase de concepção do produto ou do serviço até a sua eliminação, preceitua como um dever que o tratamento de dados pessoais seja realizado por bases legais garantidoras da devida segurança e confidencialidade (Considerando 39, parte final, do RGPD).

E por assim dizer, em seu considerando 78, o RGPD é expresso ao preceituar que: "A defesa dos direitos e liberdades das pessoas singulares relativamente ao tratamento dos seus dados pessoais exige a adoção de medidas técnicas e organizacionais adequadas, a fim de assegurar o cumprimento dos requisitos do presente regulamento. Para poder comprovar a conformidade com o presente regulamento, o responsável pelo tratamento deverá adotar orientações internas e aplicar medidas que respeitem, em especial, os princípios da proteção de dados desde a concepção (privacy by design) e da proteção de dados por padrão (privacy by default)".

Nesse sentido, a noção de que a proteção dos dados pessoais está diretamente atrelada à implementação de medidas técnicas e administrativas, como o privacy by design e default, tornou-se uma regra.

Antes de adentrar nas disposições do RGPD que tratam sobre privacy by design e by default, cumpre salientar que a ideia de uma proteção de dados desde a concepção (privacy by design) já existe a mais de 30 anos por meio dos estudos desenvolvidos pela pesquisadora canadense Ann Cavoukian. Não por outra razão, na 31ª Conferência Internacional de Comissários de Proteção de Dados e Privacidade (2009), a pesquisadora apresentou seu trabalho denominado de "Privacy by Design: The Definitive Workshop". Como ponto marcante do estudo, tem-se a enumeração de sete princípios¹ tidos como fundamentais às engenharias de segurança relacionadas à proteção de dados pessoais:

1. Proativo, não reativo; preventivo, não corretivo. Uma abordagem de técnicas de privacidade pautadas pelo privacy by design é caracterizada por medidas proativas em vez de reativas. Em suma, o privacy by design vem antes e não depois.

2. Proteção de dados como padrão (privacy  by  default). O privacy by design visa garantir o mais alto nível de proteção de dados, fazendo com que os dados pessoais sejam protegidos de tal maneira que o titular não precisa realizar qualquer ação.

3. Privacidade incorporada desde a fase de design. A privacidade insere-se como uma funcionalidade central no design e na arquitetura de sistemas de TI e nas práticas negociais.

4. Funcionalidade total. Todos ganham, pois os objetivos das atividades de tratamento adequam-se às políticas de boas práticas de segurança sem que o produto ou serviço seja desvalorizado. Evita-se falsas dicotomias, como privacidade vs. segurança, demonstrando que é possível ter ambos.

5. Segurança de ponta a ponta. Garantir a privacidade e a segurança durante toda a existência dos dados. O privacy by design garante, do início ao fim, o gerenciamento do ciclo de vida das informações.

6. Clareza e transparência. O desenvolvimento das atividades de tratamento passa a estar atrelado a valores como a integridade das informações e a confiança do titular. Tais valores se materializam por meio de três práticas centrais: responsabilidade, abertura e conformidade.

7. Respeito ao titular. O privacy by design deve considerar os interesses e necessidades dos titulares em primeiro lugar, fornecendo informações facilmente acessíveis, consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como notificar o mesmo em caso de ocorrência de incidente de segurança.

A relevância e os impactos dos estudos na comunidade europeia, fizeram com que, na 32ª Conferência Internacional de Comissários de Proteção de Dados e Privacidade (2010), o princípio do privacy by design fosse reconhecido como um elemento central no âmbito da proteção de dados e da privacidade.

O "privacy by design" pode ser compreendido como uma forma de conceber o tratamento de dados pessoais intrinsecamente ligado a técnicas que garantam a segurança e a privacidade da informação em todas as etapas do produto ou do serviço, de modo a abranger todo o seu ciclo de tratamento. Consiste em projetar tecnologias e práticas negociais, desde o início, de acordo com bases legais de privacidade e de proteção de dados.

Com efeito, o RGPD, em seu artigo 25, 1, versa no seguinte sentido: " tendo em conta as técnicas mais avançadas, os custos da sua aplicação, e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e liberdades das pessoas naturais, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizacionais adequadas, como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, visando incluir as garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do presente regulamento e proteja os direitos dos titulares dos dados.

No que tange ao "privacy by default", a engenharia visa conferir ao titular dos dados uma tutela sobre a proteção de seus dados pessoais sem que seja necessária uma intervenção do mesmo para a efetivação desse objetivo.

Nesse sentido, tem-se o art. 25, 2 do RGPD: "O responsável pelo tratamento aplica medidas técnicas e organizacionais para assegurar que, por padrão, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento. Essa obrigação aplica-se à quantidade de dados pessoais recolhidos, à extensão do seu tratamento, ao seu prazo de conservação e à sua acessibilidade. Em especial, essas medidas asseguram que, por padrão, os dados pessoais não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas singulares".

O RGPD estabelece "o privacy by design" e o "privacy by default" como requisitos essenciais para a efetivação de uma conformidade legal com a norma. A efetividade dessa máxima, perpassa pela análise das condições gerais para a aplicação das sanções administrativas trazidas pelo RGPD, que traz em seu art. 83. 2, a previsão de que: "(...) Ao decidir sobre a aplicação de uma multa e sobre o montante da multa em cada caso individual, é tido em devida consideração o seguinte: (...) d) O grau de responsabilidade do responsável pelo tratamento ou do subcontratante tendo em conta as medidas técnicas ou organizacionais por eles implementadas nos termos dos artigos 25 e 32;

Nesse modelo de proteção, os agentes responsáveis pelas atividades de tratamento, no cumprimento de suas atribuições legais, devem adotar engenharias de segurança e profissionais capazes de garantir o cumprimento dos requisitos do RGPD e, em particular, a obrigação de garantir uma proteção dos dados pautada no "privacy by" design e "by default".

A par desse entendimento, já é possível verificar uma atuação das Autoridades de Proteção de Dados da Europa com vistas a efetivar tais práticas.

Em outubro de 2019,² a Autoridade de Berlim para Proteção de Dados e Liberdade da Informac¸a~o (Berliner Beauftragte fu¨r Datenschutz und Informationsfreiheit - BlnBDI) verificou a existência de graves falhas no sistema de armazenamento de dados da empresa Deutsche Wohnen SE (setor imobiliário). As infrações foram constatadas após a realização de duas auditorias (2017 e 2019). A BlnBDI asseverou para o fato de que levando em consideração o estado da técnica, o custo de implementação, a natureza, o escopo, o contexto e as finalidades das operações realizadas pela empresa, bem como os riscos para os direitos e liberdades das pessoas naturais decorrentes das atividades de tratamento, a Deutsche Wohnen SE deveria, tanto no momento da determinação dos meios de tratamento quanto no momento do próprio tratamento, ter implementado medidas aptas a efetivar as técnicas de segurança da proteça~o de dados pessoais que norteiam o RGPD, como a pseudonimizac¸a~o e a anonimizac¸a~o, bem como ter adotado salvaguardas e mecanismos de mitigac¸a~o de risco. Em conclusão, a BlnBDI constatou que o sistema de armazenamento de dados pessoais da empresa não possibilitava a exclusão de dados pessoais, bem como que as atividades de tratamento não foram desenvolvidas por meio da implementação dos princípios de privacy by design e by default. Dessa forma, em sua sanção administrativa, a BlnBDI multou a empresa Deutsche Wohnen SE em ?14.500.000,00 (catorze milhões de euros) e determinou a implementação de medidas e mecanismos de mitigação de risco.

No mesmo sentido, em abril de 2020,³  a Autoridade Finlandesa de Proteção de Dados (Tietosuojavaltuutetun toimisto) recebeu denúncias em face de uma empresa (não identificada) que monitorava o horário de trabalho de seus funcionários por meio de dados de localização. As informações foram extraídas do sistema de informação existente nos veículos da empresa. Nas conclusões de suas investigações, a Autoridade Finlandesa constatou, dentre outras infrações, que as atividades do controlador da empresa não estavam lastreadas por medidas técnicas e administrativas aptas a proteger os dados pessoais dos funcionários (art. 25 do RGPD). Sendo assim, a empresa foi multada em ? 16.000,00 (dezesseis mil euros) e notificada sobre a necessidade de adoção de medidas corretivas em suas operações de tratamento.

Desse modo, é possível verificar que a implementação de engenharias de segurança aptas a efetivar o privacy by design e by default já é uma realidade não somente no campo teórico e legal.

Num contexto social em que governos e empresas desenvolvem serviços baseados na utilização de dados pessoais cujo impacto na privacidade é potencializado pela utilização de tecnologias disruptivas, é necessária a adoção de medidas técnicas e organizacionais eficazes que contribuam para que seja garantida a tutela dos direitos e liberdades do indivíduos no que diz respeito ao tratamento de dados pessoais.

Os desafios para a implementação das engenharias de segurança de privacy by design e by default possuem um papel de protagonismo nos esforços do governo e das empresas para adequar suas atividades de tratamento aos comandos legais de proteção de dados pessoais. Em razão da abrangência e complexidade técnica do assunto, pode-se concluir que a execução de um modelo de governança adequado a esses valores deverá contemplar diferentes níveis operacionais, e, principalmente, compreender que a adoção dessas engenharias não representa uma barreira à inovação, mas uma oportunidade para o desenvolvimento econômico e tecnológico.

_________

1 CAVOUKIAN, Ann. Privacy by design: the definitive workshop. A foreword by Ann Cavoukian, 2010. p 249-250.

_________

*Pedro Dalese é bacharel em Direito pela Universidade Federal Fluminense (UFF), advogado do Escritório Luciano Tolla Advogados (Niterói/RJ) e especializado em Direito Digital e Proteção de Dados pela Escola Superior de Advocacia (ESA/OABRJ).