Por Aline Fachinetti 1 e Rafael Marques 2
O conceito de Privacy by Design (PbD) vem revolucionando a forma como organizações pensam a proteção de dados. Trata-se de uma abordagem proativa e preventiva, fundamental em um mundo cada vez mais digital em que a proteção de dados pessoais se mostra tão importante.
Criado por Ann Cavoukian, renomada especialista canadense, o Privacy by Design estabelece que a privacidade e a proteção de dados devem ser consideradas desde o começo de qualquer processo ou projeto, e não apenas como uma preocupação final.
Em outras palavras, é a prática de construir sistemas, produtos e serviços que garantam a privacidade por padrão. A prática do Privacy by Design se consolidou em regulamentações como o Regulamento Geral de Proteção de Dados (GDPR) e a nossa Lei Geral de Proteção de Dados Pessoais (LGPD).
A seguir, vamos explorar os princípios fundamentais do PbD, sua importância e como garantir a sua aplicação no contexto da LGPD. Continue a leitura e confira!
O que significa Privacy by Design?
Como vimos, o Privacy by Design, ou “privacidade desde a concepção”, é uma abordagem que propõe incorporar a proteção de dados desde o início dos projetos, sistemas e processos, e não apenas como um complemento ao final.
A ideia é que a privacidade seja integrada como um valor fundamental, de modo que os usuários e sua proteção sejam consideradas um pilar fundamental de qualquer produto ou serviço.
Essa abordagem é proativa e preventiva, pois está focada em prevenir violações e problemas de privacidade, em vez de corrigi-los depois que ocorrem.
Tal característica foi reforçada no prefácio escrito pela própria Ann Cavoukian no livro Privacy Operations, publicado pela Saraiva Jur e com Selo da Future Law, onde a prefaciante destacou a importância de práticas preventivas e integradas para a proteção de dados.
Os 7 princípios do Privacy by Design
Para aplicar o Privacy by Design, é fundamental entender seus sete princípios, que servem como uma base para a criação de processos e sistemas com foco em privacidade:
- Proatividade, não reatividade: o Privacy by Design é preventivo e foca em evitar problemas antes que eles ocorram, em vez de reagir a violações após o dano.
- Privacidade como configuração padrão: as proteções de privacidade devem ser automáticas e ativadas por padrão, sem que o usuário precise configurar.
- Privacidade embutida no design: a privacidade não deve ser tratada como um adicional; ela deve estar integrada à arquitetura básica do sistema ou produto.
- Funcionalidade total — ganho positivo, não soma zero: é possível proteger a privacidade sem abrir mão da funcionalidade e das metas do sistema. A abordagem deve buscar o equilíbrio entre os interesses organizacionais e a proteção dos dados pessoais.
- Segurança de ponta a ponta: o Privacy by Design propõe que todas as etapas de um processo estejam seguras, garantindo a proteção dos dados desde a coleta até o descarte.
- Visibilidade e transparência: os processos devem ser abertos e transparentes para que os usuários compreendam como seus dados são protegidos.
- Respeito pela privacidade do usuário: o design dos sistemas deve priorizar o usuário e respeitar os seus interesses e expectativas de privacidade.
Esses sete princípios (Proatividade, Privacidade como padrão, Privacidade embutida no design, Funcionalidade total, Segurança ponta a ponta, Transparência e Respeito ao usuário) formam a base do Privacy by Design e servem como um guia para organizações e profissionais que desejam incorporar a privacidade, na prática.
Leia também: Dia da Internet Segura, conheça 3 normas relativas à segurança online!
Privacy by Design na LGPD: um requisito obrigatório?
A LGPD não menciona expressamente o termo “Privacy by Design”. Por outro lado, ela adota diversos princípios e práticas que estão totalmente alinhados com ele.
A lei traz a necessidade de se aplicar a privacidade desde a concepção de serviços e produtos, bem como reforça e tem como princípios a transparência, a segurança e a minimização de dados. O que significa que apenas os dados estritamente necessários devem ser coletados e armazenados.
Esses requisitos da LGPD vão de encontro ao segundo e ao terceiro princípio do Privacy by Design, que garantem a privacidade como padrão e a incorporação da privacidade ao próprio design dos sistemas.
Assim, as empresas que implementam o Privacy by Design desde o início de seus projetos conseguem não apenas atender às bases legais LGPD, mas também criar uma cultura organizacional que valoriza a privacidade e o respeito aos direitos dos titulares de dados.
Além disso, a LGPD exige que os controladores demonstrem a adoção de medidas de proteção de dados adequadas. O Privacy by Design é, portanto, uma maneira prática e eficiente de cumprir com essa obrigação e reduzir riscos.
Mais do que isso, defendemos que implementar o Privacy by Design também pode gerar uma vantagem econômica estratégica. Ao considerar a proteção de dados nas fases iniciais de desenvolvimento, as empresas mitigam riscos de conformidade e reduzem a necessidade de investimentos corretivos futuros, que geralmente são mais onerosos.
Além disso, ao construir processos e sistemas com privacidade em sua estrutura central, promovem uma eficiência operacional que, no longo prazo, contribui para otimizar recursos e aprimorar a governança de dados.
Dessa forma, o Privacy by Design pode ser visto não apenas como mera obrigação regulatória, mas uma oportunidade de inovação e competitividade no mercado.
Saiba mais: Entenda o que é e conheça as vantagens de ter um banco de dados!
Diferenças entre Privacy by Design e Privacy by Default
Privacy by Design e Privacy by Default são conceitos que consideramos como complementares. Privacy by Design é a abordagem mais ampla, que orienta a criação de sistemas e processos focados em privacidade desde o início.
O Privacy by Default, por outro lado, é um dos seus princípios, que busca garantir que a proteção de dados esteja ativa como configuração padrão. Ou seja, o usuário não precisaria ajustar configurações para se proteger — a privacidade já está garantida (“ligada”) desde o princípio.
Essas abordagens se alinham fortemente à LGPD e ao GDPR, que exigem que as organizações adotem medidas de proteção robustas, com fundamento na privacidade e promovam a proteção de dados em cada etapa.
Conheça a obra Privacy Operations
Para quem deseja se aprofundar no tema, o livro Privacy Operations é uma excelente opção.
Coordenado por Aline Fuke Fachinetti, Rafael Marques, Tatiana Coutinho e Tayná Carneiro, publicado pela Saraiva Jur e com selo Future Law, a obra reuniu diversos especialistas renomados do Brasil na área. Sem dúvidas uma leitura essencial.
A obra conta com prefácio escrito pela própria Ann Cavoukian, traduzido ao português, e oferece uma visão prática e completa sobre como as empresas podem implementar uma operação de privacidade sólida e em conformidade com a LGPD e outras legislações internacionais.
Além disso, o livro aborda como alavancar a proteção de dados de forma estratégica e eficiente. Os renomados autores exploram conceitos como Privacy by Design, trazendo também estudos de caso e recomendações para que a privacidade seja um pilar central nas empresas.
O livro é recomendado para todos que desejam efetivar o Privacy by Design, na prática e com qualidade. Adquira agora mesmo a obra Privacy Operations.
Esperamos que você tenha gostado de conhecer mais sobre os pilares e relevância do Privacy by Design nas organizações. Continue no blog, e descubra como identificar dados pessoais sensíveis!
¹ LLM em Innovation, Technology and the Law na University of Edinburgh, como Chevening Scholar. Especialista em Direito Empresarial pela FGV Direito SP e bacharel em Direito pela PUC-SP. Advogada. Cofundadora e Diretora da Associação Juventude Privada. 40 under 40 pelo Global Data Review e Fellow of Information Privacy pela IAPP. Lidera o capítulo do Brasil do Women in AI Governance™. Foi líder da IAPP Women Leading Privacy Section e membro do conselho consultivo da IAPP Women Leading Privacy Board. Certificada como AI Governance Professional (AIGP), DPO Brasil (CDPO/BR), Privacy Manager (CIPM), Privacy Professional Europe (CIPP) e Google Project Management. Curso Executivo de Gestão e Inovação em Projetos na ISCTE Lisboa e de Privacy and AI Law and Policy na Universidade de Amsterdam. Gerente Sênior de Proteção de Dados na Edenred para a região Américas (LATAM e EUA).
² Advogado, Consultor e Professor de Direito e Tecnologia | Pós-graduado em Direito Empresarial pela FGV/RJ | Certificado CIPM e CDPO/BR pela IAPP | Membro da Comissão de Direito Digital da OAB/SP | MBA em DSA pela USP/Esalq | Pesquisador no GITEC/FGV-SP | Integrante do Projeto FRET | Membro da FobsBLK | Co-Host Flycast News.
