A Lei Brasileira de Proteção de Dados Pessoais (LPDP) e a General Data Protection Regulation (GDPR) determinam que as atividades de tratamento de dados pessoais devem observar, além da boa-fé, os seguintes princípios: a finalidade, a adequação, a necessidade, o livre acesso, a qualidade dos dados, a transparência, a segurança, a prevenção, a não discriminação e a responsabilização.
Privacy by Design (PbD) se refere a uma abordagem que visa a garantir a privacidade do usuário ao longo de todo o ciclo de vida de uma aplicação, serviço ou processo de negócio. O PbD incorpora medidas de proteção de dados pessoais desde a concepção e concede, ao titular dos dados, flexibilidade e poder para gerenciar o tratamento das informações pessoais. Essa abordagem considera os seguintes princípios:
Ser proativo, e não reativo
Antecipar e prevenir eventos que possam comprometer a privacidade antes que eles ocorram. Por meio desse princípio, os eventos que possam comprometer o direito fundamental à privacidade devem ser identificados, e as estratégias de tratamento, definidas.
Privacidade como configuração padrão
Garantir que os dados pessoais sejam automaticamente protegidos, ou seja, sem que o titular dos dados tenha de realizar configurações adicionais. As configurações referentes à privacidade devem estar definidas de maneira que o máximo de proteção seja refletido na configuração padrão.
Privacidade incorporada ao design
A proteção dos dados pessoais deve ser parte do projeto de arquitetura da aplicação, serviço ou prática de negócio, e não um componente opcional (add-ons). Esse princípio, reduz o esforço do usuário a fim de garantir a privacidade de seus dados.
Funcionalidade completa
Assegurar que a proteção de dados pessoais esteja alinhada com os interesses e objetivos legítimos de quem é responsável pelo tratamento dessas informações, sem abrir mão da segurança para obter mais dados. O princípio em questão estabelece uma relação de ganha-ganha entre o titular e os agentes de tratamento de dados.
Segurança de ponta a ponta
A proteção dos dados pessoais deve ser contemplada ao longo de todo o ciclo de vida, ou seja, da coleta até o descarte das informações, passando pelo transporte, processamento e armazenamento.
Visibilidade e transparência
Conceder visibilidade ao titular do dado quanto à finalidade da coleta e com quem estão sendo compartilhados esses dados e o porquê, bem como abertura para realização de auditorias para assegurar que as informações pessoais estejam sendo devidamente protegidas. É um princípio abrangente e, por isso mesmo, um dos mais desafiadores do PbD.
Respeite a privacidade do usuário
Manter os interesses do titular dos dados em primeiro lugar, isto é, disponibilizar controles robustos para proteção de dados, notificando-o de maneira clara e oportuna, ao mesmo tempo em que torna as configurações referentes à privacidade amigáveis.
Incorporar os princípios do PbD à prática de desenvolvimento de novos produtos e serviços, demanda investimentos para conscientizar e capacitar as partes envolvidas e assegura uma abordagem sistemática e integrada, cujos resultados vão além da conformidade com leis e normas de proteção de dados pessoais.
A proteção da privacidade impulsiona a criação de modelos de negócios, contribui para o desenvolvimento de novos meios para proteção de dados pessoais e precisa ser encarada pelas organizações como uma ferramenta que vem para viabilizar a transformação digital dos negócios.