Para Claudia Cunha, DPO e Chefe do Departamento Jurídico no CESAR, incorporar privacidade desde o início, na construção de qualquer solução, não só de software, é a única forma de transformar a conformidade em vantagem competitiva.

A privacidade de dados, globalmente, deixou de ser uma obrigação jurídica para se tornar um princípio de arquitetura. Não de arquitetura de software apenas, mas de qualquer projeto, processo ou solução que envolva informações de pessoas. Essa é a premissa central do conceito de privacy by design, abordagem que propõe embutir a proteção de dados desde o início do design de uma solução, e não como correção a posteriori de um problema já instalado.

CADASTRE-SE GRÁTIS PARA ACESSAR 5 CONTEÚDOS MENSAIS

Já recebe a newsletter? Ative seu acesso

Ao cadastrar-se você declara que está de acordo
com nossos Termos de Uso e Privacidade.

Cadastrar

O conceito foi formulado pela cientista da computação canadense Ann Cavoukian nos anos 1990 e hoje está incorporado às principais legislações de proteção de dados do mundo — do GDPR europeu à LGPD brasileira. No entanto, conhecer os princípios e aplicá-los no cotidiano de uma empresa são coisas bastante diferentes. Mas igualmente prioritárias, especialmente porque há uma conexão profunda entre privacidade e cibersegurança, como faz questão de lembrar a advogada Claudia Cunha, que também é cientista da computação de formação. 

Atualmente, Claudia é DPO (Data Protection Officer) e chefe do Departamento Jurídico do CESAR, o maior centro de inovação e conhecimento do país, instalado em Recife, que também opera o CISSA, Centro de Competência Embrapii em cibersegurança, onde Claudia é também pesquisadora.

É a partir dessa intersecção entre tecnologia, direito e segurança que ela observa, com precisão clínica, como empresas de todos os tamanhos ainda confundem privacidade com senha e backup, subestimam o efeito cascata de uma cadeia de fornecedores despreparada e acumulam dados que não precisam — sem perceber que estão acumulando também risco e responsabilidade. 

“A cibersegurança está intimamente ligada à privacidade. Segurança da informação protege qualquer informação — código, planejamento estratégico, dados financeiros. Mas quando o que vaza identifica pessoas, você também tem um incidente de privacidade. Então, toda prevenção em cibersegurança é também prevenção de privacidade: você não sabe o que vai vazar, portanto tem que proteger tudo”, diz ela em entrevista à The Shift.

Na conversa, Claudia explica por que privacy by design é, antes de tudo, uma questão de negócio; como a IA amplifica os riscos quando não é construída com ética; onde a cibersegurança e a privacidade se encontram — e por que proteger os dados de quem invadiu um sistema também pode ser uma obrigação legal. Uma entrevista que começa no código e termina na Constituição. Confira na íntegra abaixo.

Privacy by design é um problema de negócio que deveria estar nas prioridades de quem trabalha com tecnologia e segurança?

“Eu iria além: privacy by design precisa ser tratado não só no contexto de código, mas no desenvolvimento de qualquer solução. Se eu vou montar um projeto para capacitar pessoas, por exemplo, eu preciso ter privacy by design nesse projeto — para não expor os dados dessas pessoas, para minimizar os riscos de um incidente de segurança. O código é talvez o caso mais visível hoje, mas a questão de compliance desde o projeto é anterior ao código e transversal a ele.

No CESAR, por exemplo, passamos por isso o tempo todo. Temos muitos projetos envolvendo estudantes, às vezes menores de idade, às vezes com parceiros internacionais. Se esperarmos o projeto ser assinado e não anteciparmos essas questões, arriscamos ter um trabalho muito maior lá na frente. Ou de sermos surpreendidos com uma multa, um problema de imagem institucional. Então, o código é um tipo de solução — mas há outras que também precisam de cuidados em relação à privacidade.”

O que você está dizendo é que compliance e governança precisam estar embutidos no negócio desde o início — e que isso vale para empresas de qualquer tamanho?

“Correto. E aí entra um aspecto muito difícil de trabalhar, que é a conscientização. Principalmente nas organizações menores, que acham que estão fora do radar ou que não têm estrutura para isso. A gente percebe isso na prática quando analisa fornecedores: muitas empresas entendem que ter privacidade é fazer backup e ter senha. Elas não percebem que privacidade tem interseção com segurança, mas não é só segurança.

Há uma diferença crucial aqui: não existe uma lei de segurança da informação que obrigue as empresas a se adequarem. O que as move é o medo do vazamento. No caso da privacidade, existe uma lei — a LGPD. E uma empresa não precisa ter um vazamento para ser multada. Basta estar tratando dados pessoais de forma diferente do que a legislação determina para gerar um dano em potencial. É como dirigir em alta velocidade: mesmo que ninguém se machuque, o ato em si já configura uma infração contra um direito fundamental. 

Os dados pessoais são um direito fundamental — já estão na Constituição. Então, na segurança, todo mundo corre com medo do processo; na privacidade, mesmo com uma lei, ainda é difícil as pessoas se conscientizarem.”

Você acha que isso tem a ver com o fato de as pessoas terem diluído o conceito de privacidade por conta das redes sociais?

“Sim, concordo. As pessoas se acostumaram a se expor. Além disso, existe um aspecto cultural muito forte. Os Estados Unidos, por exemplo, estão muito acostumados a abrir mão da privacidade em troca de segurança — faz parte do contrato social do pós-terrorismo: o Estado sabe o que você faz para lhe dar proteção. Na Alemanha, é exatamente o oposto. 

Após a GDPR, tem havido um movimento na Alemanha, demandando que a maioria das empresas alemãs deixem de usar serviços de nuvem internacionais — isso gerou uma explosão de novos negócios de nuvem nativos da Alemanha, porque eles queriam que os dados fossem tratados por empresas alemãs, em território alemão, sujeitos apenas à lei alemã. Não é coincidência: a Alemanha tem na memória o trauma da espionagem sistemática durante a guerra — tem até um filme belíssimo sobre isso, A Vida dos Outros. E nós, no Brasil, costumamos usar os Estados Unidos como parâmetro perfeito, sem enxergarmos os problemas que isso pode trazer.”

O risco de ignorar a privacidade é real independentemente do tamanho da empresa. Por onde uma empresa deve começar a se organizar?

“Ela precisa entender o mínimo — diretamente ou por meio de suporte externo. Não precisa ter um DPO residente; pode contratar um DPO as a service, que fica diluído entre dezenas de clientes e fica muito mais acessível. O ponto de partida são os conceitos básicos: o que é dado pessoal, o que é tratamento de dados, e os três princípios que eu considero basilares na cadeia da LGPD — finalidade, necessidade e adequação.

Você não pode tratar dados porque sim; precisa ter uma finalidade. 

E só pode tratar dados que sejam necessários e adequados àquela finalidade. Eu sempre uso a frase do Uncle Ben, do Homem-Aranha: “com grandes poderes vêm grandes responsabilidades”. Os dados trazem poder — são maravilhosos para a tomada de decisão. Mas com esse poder vem a responsabilidade de cuidar daquilo. E o custo de não fazer isso direito é muito maior do que o custo de se organizar minimamente desde o início.”

As empresas erram porque é mais fácil pedir todos os dados do que decidir exatamente o que precisam?

“Exatamente — e é um custo muito alto. Não só o custo tecnológico de manutenção e armazenamento, mas o risco jurídico, processual, de compliance. Tem empresas que coletam dados para vender para outros fins. Tem funcionários que vendem dados sem que a empresa saiba. Conheço casos concretos: uma empresa de consórcio de motocicleta cujo funcionário vendia os dados dos compradores para um advogado vizinho, que entrava em contato para oferecer uma ação judicial para recuperar taxas cobradas no financiamento. O escritório tinha um grupo inteiro focado nisso. Era proibido pelo Código de Ética da OAB — captação ilegal de clientes —, mas funcionava porque tinham acesso ao cadastro.

E o mais perverso: na hora de um vazamento ou de uma denúncia, mesmo quem não estava fazendo nada com esses dados vai no bolo. Por isso é tão importante a conscientização. O que mais escuto é: “mas eu não trato dados pessoais.” Aí eu pergunto o que a pessoa faz com os dados. “Não, eu só recebo. Eles ficam armazenados.” Pois é, isso tudo é tratar. Na definição legal, qualquer coisa que você faça com dados pessoais é tratamento. Pense num verbo, qualquer que seja: está tratando.”

Você mencionou a cadeia de fornecedores. Como funciona esse cascateamento de responsabilidade?

“Quando assino um contrato com um cliente, preciso garantir que qualquer transmissão de dados que eu fizer dentro daquele projeto seja aderente à lei. E tenho que transferir essa exigência para meus fornecedores. É uma cadeia de responsabilidade da qual não posso abrir mão.

Um exemplo concreto: uma empresa assume a obrigação perante seu cliente, de notificar um incidente de privacidade em no máximo 24 horas corridas. Se tomar conhecimento de um vazamento numa sexta à meia-noite, tem que dar um jeito de avisar o cliente dentro desse prazo. Ela vai colocar a mesma cláusula nos contratos com fornecedores — e a maioria reclama, porque não quer esse prazo curto. Mas vai ter que dizer que não pode exigir deles menos do que lhe é exigido. No mínimo igual, ou mais. Para gestão disso, o ideal é utilizar ferramentas que analisem a maturidade dos fornecedores em várias dimensões — financeira, trabalhista, ESG — incluindo privacidade. Mesmo quando algo dá errado, é preciso demonstrar que foram tomados todos os cuidados possíveis, que ela não foi inerte.”

Na área de tecnologia, é mais difícil embutir o conceito de privacy by design na ponta, no desenvolvimento?

“Existem dois grupos. Tem quem trabalhe muito com segurança e abrace a ideia. Mas é comum ter uma reação maior porque privacy by design gera uma camada a mais, um trabalho a mais — às vezes interfere na arquitetura do código e exige um processo preliminar antes de ele ser executado. A resistência existe.

Mas aí está exatamente a relevância do privacy by design: se você antecipa isso, a privacidade entra como parte natural da arquitetura, não como correção depois. Eu vejo muito isso em aplicativos, como para a área médica — prontuários eletrônicos, clubes de fidelidade de farmácias, que lidam com dados de saúde, que são dados sensíveis pela lei. Já precisei intervir em situações em que o argumento era: “não tem problema, quem vai acessar esses dados são médicos, estão cobertos pelo código de conduta médica.” Não é assim que a banda toca. Uma coisa é você ir ao médico e conscientemente gerar uma relação de sigilo. Outra é a empresa repassar dados a um terceiro médico, sem que o titular tenha escolhido esse profissional.”

A IA pode ser um complicador quando falamos de privacidade?

“Pode ser um complicador se não tiver ética. E aí entra a questão central: o que eu faço com esses dados? Do que me abstenho por uma questão ética? Antigamente, qualidade era o diferencial competitivo. Hoje, eu acho que ética é o valor que se busca acima de vários outros. Se a IA for construída de forma realmente ética — sem se apropriar indevidamente dos dados, sendo transparente sobre a forma como os trata, descartando o que não precisa —, vai ser uma aliada. A tecnologia é inexorável, e tem muito a contribuir, especialmente na saúde.

Mas ela precisa de regulação. Não dá para ter uma IA pegando dados e usando como aprendizado de máquina sem que o titular nem saiba disso. Não é que ele consentiu — muitas vezes ele nem está ciente. O próprio princípio da transparência já falha aí. Vejo com interesse o posicionamento da Anthropic — a empresa por trás do Claude — que veio com um viés declaradamente mais ético, com mais respeito aos titulares. Mas vamos ver por quanto tempo conseguem manter isso, porque o mercado é agressivo, essas empresas precisam fazer IPO, têm investidores, e perdem o controle mais fino sobre suas escolhas com o tempo.”

Como privacy by design e security by design se conectam na prática da cibersegurança?

“A cibersegurança está intimamente ligada à privacidade porque parte dos dados que eventualmente vazam são dados pessoais. Segurança da informação protege qualquer informação — código, planejamento estratégico, dados financeiros. Mas quando o que vaza identifica pessoas vivas, você tem um incidente de privacidade, não só de segurança. Então toda prevenção em cibersegurança é também prevenção de privacidade — você não sabe o que vai vazar, então tem que proteger tudo.

O segundo ponto em que eles se tocam é na reação. Quando você investiga um incidente e resgata um bloco de dados para entender o ataque, esses dados têm informações pessoais: acessos a máquinas, logins, senhas. E aí surge a ironia: para resolver um vazamento, você precisa tratar dados pessoais — e precisa fazer isso de forma aderente à LGPD. Precisa ter uma hipótese legal para compartilhar esses dados com uma rede de controle de ataques, por exemplo. Quem pode ter acesso? Em quais circunstâncias? Preciso informar as pessoas?

E tem ainda um terceiro elemento: os dados do invasor também precisam ser protegidos. Eu não sou polícia. Não tenho competência para acessar informações pessoais de terceiros sob a justificativa de investigar. A LGPD prevê exclusões para segurança pública, mas pressupõe que isso seja feito por agentes competentes. Não posso sair investigando livremente porque tenho um projeto de segurança. Então, são dois momentos principais: preventivo e reativo, e, em ambos, a legislação de privacidade se aplica.”