Opinião & Análise

tecnologia

Desafios das empresas de tecnologia na era do big data

Como usufruir dos benefícios tecnológicos sem comprometer a privacidade

software
Crédito Pixabay

Na última década, o desenvolvimento tecnológico nos trouxe tantas oportunidades, que mal nos importamos em compartilhar nossas informações pessoais para usufruir as sedutoras promessas da vida moderna. Vivemos na época do Big Data, quando do crescimento exponencial da disponibilidade e do uso automatizado de dados, obtidos de forma rápida e barata de redes sociais, aplicativos de celular, câmeras, microfones, geolocalização, etc. Diversos tipos de processamento e técnicas de análise (diagnósticas, descritivas, preditivas ou prescritivas) trazem, em nanosegundos, novas correlações e padrões que influenciam a tomada de decisão nos mais relevantes mercados e políticas públicas.

No entanto, recentes escândalos colocaram em duvidas a ideia de que esse desenvolvimento tecnológico é intrinsecamente benéfico. Em março de 2018, descobriu-se que dados pessoais de cerca de 50 milhões de usuários do Facebook nos EUA foram indevidamente utilizados pela consultoria Cambridge Analytica. Vale ressaltar que Facebook não é o único em perigo: grande partes das empresas tem pela frente desafios legais e éticos, especialmente relacionados à privacidade. Como garantir o benefício do uso da informação sem infringir limites éticos?

+JOTA: Faça o cadastro e leia até dez conteúdos de graça por mês!

Privacidade é entendida como o estado em que uma pessoa está sozinha sem intrusão ou supervisão de alguém, no qual ela pode ser quem é (identidade) sem se preocupar com a opinião dos outros (reputação). Reconhecida pela ONU na Declaração dos Direitos Humanos, a privacidade está intimamente atrelada aos direitos individuais, incluindo a liberdade de expressão.

Se, por um lado, as pessoas têm o direito de ser esquecidas tanto no mundo físico quanto no digital, por outro, há uma presença onisciente da internet: abrir mão de sua privacidade é a porta para o mundo maravilhoso da internet. Websites oferecem seus serviços gratuitamente, se o usuário divulgar sua informações pessoais e concordar com diferentes usos dessas informações. Esse consentimento é informado pelo usuário em um contrato de longo prazo chamado Termos e Condições ou Política de Privacidade. Por ser um documento muito complexo, legalista, longo e difícil de entender, poucas pessoas de fato os leem (em verdades, estudos indicam que demoraríamos quase 80 dias por ano para que pudéssemos ler todos esses documentos). Empresas acabam colocando um check-box junto a frase “eu concordo com os Termos e Condições”, uma forma ágil de conseguir o consentimento.

Essa abordagem chamada “pegar ou largar” limita a ideia de que os indivíduos dão um consentimento significativo. Não obstante, há múltiplas fontes de dados que estão fora do controle das pessoas, tal como no caso de vigilância em massa por sensores e câmeras nas cidades, que, sem ninguém saber, capturam seus dados, para depois os processados. O alcance do consentimento e as preferências de privacidade podem não ter sido adequadamente considerados na cadeia do Big Data, pois não há ferramentas para gerenciar o consentimento depois que alguém o forneceu.

Essa falta de controle é especificamente complicada considerando a reutilização de dados. Empresas podem combinar dados antigos com novos, para obter novos insights, o que pode representar uma intromissão problemática na vida privada. Mesmo processando dados anônimos e não pessoais, pode-se reidentifiar uma pessoa ou um grupo que tem o direito de ser esquecido. A reidentificação de pessoas em programas de assistência à vítima e proteção às testemunhas pode, por exemplo, representar ameaças à vida.

Bem verdade que as pessoas consentem com uma lista de uso de seus dados muito ampla, não exaustiva e inespecífica. Tal amplitude permite que as empresas façam uso desses dados para várias oportunidades de negócios, algumas incompatíveis com a finalidade original para a qual foram coletados. Todavia, há um agravante: a falta de conscientização e transparência sobre tais usos, o que é especialmente complicado quando da criação de perfis (profiling) e decisões automatizadas sobre serviços para uma pessoa sem o seu conhecimento. O profiling injusto é receita para isolamento e discriminação, quando pessoas são privadas de oportunidades às quais podem ter direito, como, e.g., diferenciação de preços baseados em geolocalização.

A reutilização gera mais um problema. Empresas podem divulgar dados pessoais para terceiros, tais como outra empresa sobre a qual não têm controle societário e que pode não honrar com a política de uso original. Em verdade, quando um usuário divulga seus dados, ele assume que eles terão tratamento seguro e apropriado. Esse sistema baseia-se apenas na confiança posta pelo usuário, na medida em que não há muita transparência sobre as medidas de segurança. Quanto menor a transparência sobre manipulação de dados na cadeia de Big Data, mais prejudicado fica o nível de confiança no sistema. Maximizar o uso de dados a qualquer custo pode gerar reticência nas pessoas em divulgar dados e um efeito dominó potencialmente devastador para o setor.

Apesar de a regulamentação poder evitar tais resultados, seu descompasso com a realidade gera vazios regulatórios que perpetuam o uso indevido de dados pessoais por empresas privadas e autoridades públicas. Para que obliterar os benefícios do Big Data, empresas devem implementar medidas técnicas e organizacionais visando a obter um consentimento mais significativo dos usuários, fornecer-lhes mais justos controles de seus dados e garantir sua segurança e proteção. Enquanto pilar regulatório da proteção de dados pessoais, o mecanismo do consentimento precisa se adaptar à realidade, ​​tanto na coleta quanto na retirada de consentimento.

O usuário ainda deve continuar dando um consentimento prévio para o processamento de seus dados pessoais, mas idealmente para fins limitados e específicos e por meio de documentos legais que sejam compreensíveis para uma pessoa leiga. Além disso, como o consentimento é dado apenas uma vez em um contrato renovado automaticamente, o último acaba na prática durando para sempre, tornando-se desatualizado e deturpando as preferências do usuário. São necessárias novas estratégias para renovar o consentimento, tal como datas de expiração após as quais o consentimento é revogado e/ou cancelando o acesso quando usuários deixam de usar os serviços por um tempo. Essas estratégias melhorariam a conscientização sobre as condições de serviço, bem como mitigariam os riscos relacionados à reutilização de dados imprecisos.

As empresas devem coletar dados adequados, relevantes e necessários, bem como mantê-los apenas pelo tempo necessário para o escopo original, ao invés de coletar todos os dados possíveis. Algumas informações podem ser sensíveis demais para serem coletadas (por exemplo, etnia, orientação sexual, religião). Para a coleta, deve-se considerar o interesse legítimo do usuário, dependente de algumas premissas, tais como: qual é o impacto na vida privada do usuário, quão essenciais são os dados para os propósitos apresentados, se há proteção de dados apropriada e qual é a natureza dos dados. Nesse sentido, a regra seria o consentimento implícito para informações não sensíveis, usando automação e profiling; já para informações sensíveis, a regra seria o consentimento informado.

Esse modelo centrado nos usuários os permite definir como coletar, armazenar, corrigir, analisar e/ou compartilhar seus dados pessoais. Uma das abordagens para lidar com dados confidenciais é chamada de Sticky Policies, que permite aos usuários personalizar diretamente suas preferências de privacidade (como estabelecer períodos de exclusão, autorizar destinatários dos dados, definir propósitos e anular o consentimento etc.). Essas condições são anexadas a um conjunto de dados, determinando como ele será processado dali em diante, dados esses que serão criptografados e acessíveis somente se as condições forem atendidas pelos provedores de serviços, caso em que uma parte confiável fornecerá uma chave criptográfica. Você pode decidir, por exemplo, que seu hospital compartilhe seus registros apenas para fins de pesquisa, com data de expiração pré-definida e excluindo determinadas informações (orientação sexual, histórico de DST).

Recentes melhorias tecnológicas já estão permitindo a privacidade desde a concepção (a chamada privacy by design). Duas tecnologias destacam-se: anonimização e pseudonimização. A anonimização ocorre quando os dados são processados ​​para impedir irreversivelmente a identificação da pessoa dona dos dados divulgados. Já a pseudonimização torna os dados ininteligíveis para qualquer pessoa que não esteja autorizada a acessá-los e só pode ser atribuída a alguém mediante informações adicionais que liberam o acesso.

Empresas que originalmente coletam os dados devem ser proativas não apenas no que tange armazená-los com segurança, como também no que se refere a assegurar que transferências sejam feitas para organizações e países com proteção de dados adequada. Quem divulga dados deve envidar os melhores esforços para garantir que terceiros processem dados pessoais de acordo com a finalidade original. É essencial divulgar eventuais violações que representem um risco para usuários, levando-se em consideração que a opinião pública reage muito mais negativamente quando uma empresa esconde erros, do que quando os admite.

Se a tecnologia nos enfeitiçou há pouco, o feitiço parece se virar contra seus criadores: as empresas de tecnologia. Estas não devem ignorar esse momento de crise, mas sim usá-lo para se reposicionar. Crises revolucionaram outros setores, tais como o bancário e o de serviços públicos, para os quais a regulamentação aplica regras restritivas. A onda de regulação já começou para a ainda sub-regulada indústria de tecnologia. Para se evitar uma resposta governamental desproporcionalmente severa, empresas de tecnologia, sejam startups ou gigantes da tecnologia, devem ter uma postura pró-ativa para mudar a indústria de dentro.

A autodeterminação informacional significa que as pessoas têm autonomia para controlar suas informações, que não devem ser tratadas como uma coisa ou propriedade pelas empresas. Empoderar usuários a partir de maior controle e transparência pode não apenas anular os efeitos maléficos que se desenham para o futuro, mas também consubstanciar a confiança como base de um sistema que concilia os benefícios da análise de dados às preferências de privacidade dos verdadeiros proprietários dos dados: as pessoas.

No momento, a União Europeia está liderando o movimento que visa a capacitar as pessoas para ter maior controle sobre seus dados pessoais. O Regulamento Geral de Proteção de Dados (GDPR) unificou o tratamento legal relacionado à proteção de dados e privacidade para todos os indivíduos dentro da União Europeia, aplicando várias das alternativas aqui apresentadas. No Brasil, há um projeto de lei (PL 527/2016) que trata da proteção de dados no Brasil, ainda em discussão no congresso brasileiro.

Referencias

Cohen, Julie E. What Privacy Is For. Novembro, 2012.

Custers, Bart. Click here to consent forever: Expiry dates for informed consent. Janeiro, 2016.

D’ Acquisto, Giuseppe; Domingo-Ferrer, Josep; Kikiras, Panayiotis, Torra, Vicenç, Montjoye, Yves-Alexandre de; Bourka, Athena. Privacy by design in big data – An overview of privacy enhancing technologies in the era of big data analytics. Dezembro, 2015

The European Data Protection Supervisor (EDPS). Opinion 7/2015 Meeting the challenges of big data – A call for transparency, user control, data protection by design and accountability. Novembro, 2015.

The Economist. The world’s most valuable resource is no longer oil, but data – The data economy demands a new approach to antitrust rules. Maio, 2017.

Harari, Yuval Noa h. Sapiens: A Brief History of Humankind, scientist. Fevereiro, 2015

Madde, Mary. Privacy, Security, and Digital Inequality: How Technology Experiences and Resources Vary by Socioeconomic Status, Race, and Ethnicity. Setembro, 2017.

Magi, Trina J. Fourteen Reasons Privacy Matters: A Multidisciplinary Review of Scholarly Literature. Abril, 2011.

Organisation for Economic Co-operation and Development – OECD. The OECD Privacy Framework. 2013.

Pearson, Siani; Casassa Mont, Marco. Sticky Policies: An Approach for Managing Privacy across Multiple Parties. Dezembro, 2016.


Faça o cadastro gratuito e leia até 10 matérias por mês. Faça uma assinatura e tenha acesso ilimitado agora

Cadastro Gratuito

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito