Ao chegarmos ao fim da nossa longa viagem pelo mundo da proteção de dados, temos um último aspeto a considerar: a privacidade desde a conceção. A legislação pretende que todos os responsáveis pelo tratamento de dados tenham em conta o direito à privacidade ao planearem futuras operações de tratamento de dados pessoais.

Assim, os criadores do RGPD partem do princípio de que a gestão da privacidade se reflectirá no que fazemos. Se o fizermos, os requisitos legais tornar-se-ão um aspeto natural e óbvio da construção de uma aplicação ou da criação de um sítio Web ou, igualmente, da organização de um inquérito ou da realização de um estudo científico.

É melhor não recolher ou processar dados pessoais exceto quando necessário; e mesmo quando temos uma boa razão para recolher e processar esses dados, temos de limitar as operações de processamento às estritamente necessárias. Por conseguinte, todas as novas iniciativas neste domínio exigem uma reflexão sobre o que devemos fazer.

  • Enquanto no passado se considerava aconselhável acrescentar mais atributos ou campos a um ficheiro quando se efectuava uma análise para uma nova aplicação ou quando se concebia uma base de dados (partindo do princípio de que poderiam ser úteis no futuro), atualmente é mais importante que a quantidade de dados seja reduzida ao mínimo e adaptada ao objetivo específico para o qual os dados serão tratados.
  • É aconselhável incluir informações numa base de dados para indicar quando um determinado dado está desatualizado ou obsoleto, ou simplesmente quando já não o devemos manter. Isto facilita a eliminação sistemática dos dados quando já não são necessários ou quando já não podemos garantir a sua exatidão.

No futuro, as aplicações devem conter funcionalidades que garantam os direitos da pessoa em causa e facilitem o seu exercício na prática.

  • Sempre que um pedido solicita dados pessoais dos titulares dos dados, devemos simultaneamente fornecer informações sobre a finalidade para a qual os dados são solicitados, a duração do tratamento desses dados, os riscos envolvidos e as medidas de proteção. Por exemplo, uma aplicação para smartphone que monitoriza o desempenho desportivo deve fornecer ao utilizador informações adequadas sobre os dados que recolhe e armazena em segundo plano e comunicar o que o seu criador pretende fazer com esses dados antes de o utilizador utilizar a aplicação pela primeira vez. É desejável que este aspeto seja incorporado nas interfaces de utilizador das aplicações.
  • Do mesmo modo, qualquer pessoa que pretenda recolher dados através de um sítio Web deve fornecer imediatamente informações claras e básicas sobre as operações de tratamento de dados. Essas informações devem ser fornecidas em tempo útil. Além disso, na medida do possível, devem ser feitas distinções entre os diferentes objectivos potenciais.
  • As futuras aplicações poderão também incluir uma funcionalidade que permita às pessoas em causa ver os seus dados e, se a situação o permitir, rectificá-los, completá-los ou apagá-los. Naturalmente, tal só é possível se os direitos da pessoa em causa não entrarem em conflito com outros interesses.

A privacidade desde a conceção também significa que, ao conceber uma aplicação, as melhores práticas para proteger os dados são consideradas desde o início.

  • Por exemplo, sempre que possível, pode criar a aplicação de forma a que tudo seja encriptado. Um sítio Web pode utilizar protocolos de encriptação, como o https, e os dados podem ser trocados através de ficheiros encriptados enviados por canais encriptados. Se os dados tiverem de ser conservados durante algum tempo após uma operação de tratamento, podem também ser conservados num arquivo cifrado, por exemplo, num arquivo digital seguro. Todas estas medidas reduzem o risco de os dados se tornarem públicos ou caírem nas mãos erradas. É importante tomar estas medidas logo na fase de projeto, pois será mais barato do que fazer as alterações mais tarde.
  • Outra medida que também pode ser considerada em algumas circunstâncias é a pseudonimização dos dados. Isto significa que eliminamos dos ficheiros as referências directas a pessoas específicas. Esta medida reduz o risco de infracções em caso de acidente relacionado com um dossiê.

Tudo isto leva-nos a falar da privacidade por defeitoIsto significa que quando uma aplicação permite ao utilizador escolher se quer ou não tornar os dados públicos, partilhá-los com outros ou disponibilizá-los para certos tipos de operações de tratamento ou comunicações futuras, a configuração padrão dessa aplicação deve ser sempre a mais segura. Estas definições só são alteradas se o utilizador executar ativamente um procedimento (por exemplo, assinalando uma caixa ou clicando num botão para indicar o seu consentimento).

Como pode ver, é possível garantir a máxima privacidade dos dados recorrendo a todo o tipo de medidas, que o RGPD incentiva todos a aplicar sempre e em toda a sua extensão. A privacidade dos dados não é uma questão que deva ser esquecida ou dispensada num projeto em curso. Pelo contrário. Trata-se de uma questão preocupante.

O futuro mostrará como as grandes e pequenas empresas, os titulares de dados individuais (que podem ser incitados a agir por organizações de consumidores ou sindicatos), as autoridades de controlo e a própria UE irão lidar com o RGPD. Não há dúvida de que os tribunais terão de lidar com alguns litígios complexos. Além disso, será difícil prever quais serão as respostas às muitas perguntas que ainda estão por responder. No entanto, uma coisa é certa: a privacidade dos dados é algo a ter em conta e, muito provavelmente, será sempre assim.

Este artigo foi extraído de
Grupo Joos
.