Eventos

Ainda na década de 1990, a Comissária de Informação e Privacidade de Ontário, no Canadá, Dra. Ann Cavoukian cunhou o termo “privacy by design”, que pode ser traduzido como privacidade por design ou privacidade por concepção, definindo uma nova perspectiva sobre o desenvolvimento de sistemas que levava em consideração a privacidade das informações em todas as etapas, desde a sua concepção.

O termo foi reforçado e ganhou novos exemplos de aplicabilidade ao ser incorporado pela legislação europeia de proteção de dados (Regulamento Geral sobre a Proteção de Dados – RGPD), estabelecendo uma nova conduta em que a privacidade e a proteção dos dados dos usuários são pensadas e implementadas durante todo o processo de desenvolvimento de sistemas, aplicativos, plataformas, entre outros, como parte integrante do projeto. O oposto é o que vemos acontecer em diversos casos, em que o serviço eletrônico é inteiramente desenvolvido para, só então, as etapas serem revisadas para identificar possíveis falhas ou pontos frágeis que poderiam possibilitar a exposição indevida dos dados que por ali circulam.

A abordagem de privacidade por design é ainda mais importante neste momento de transformação digital acelerada vivenciado no país e deve caminhar de mãos dadas com os princípios estabelecidos pela Lei Geral de Proteção de Dados Pessoais (LGPD), especialmente com os fundamentos de finalidade (tratamento dos dados apenas para propósitos específicos e informados ao titular dos dados), necessidade (tratamento dos dados mínimos necessários para a prestação do serviço), segurança e prevenção.

Muito embora tanto o conceito de privacidade por design, quanto de finalidade e necessidade dos dados já estejam estabelecidos nas comunidades técnica e jurídica, escancara outro ponto de fragilidade. Quanto mais informações e dados pessoais o serviço coletar e tratar, poderá oferecer um nível de personalização mais alto, entregando o que chamam de mais “simplicidade” e “facilidade”, mas, em contrapartida, aumentando o risco para o usuário. O mesmo ocorre quando os provedores de serviços, públicos ou privados, optam por reduzir os níveis de segurança de autenticação, por exemplo, para tornar o acesso mais “simples” para o usuário. É uma tomada de decisão baseada no apetite ao risco do provedor do serviço e custodiante dos dados. Mas, não deveria ser uma escolha do usuário decidir como proteger os seus dados pessoais e com qual nível de segurança?

Tratando especificamente de serviços públicos eletrônicos, o relatório “Recommendation of the Council on Digital Government Strategies” publicado pela OCDE (Organização para a Cooperação e Desenvolvimento Econômico) em 2014, apresentou uma inovação no contexto da implementação de estratégias de governo digital ao trazer uma abordagem orientada ao cidadão (Citizen-driven), isto é, quando o próprio cidadão ou empresa determinam as suas necessidades, participando de forma ativa no desenvolvimento da estratégia de transformação digital do Estado. Nesse viés, é coerente que o cidadão também possa, ativamente, decidir como e com qual nível de segurança quer proteger os seus dados pessoais, a sua identidade digital e o seu exercício de manifestação de vontades no meio online, podendo escolher opções mais robustas e, na visão do custodiante “menos simples”, mas que garantam a ele a propriedade, autonomia e controle em relação aos seus dados.

Em um mundo conectado em rede, a privacidade deve ser a preocupação primordial dos entes que custodiam dados pessoais e sensíveis, sejam eles públicos e privados. No entanto, no contexto de transformação digital, especialmente nos serviços públicos, até que ponto será defendida a simplificação a todo custo, prejudicando a segurança dos cidadãos no processo? Até que ponto serão escolhidos procedimentos menos robustos em detrimento à proteção dos dados pessoais ou com a segurança jurídica dos bens dos cidadãos?

O que vemos acontecer, em inúmeros casos, é que a tentativa de simplificação é inversamente proporcional à segurança, empurrando para baixo do tapete problemas que podem ser consequentes dessa facilidade de acesso, como falsidades ideológicas, desvio de bens, golpes financeiros, vazamento de dados, entre tantos outros. Quanto mais simples o acesso, maiores são os riscos para o cidadão ou usuário.

Para criar um ambiente digital seguro para os cidadãos, em relação à proteção dos dados e segurança jurídica, mais do que implementar uma abordagem de privacidade por design, os responsáveis pelos sistemas eletrônicos, públicos ou privados, também devem oferecer os meios necessários para que o usuário tenha a garantia da sua autodeterminação informativa, tendo liberdade de escolha sobre como e com qual nível de segurança proteger a sua identidade digital e os seus dados pessoais nos meios eletrônicos.

Thaís Covolato, coordenadora do Comitê de Identidades Digitais da Câmara Brasileira da Economia Digital (Camara-e.net), principal entidade multissetorial da América Latina e destacada pela OCDE como a entidade brasileira de maior representatividade da Economia Digital