O equilíbrio entre privacidade e inovação (parte 1)

Antes de entrarmos no tema principal de hoje, vamos contextualizar. Ao longo da história, os seres humanos valorizaram recursos diferentes. Na revolução agrícola, a terra era considerada extremamente importante. Na Era Industrial, foram as máquinas, o carvão e depois o petróleo. Agora, no século XXI, estudiosos, jornalistas e líderes da indústria têm dito que os dados são o novo petróleo. Entre as empresas mais valiosas do mundo por capitalização de mercado, muitas são empresas de tecnologia — e todas elas têm uma quantidade enorme de dados sobre consumidores globais. Os nomes habituais são:

• No Oriente: Alibaba, Tencent, Baidu, Flipkart
• No Ocidente: Google, Microsoft, Amazon, Facebook, IBM, Apple

Outra perspectiva, do relatório do Fórum Econômico Mundial sobre política de dados na Quarta Revolução Industrial, é que: "No Fórum Econômico Mundial, preferimos pensar nos dados como o oxigênio que alimenta o fogo da Quarta Revolução Industrial. Estão prontamente disponíveis e são necessários — mas, se usados de forma inadequada, podem gerar resultados perigosos e indesejados."

Dado o quanto "dados" são importantes, estou tentando me aprofundar nesse tema — e este post é o primeiro de uma série sobre privacidade de dados. Como não sou especialista no assunto, vou sintetizar o que aprendi e indicar as fontes.

Hoje, vamos falar sobre 3 perguntas principais:

• O que são dados pessoais?
• Quem os possui? — uma resposta cheia de nuances
• Quais são os seus direitos?

O que são dados pessoais?

Até agora, a definição que considero mais abrangente é a usada pela União Europeia no seu regulamento GDPR.

"'dados pessoais' significa qualquer informação relativa a uma pessoa singular identificada ou identificável ('titular dos dados'); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador como um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;" Eles também fornecem exemplos de dados pessoais aqui:

• endereço de e-mail (seunome@empresa.com)
• um endereço IP (Internet Protocol)
• um ID de cookie (geralmente encontrado no seu navegador)
• o identificador de publicidade do seu celular

Outros exemplos incluem:

• Suas comunicações privadas: o conteúdo dos seus e-mails/mensagens privadas
• Seus registros financeiros (saldo bancário, transações, declaração de imposto de renda)
• Registros educacionais (em qual escola você estudou, suas notas)
• Prontuários médicos
• Dados biométricos (impressão digital, rosto) etc.

Embora eu tenha incluído apenas alguns exemplos aqui, é importante notar que existem mais de 100 leis de proteção de dados em diferentes países e territórios.

A Comissão de Proteção de Dados Pessoais de Singapura define: "Dados pessoais referem-se a dados, verdadeiros ou não, sobre um indivíduo que pode ser identificado a partir desses dados; ou a partir desses dados e outras informações às quais a organização tem ou provavelmente terá acesso. Os dados pessoais em Singapura são protegidos pela Lei de Proteção de Dados Pessoais de 2012 (PDPA)."

Quem os possui?

Bem, a resposta mais óbvia para muitas pessoas é: são meus dados, então são meus. Mas na prática, a realidade é mais nuançada do que isso.

Registros do governo e de agências públicas

Em muitos países, o governo mantém uma série de dados sobre seus cidadãos — como certidão de nascimento, carteira de identidade (afinal, o governo é quem emite esses documentos) e dados biométricos. O governo indiano implementou há alguns anos um dos maiores programas biométricos de identificação do mundo, com cerca de 1 bilhão de pessoas cadastradas.

O interessante é que, em Davos este ano, durante a conversa sobre "Definindo as regras da corrida pela IA", um representante do governo indiano mencionou que os dados pertencem a entidades públicas/ao governo — que pode permitir que entidades públicas ou privadas acessem dados pessoais.

Quando você viaja (ou solicita um visto), muitos países exigem que você forneça dados biométricos. Depois que você entrega esses dados e assina alguns documentos, é bem provável que esteja compartilhando suas informações biométricas com esses governos estrangeiros.

Dados observados e inferidos/preditivos

O relatório do Fórum Econômico Mundial sobre política de dados na Quarta Revolução Industrial propõe que precisamos considerar o contexto nessa conversa. A resposta sobre propriedade de dados observados e dados inferidos não é direta.

"Dados observados: preferências de navegação na internet, vídeo de vigilância, registros de chamadas detalhadas etc.

Dados inferidos: pontuações de crédito, perfis de consumidores, fluxos de tráfego preditivos, padrões de disseminação de doenças infecciosas, publicidade direcionada etc.

Ao longo do nosso dia a dia, usamos diferentes serviços e deixamos muitos "dados observados" para trás com diferentes empresas. Então, essas empresas são donas desses dados? Isso pode envolver hospitais, companhias aéreas, restaurantes, serviços de carona compartilhada etc. No meio publicitário, as empresas geralmente se referem a esse tipo de dado como dados de primeira parte (1st party data) — o que parece indicar que podem usá-lo. Mas podem mesmo? Se usarmos a definição de dados pessoais do GDPR da União Europeia, então, desde que os dados possam ser usados para identificar uma pessoa, essa pessoa é a proprietária dos dados. Se os dados forem anonimizados ou pseudonimizados, a situação é diferente.

Vale notar que deixamos enormes rastros de comportamento e dados econômicos há muito tempo. O que mudou na última década foi o avanço no big data e no machine learning. Hoje é relativamente mais fácil e barato para as empresas armazenar, processar grandes quantidades de dados e fazer previsões a partir deles. Qualquer mecanismo de recomendação (como o da Amazon) é exatamente isso.

Quais são os seus direitos?

É aqui que gosto muito da articulação clara do regulamento da União Europeia. Não estou debatendo se está certo ou errado — pelo menos não ainda neste primeiro post. O GDPR europeu estabelece os seguintes direitos para os consumidores:

• Cada pessoa é proprietária dos seus próprios dados pessoais
• Transparência e consentimento: as empresas precisam pedir permissão explícita para armazenar e processar dados pessoais de forma transparente e em linguagem simples
• Segurança: os dados pessoais devem ser protegidos por medidas de segurança razoáveis
• Direito de retirada: a qualquer momento, podemos retirar nosso consentimento para que nossos dados sejam processados ou usados
• Informação e acesso aos dados pessoais
• Direito de retificação
• Direito à restrição do tratamento
• Direito à portabilidade
• etc.

Claro, há muitas exceções e isenções detalhadas descritas no GDPR também.

A Lei de Privacidade do Consumidor da Califórnia, a Lei de Proteção de Dados Pessoais de Singapura e outras leis de privacidade, embora não sejam tão abrangentes, abordam direitos similares. É isso por enquanto.

A seguir, vou explorar alguns temas mais complexos nos posts seguintes:

• O GDPR da União Europeia é prescritivo demais?
• Deveríamos ter uma lei global de privacidade de dados, dado que há diferentes regimes jurídicos e modelos econômicos ao redor do mundo? Se não, qual deveria ser nossa abordagem global, dada a natureza interconectada e interdependente do nosso mundo?
• Como avançamos a partir daqui?
• O equilíbrio entre privacidade de dados e inovação, começando pela saúde e educação?
• Como evitar monopólios de dados em nível local, nacional e global?

Abraços,

Chandler