Antes de falar em Privacy by Design, é preciso falar em Privacy by Desire

Antes de falar em Privacy by Design, é preciso falar em Privacy by Desire

Paulo Vidigal*

10 de agosto de 2021 | 12h58

Logo após a edição da LGPD, uma empresa qualquer decide reunir os membros de sua área de marketing para discutir as mudanças e desafios da lei. Ao longo de uma hora, os presentes se entregam de corpo e alma na missão de traçar caminhos para adequar suas atividades à lei. A conversa é amena. 

Paulo Vidigal. FOTO: DIVULGAÇÃO

Ainda paira no ar a pergunta “essa lei vai pegar?” E o ano e meio de vacatio legis (período de adaptação antes da entrada em vigor da lei, que em breve seria estendido para dois anos) traz certo conforto, ainda que ilusório. A área se mostra verdadeiramente disposta a pôr à prova suas rotinas. Muitas dúvidas, contudo, são impossíveis de endereçar. 

O que é legítimo interesse? Quando a Autoridade Nacional de Proteção de Dados será criada? Os Estados Unidos é território seguro para envio de dados pessoais?  E por aí vai… Os participantes fazem o possível para traçar algumas diretrizes em meio a tanta incerteza. A muitas mãos, vão sendo construídos os significados, prático e contextual, dos princípios da lei à luz do modelo de negócio da empresa. Ao fim, satisfeitos, os participantes tomam um último gole de café, saboreando o sucesso daquela primeira reunião de trabalho. Prestes a irem embora, o membro mais tímido do time levanta a mão pela primeira vez. A pergunta é direta: se acabamos de definir que é preciso minimizar dados, como batemos a meta de expandir nossa base de clientes em 30%? Isso mesmo. Aquela área tinha duas metas para o ano e, em meio ao calor dos debates, uma havia sido temporariamente esquecida. A outra era “estar em conformidade com a LGPD”.

Ao falarmos em Privacy by Design – estratégia globalmente reconhecida para gestão de privacidade nas organizações idealizada por Ann Cavoukian, comissária da autoridade de proteção de dados de Ontario – instintivamente somos levados a pensar em como injetar elementos de privacidade e proteção de dados como requisitos na concepção de novos produtos, serviços ou atividades. Nossa mente se volta, principalmente, ao nível operacional, à base da pirâmide. Contudo, para que toda a engrenagem possa parar de pé, é preciso estabelecer a garantia da privacidade e o respeito à proteção de dados como compromisso, lá no alto, no nível estratégico. 

Antes de pensar em adequação de produtos, serviços e processos, a organização deve se preocupar em desenvolver e nutrir uma vontade real em fazer bom uso dos dados pessoais que custodia. Por isso, para dar ênfase a essa necessidade, proponho que falemos não só em Privacy by Design, mas também em Privacy by Desire

E, para encampar o desejo por privacidade e proteção de dados, olhando para o topo, podem ser consideradas as seguintes ações:

  • Estabelecer um percentual mínimo obrigatório do orçamento de áreas-chaves a ser destinado para ações de conformidade com privacidade e proteção de dados, para trazer conforto de que há incentivo e amparo financeiro para esse assunto.
  • Envolver ativamente membros do alto escalão em ações de conscientização: um mini vídeo gravado por diretores tratando do tema pode ter mais força do que uma série de treinamentos conduzidos pelo encarregado pelo tratamento de dados pessoais (responsável interno pelos temas de privacidade e proteção de dados, também referido como data protection officer, DPO ou simplesmente encarregado). 
  • Assegurar ao encarregado acesso ao mais alto nível organizacional, com janela para reportes periódicos, de modo que questões relativas ao tema possam alcançar diretamente os decisores máximos. 
  • Para além de treinamentos recorrentes, encorajar colaboradores a seguir carreira em privacidade, propiciando oportunidades para que realizem cursos e obtenham certificados custeados pela organização.
  • Designar comitê externo, imparcial e independente, para supervisionar o programa de privacidade a partir de uma perspectiva não-comercial. 

Diz o ditado: where there’s a will, there’s a way (em português, algo como “se há vontade, há um caminho”). Logo, estando suficientemente claro o compromisso da organização em cumprir com as normas e boas práticas relacionadas à privacidade e proteção de dados, será muito mais fácil encontrar um caminho para pensar na incorporação desses valores às rotinas operacionais e à concepção de novos produtos e serviços.

*Paulo Vidigal, sócio do escritório Prado Vidigal, especializado em Direito Digital, Privacidade e Proteção de Dados, certificado pela International Association of Privacy Professionals (CIPP/E), pós-graduado em MBA em Direito Eletrônico pela Escola Paulista de Direito, com extensão em Privacidade e Proteção de Dados pela Universidade Presbiteriana Mackenzie e em Privacy by Design pela Ryerson University

Tudo o que sabemos sobre:

Artigo

Comentários

Os comentários são exclusivos para assinantes do Estadão.