“A win-win situation or result is one that is good for everyone who is involved” (Cambridge Dictionary)
1. Introdução
A ideia de privacidade, na forma como conhecemos, existe formalmente há apenas cerca de cento e trinta anos. Com efeito, até o expresso reconhecimento do direito à privacidade no ensaio denominado “The Right to Privacy”, de autoria de Samuel D. Warren e Louis D. Brandeis, em “Harvard Law Review”, no ano de 1890 1, emergiam tão somente referências de ordem filosófica, tais como aquelas que têm suas raízes fincadas na antiga Grécia.
O específico conceito de privacidade, em sua origem, referia-se à não interferência estatal quanto à vida dos cidadãos. Posteriormente, com seu amadurecimento, a privacidade passou a ser compreendida em um contexto mais alargado e como um direito mais amplo, tal seja aquele que emerge da prerrogativa de não intromissão sob nenhuma forma e por nenhuma pessoa.
Com o passar dos anos, notadamente no contexto pós-Segunda Guerra Mundial, o conceito de privacidade emergiu como direito fundamental, sendo certo que, como consequência do desenvolvimento tecnológico, a proteção de dados veio a ser estabelecida como direito autônomo.
A necessidade de homogeneização normativa ensejou o Regulamento Geral de Proteção de Dados Europeu – RGPD – EU 16/679 (“General Data Protection Regulation – GDPR”), em eficácia plena desde 25 de maio de 2018, e que hoje é entendido como standard de proteção de dados em todo o mundo. A propósito, observa-se que, dentre outros projetos de lei existentes, o legislador brasileiro aprovou aquele que se encontrava em maior sintonia com a legislação europeia. A LGPD (“Lei Geral de Proteção de Dados – Lei 13.709/18) 2, que entrará em vigor em agosto de 2010, revela, portanto, notável similaridade com o regramento europeu. Com o advento de tais diplomas, observou-se notória e crescente preocupação por parte de empresas de todo o mundo quanto ao significativo rol de procedimentos a serem necessariamente adotados para a integral conformidade à lei. Uma das exigências postas em ambas as leis, com algumas distinções, é a que precisamente diz respeito à Proteção de Dados desde a Concepção e por Padrão (“Data Protection by Design and by Default”).
Do ponto de vista econômico e sob a perspectiva de que não raro os empresários veem-se obrigados a fazer escolhas, a inovação legislativa representa, de fato, a introdução de uma nova exigência às empresas, a qual, à primeira vista, pode ser percebida como gravosa e de significativa repercussão, a potencialmente impactar os fluxos financeiros.
Tal conclusão, entretanto, mostra-se imprecisa e incompleta, pois, para além do estrito caráter mandatório da norma, há que se averiguar o que, em termos mercadológicos, potencialmente poderá ocorrer na ausência de cumprimento da obrigação legal. Para além disso, a conformidade ao parâmetro equivale hoje a verdadeiro asset reputacional.
Esse ensaio aborda tal questão à luz da lógica da win-win situation.
2. Privacy by Design
Foi precisamente no Canadá que nasceu a concepção da premissa do “Privacy by Design”, a qual, de forma pungente, definiu o caráter user-centric no que se refere ao objeto de atenção primordial das questões afetas à proteção de dados.
Esse modelo foi originariamente desenvolvido por Ann Cavoukian 3 e remonta à década de noventa, época em que passou a atuar como Comissária de Informação e Privacidade de Ontário 4 e, ainda, por resultado de trabalho conjunto com a “Dutch Data Protection Authority” 5 e “Netherlands Organisation for Applied Scientific Research” 6, e ao qual sobreveio o evento “Privacy by Design: The Definitive Workshop”, em 2009, em Madrid.
De acordo com Cavoukian, o elemento que pavimentou referido paradigma foram as chamadas PETs (Privacy Enhancing Technologies), assim entendidas como um coerente sistema que engloba tecnologias desenhadas para suportar a privacidade e a proteção de dados, conforme definição da Enisa (“The European Agency for Network and Information Society”), a qual, aliás, no ano de 2015, publicou relatório de análise da adoção e da evolução de tais tecnologias 7.
Com uma concepção muito própria quanto à concreta implementação do conceito em termos práticos, Ann Cavoukian alinha sete princípios fundamentais constitutivos da essência do “Privacy by Design”, os quais foram elencados no artigo “Privacy by Design: The 7 Foundational Principles” 8, o qual se tornou o guia definitivo sobre o tema: “1. Proativo e não Reativo: Preventivo e não Corretivo; 2. Privacidade por Padrão; 3. Privacidade Incorporada ao Design; 4. Funcionalidade Completa – soma positiva, não soma zero; 5. Proteção de Ponta a Ponta. 6. Visibilidade e Transparência; 7. Respeito pela Privacidade do Usuário”.
Os sete princípios foram idealizados sem que exista hierarquia entre eles ou ordem de relevância. A despeito dessa circunstância, porém, há algo interessante a ser observado no que se refere ao quarto princípio, tal seja o que estatui a Funcionalidade completa – soma positiva, não soma zero. Com relação a ele, observa-se relevante alteração essencial do paradigma, haja vista que, até então, prevalecia a lógica do zero-sum, a, obviamente, atravancar o desenvolvimento de tecnologias destinadas a proteger a privacidade. Com a introdução dessa nova premissa, vislumbrou-se como possível o ganho bilateral de modo a que a privacidade não mais se coloca como óbice ao desenvolvimento dos negócios. Ao contrário, pode ela auxiliar seu desenvolvimento.
No site oficial da Comissão Europeia, foi preparado material na forma de perguntas e respostas. Quanto ao tema, encontra-se: “O que significa a proteção de dados ‘desde a conceção’ e ‘por defeito’”9? A resposta está assim colocada: “As empresas/organizações são incentivadas a aplicar medidas técnicas e organizativas, nas fases iniciais da conceção das operações de tratamento, de forma a garantir os princípios da privacidade e proteção de dados logo desde o início («proteção de dados desde a conceção»). Por defeito, as empresas/organizações devem garantir que os dados pessoais sejam tratados com a mais elevada proteção da privacidade (por exemplo, apenas os dados necessários devem ser tratados, período de conservação curto, acessibilidade limitada) para que, por defeito, os dados pessoais não sejam disponibilizados a um número indefinido de pessoas («proteção de dados por defeito»)”.
3. O custo da não conformidade
Na trajetória de maturação do tema, ora indagam as empresas sobre o custo da não conformidade à nova exigência.
O primeiro aspecto a ser abordado é o custo do data breach. De acordo com pesquisa realizada pela Kaspersky Lab10, o custo médio de incidentes em empresas para o período entre março de 2017 e fevereiro de 2018 atingiu 1,23 milhões de dólares americanos, o que representa índice 24% maior que o período imediatamente anterior (2016-2017) e 38% maior em comparação ao período de 2015-2016. Para pequenas e médias empresas, a perda por incidente é estimada em 120.000 dólares americanos, o que resulta em um acréscimo na ordem de 32.000 dólares com relação ao ano antecedente.
O aumento do dispêndio por decorrência de incidentes de cibersegurança foi igualmente apurado pela IBM Security11. É certo que há inúmeros fatores que determinam a ocorrência de incidentes, muitos deles por decorrência de ações humanas dentro das próprias organizações. Tal aspecto, entretanto, não invalida a necessidade de controles de segurança, já que esses se mostram como mitigadores também de tais riscos, abarcando controles de ações externas e mecanismos de contenção internos. Também a Accenture traz relatório de análise de custo do Cibercrime12, para o fim de que os stakeholders possam melhor alocar investimentos e recursos.
É evidente que o pequeno porte desse trabalho não permite profunda análise individualizada dos diversos fatores que representam custos às empresas por decorrência de incidentes, dentre os quais se elencam a inatividade dos sistemas, contramedidas, medidas corretivas, perdas econômicas, apenas para mencionar alguns. A McAfee, por exemplo, traz ainda custos ocultos, referentes a fraudes e propriedade intelectual, conforme relatório “Economic Impact of Cybercrime – No Slowing Down”13.
A segunda classe de riscos à empresa é a de ordem legal e regulatória, que decorre da imposição de sanções de naturezas diversas. Observa-se, a propósito, que, a par das sanções de cunho pecuniário, há outras que potencialmente podem mostrar-se ainda mais gravosas, a representar o próprio desaparecimento de uma empresa.
Nesse particular, estimar-se de forma científica os custos envolvidos é tarefa impossível, haja vista que há multiplicidade de critérios para a imposição de sanções e que, a rigor, pouco mais de um ano após a eficácia do GDPR, não se pode ainda afirmar a consolidação de parâmetros concretos.
Por fim, tem-se como terceira categoria a perda reputacional. De acordo com o Reputation Institute14, que monitora e ranqueia a reputação de cerca de sete mil grandes organizações mundialmente, fatores intangíveis representam 81% do valor de mercado das companhias, de modo que sua deterioração enseja impacto tangível na performance15, seja no que se refere aos demais players empresariais, seja no que concerne ao mercado consumidor em si mesmo.
E é justamente nesse ponto que se retoma a lógica da win-win situation que decorre do Privacy by Design.
Sob essa perspectiva, conclui-se, de saída, que a falta de adequação e compliance é capaz de atravancar negociações comerciais de toda sorte, o que representa, indubitavelmente, perda da chance e frustração quanto à ultimação de negócios, essa razoavelmente aferível em termos patrimoniais. Some-se a essa questão que a ausência do padrão de segurança esperado poderá trazer impactos negativos ainda maiores, concernentes à massiva desvalorização em mercado.
Sob o ponto de vista de uma abordagem puramente econômica, os investimentos, aqui, devem ser valorados como oferta de um produto melhor e mais adequado ao mercado, assim entendido aquele capaz de assegurar privacidade e segurança.
Ora, é intuitivo que produtos que atendam a essa premissa tendem a uma melhor colocação e maior destaque no mercado. Prova disso é o recente anúncio da Apple, cujo statement inicial é: “Privacy Matters”16. É, inquestionavelmente, o reconhecimento de que a privacidade, doravante, é uma das premissas determinantes do mercado.
Não se trata, pois, de elaborar singelo cálculo de custo-benefício, haja vista que algumas das potenciais perdas não são sequer aferíveis. Ao contrário, trata-se de compreender que, sob a lógica atual do mercado, aquele que mantiver a privacidade no centro de suas atenções estará em posição destacada em termos reputacionais.
No mais, é de relevo anotar que o crescente uso de Big Data e a migração dos negócios para modelos cada vez mais digitais amplificam os riscos e elevam a preocupação quanto a encontrar métodos de segurança adequados até mesmo para a preservação da atividade desenvolvida.
4. Conclusão
As premissas do Privacy by Design, idealizadas na década de noventa, agora atingem sua potencialidade máxima, não somente em razão do advento da legislação, mas porque o público em geral está ciente das implicações.
Tal quadro, por evidente, revela que as empresas deverão trazer a público, desde sua concepção, produtos ou serviços mais seguros, mais adequados e mais eficientes, não somente pela responsabilidade em si, mas porque tal postura ocasiona elevação reputacional. Testemunhamos um peculiar processo de alteração de paradigmas. No momento presente, a atenção quanto à garantia da privacidade representa um duplo ganho: assegura aos titulares o respeito a seus direitos e, concomitantemente, constitui notável oportunidade às empresas quanto à melhora do desempenho de seus negócios.
1 http://www.cs.cornell.edu/~shmat/courses…
2 http://www.planalto.gov.br/ccivil_03/_At…
3https://www.linkedin.com/in/ann-cavoukian-ph-d-3a78809/?originalSubdomain=ca
4https://www.ipc.on.ca/?redirect=https://www.ipc.on.ca/
5https://www.autoriteitpersoonsgegevens.nl/en
6https://link.springer.com/article/10.1007/s12394-010-0061-z
7https://www.enisa.europa.eu/publications/pets
8https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf
9https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-does-data-protection-design-and-default-mean_pt
10https://www.kaspersky.com/blog/economics-report-2018/22486/?utm_source=linkedin&utm_medium=social&utm_campaign=us_ITsecurityeconomics_Zt0106_organic&utm_content=sm-post&utm_term=us_linkedin_organic_Zt0106_sm-post_social_ITsecurityeconomics
11https://www.ibm.com/security/data-breach
12https://www.accenture.com/us-en/insights/security/cost-cybercrime-study
13https://www.mcafee.com/enterprise/en-us/assets/reports/restricted/rp-economic-impact-cybercrime.pdf?utm_source=Press&utm_campaign=bb9303ae70-EMAIL_CAMPAIGN_2018_02_21&utm_medium=email
14https://www.reputationinstitute.com/
15https://riskandinsurance.com/putting-a-price-on-reputational-damage/
16https://www.youtube.com/watch?v=A_6uV9A12ok
Viviane Nóbrega Maldonado
Of Counsel (Brasil e Portugal). Juíza de Direito do TJSP (1993/2018). Mestre em Direito Comparado (MCL) pela Samford University (USA), MBA em Relações Internacionais pela FGV e Pós-Graduação em Direito Civil pela Escola Paulista da Magistratura. Autora do livro “Direito ao Esquecimento”, Ed. Novo Século, 2017, autora e coordenadora dos livros “Comentários ao GDPR - Geral Data Protection Regulation”, Ed. Thomson Reuters, 2018, “Comentários ao LGPD”, Ed. Thomson Reuters, 2019, “Advocacia 4.0”, Ed. Thomson Reuters, 2019, bem como de artigos acadêmicos publicados no Brasil e no Exterior. Docente em Proteção de Dados e Direito Digital em nível de educação executiva. Idealizadora e coordenadora do primeiro curso sobre o GDPR no Brasil. Coordenadora do 1º. Privacy Summit Brazil. Membro da ITech Law. Membro do Training Advisory Board – IAPP. Fundadora da Nextlaw Academy (Brasil) e Partner do Inov@legal (Portugal).