Os princípios da proteção de dados desde a conceção e por defeito, criam incentivos para soluções inovadoras que deem resposta a questões sobre a proteção de dados logo desde o início
A proteção de dados desde a conceção e por defeito (by design and by default), estabelecida no Artigo 25º do RGPD impõe ao responsável pelo tratamento de dados que este aplique medidas técnicas e organizativas adequadas e necessárias que garantam a aplicação do RGPD e a proteção dos direitos dos titulares dos dados.
A adoção da abordagem baseada nos princípios privacy by design e privacy by default sempre fez parte das boas práticas no que diz respeito ao tratamento de dados pessoais. Apesar de estes princípios já serem aplicados no âmbito do princípio da qualidade dos dados, o RGPD vem prever expressamente a sua adoção no momento da definição dos meios de tratamento e no momento do tratamento de dados propriamente dito. Tais medidas podem, por exemplo, incluir a minimização do tratamento de dados pessoais e pseudonimização de dados pessoais.
A proteção de dados por defeito (by default) exige que só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento, nomeadamente quanto à extensão do tratamento, ao prazo de conservação dos dados pessoais e à acessibilidade dos mesmos aos seus titulares para que estes possam controlar o tratamento que esteja a ser realizado.
No entanto, a proteção de dados desde a conceção implica que os mecanismos de proteção de dados pessoais devem ser estruturados e implementados desde a conceção de um novo produto/serviço, e assenta em sete princípios, a saber:
- Princípio proactivo-preventivo, caracterizado pela antecipação e prevenção de invasões de privacidade antes de estas ocorrerem;
- Princípio da privacidade como configuração pré-definida, que assegura que a privacidade seja a base de qualquer sistema de IT e prática comercial;
- Princípio da privacidade embutida no design, que exige que a privacidade esteja incorporada nos sistemas de IT e práticas comerciais sem diminuir as funcionalidades dos mesmos;
- Princípio da funcionalidade total, que procura equilibrar todos os interesses legítimos e está associada a uma perspetiva de soma positiva, “win-win”, evitando falsas dicotomias, assegurando-se, não só, a privacidade, mas também, a segurança no tratamento de dados pessoais;
- Principio da segurança de ponta a ponta, na medida em que implica que se a mesma estiver incorporada no sistema antes de ser iniciado qualquer tipo de tratamento de dados pessoais, estende-se a proteção a todo o ciclo de vida que envolve o tratamento de dados pessoais;
- Princípio da visibilidade e transparência, visando criar um sistema aberto com o objetivo de garantir a todas as pessoas interessadas, independentemente do negócio e tecnologia envolvida, que o sistema está em conformidade. Para o efeito, o sistema deve assegurar que as suas partes componentes e operações realizadas sejam visíveis e transparentes, tanto para os utilizadores como para os operadores do sistema;
- Princípio do respeito pela privacidade do utilizador, mantendo o sistema centrado no mesmo.
Ao tomar decisões sobre a conceção de um sistema de processamento, a aquisição e o funcionamento desse sistema, o responsável do tratamento (ou subcontratante) deve ter em conta diversos aspetos, nomeadamente:
- A minimização do tratamento de dados – os sistemas de tratamento de dados devem ser concebidos de forma a processar o mínimo de dados pessoais;
- A controlabilidade – os sistemas de tratamento de dados devem ser concebidos para que o titular dos dados pessoais em tratamento tenha controlo sob os seus dados, possibilitando-lhe a oposição ou o seu consentimento;
- A transparência – os sistemas de tratamento de dados devem assegurar que os titulares dos dados se encontram suficientemente informados quanto ao tratamento dos dados;
- A simplicidade – as funções do sistema de tratamento de dados que estejam relacionadas com a proteção de dados e com a privacidade devem ser intuitivas e simples de forma a permitirem a facilidade de utilização pelos titulares dos dados com menor experiência nos meios tecnológicos;
- A confidencialidade do tratamento – o sistema e os responsáveis pelo tratamento de dados apenas devem permitir o acesso aos dados em tratamento por parte das entidades autorizadas para o efeito;
- A qualidade do tratamento – os responsáveis pelo tratamento de dados devem assegurar a qualidade do tratamento de dados com apoio em meios técnicos.
Assim, poderemos dizer que, promovendo-se uma cultura de proteção de dados desde a conceção nas operações de tratamento de dados pessoais, os riscos para a privacidade e a proteção dos dados podem ser significativamente minimizados.
A certificação do sistema de gestão de segurança de informação permite demonstrar o cumprimento das obrigações que resultam da aplicação dos princípios de proteção de dados desde a conceção e por defeito e, ainda, permite aos titulares dos dados pessoais avaliar rapidamente o nível de proteção de dados proporcionado pelos produtos e serviços em causa.
Deste modo, o RGPD procura encorajar os fabricantes dos produtos, serviços e aplicações a desenhar sistemas que permitam às organizações cumprir com as normas e princípios associados à privacidade e proteção de dados. Com efeito, será necessário incluir a privacidade na criação de sistemas, desde a sua conceção e como uma configuração pré-definida do próprio sistema de gestão de segurança e privacidade, contribuindo-se para o desenvolvimento de metodologias de engenharia de privacidade, e bem assim, das metas legais aplicáveis.