Baixe o app para aproveitar ainda mais
Prévia do material em texto
Sua Privacidade vale muito dinheiro! Faça um teste: logado na sua conta do Google, vá em "Gerenciar sua conta do Google" e, depois, em "Dados e personalização". Você terá dois painéis: “Controle de atividades” e “Atividades e linha do tempo”. Neles, é possível consultar, detalhadamente, por você tem andado – literalmente. Praticamente tudo que você faz no computador ou no celular está ali. Qual o interesse dessas empresas em coletar, manter e analisar essa quantidade inimaginável de dados pessoais? De maneira geral, elas ofertam serviços de publicidade personalizado e trançam perfis comportamentais para abordagens relevantes aos usuários. Contudo, esse uso pode extrapolar os limites legais e éticos, alimentando um mercado obscuro e indesejado de dados e perfis pessoais. As informações pessoais se tornaram mais um produto comprado e vendido Uma vida vigiada Tecnologia e dispositivos que produzem ou armazenam dados de nossas atividades diárias: 1/6/14. Videovigilância: as imagens podem ser interceptadas. 2. Medidores de eletricidade e termostatos: fornecem informação sobre hábitos. 3/4. Televisores inteligentes e consoles de videogames: possuem câmeras e microfones. 5. Controles biométricos de entrada e saída. 7. Monitoramento remoto no trabalho: capturas de tela para medir a produtividade do trabalhador. 8. Bases de dados pessoais: podem conter dados fiscais e de saúde dos clientes. 9. Sensores de contagem de pessoas: monitoram o fluxo de compradores e os tempos de compra. 10. Cartões de fidelidade: em troca de descontos, criam perfis do comprador. 11. Ibeacons: enviam ofertas para celulares próximos. 12. Wifi gratuito: pode ser oferecido em troca do acesso ao perfil do Facebook. 13. Bilhetes de transportes públicos: cartões recarregáveis que produzem dados de deslocamentos. 14. Redes de bicicletas públicas: registro dos trajetos. 15. Carros: existem sistemas para ler as placas. 16. Telefonia móvel: permite geolocalizar. 17. Câmeras térmicas e sensores sonoros: medem o fluxo de pedestres e níveis de ruído. 18. Mobiliário urbano que detecta a presença de pedestres. 19. Sistemas de estacionamento: o pagamento com cartão de vagas azuis e verdes gera dados do usuário. Todos nós ouvimos dizer alguma vez que quando um produto é aparentemente gratuito é provável que na verdade estejamos pagando por ele com dados. Isso acontece com as redes sociais, os cartões de fidelidade de lojas e supermercados ou com infinitos aplicativos que oferecem serviços mais ou menos relevantes em troca, somente, dos nossos dados pessoais. Mas além de intuir que nós somos o produto, na realidade não sabemos o que é feito exatamente com nossa informação, ou no que consiste e como funciona esse pagamento com dados. Na verdade, não é uma questão simples e cada aplicativo tem seus próprios procedimentos e lógicas. No caso da navegação na internet, por exemplo, as empresas e prestadores de serviços nos oferecem de forma gratuita seus motores de busca, páginas web e serviços associados para ler o jornal, consultar a previsão do tempo ou estar em contato com outras pessoas através de redes sociais e fóruns. No entanto, cada vez que entramos em uma web é baixada automaticamente uma série de microprogramas conhecidos como cookies que conseguem informações sobre nossa atividade online e enviam ao proprietário da página visitada, informações sobre nosso IP, MAC ou IMEI (o número de registro do nosso dispositivo), o tempo e a forma que usamos num determinado site ou outros sites que estejam abertos ao mesmo tempo, identifica se somos visitantes regulares e que uso fazemos da página web, em que sequência, como acessamos outros sites e assim por diante. Além disso, é comum que diferentes empresas paguem ao site que visitamos para poder instalar seus próprios cookies, como também é habitual que a empresa use os dados não somente para seus estudos internos, mas que também os venda a terceiros. Na verdade, cada vez que visitamos uma página com o computador, o celular ou o tablet, recebemos dezenas de pedidos de instalação de cookies. Somos, portanto, o produto, porque em troca da informação que obtemos fornecemos detalhes sobre nossa atividade online e, frequentemente, dados pessoais como nome e localização, hábitos, cartão de crédito, etc., sobre os quais não temos nenhuma maneira de controlar para onde eles vão. Diante disso, o único recurso de autoproteção é não aceitar cookies e renunciar ao serviço, ou exclui-los sistematicamente do nosso computador, algo tão enfadonho como escassamente útil. O Facebook, rede social utilizada por mais de um bilhão de pessoas por mês, dispõe dos dados que o usuário deposita voluntariamente nele, mas também faz inferências com base em nossas interações com pessoas e informações, compartilha-as com terceiros e desenvolve um perfil único que permite determinar o que aparece no nosso mural, tanto por parte de nossos amigos como de anunciantes. Todo “curtir” ou registro feito por meio do Facebook gera informações que são analisadas e classificadas por algoritmos tanto para nos conhecer em nível individual quanto como consumidores, para desenvolver perfis sociais para agências de publicidade. O registro continua mesmo que tenhamos fechado a página: a não ser que saiamos manualmente, os cookies do Facebook continuam espionando tudo o que fazemos online. Se, além disso, instalamos o Facebook nos nossos celulares junto com o seu aplicativo de mensagens, o sistema pode ativar remotamente nossa câmera ou microfone, acessar nossas fotos, mensagens e assim por diante de modo a continuar aperfeiçoando o nosso perfil. O exemplo de navegação na internet é o mais comum, mas já não é o único protagonista. A mesma implantação de conexões não aparentes e de compra e venda de dados também ocorre quando usamos um cartão de fidelidade de clientes, que relaciona o nosso padrão de consumo com um nome, endereço, muitas vezes alguns dados bancários e as respostas ao questionário que normalmente preenchemos ao solicitar esse tipo de cartão. Outra área em que a coleta de dados está se tornando cada vez mais importante é o espaço público. Nosso descuidado passeio pelas ruas é cada vez menos anônimo e os sensores que leem os identificadores únicos e a geolocalização dos nossos dispositivos, as câmeras de imagem térmica e de videovigilância, redes sem fios, lâmpadas inteligentes ou sensores de leitura automática de placas de automóveis nos incorporam de forma rotineira a bases de dados públicos e privados que em algum lugar servem a alguém para obter um lucro que não conhecemos nem controlamos. O espaço doméstico é talvez aquele onde esse monitoramento dos nossos movimentos e rotinas para elaborar padrões vendáveis aumenta de forma mais preocupante: todos os eletrodomésticos inteligentes, do medidor de energia elétrica ao aparelho de televisão, passando pela geladeira, constroem uma rede de extração de dados que quer aperfeiçoar a imagem de quem somos, do que queremos e do que podemos querer. O desafio é ser capaz de se antecipar às nossas necessidades para nos tentar a comprar produtos ou serviços que ainda não sabemos que desejamos. Pagamos duas vezes: quando adquirimos o eletrodoméstico ou pagamos a conta de luz, em dinheiro, e a cada vez que proporcionamos informações, com dados pessoais. Algumas empresas começaram a explorar a possibilidade de se tornarem data brokers dos cidadãos, uma espécie de corretores de dados que gerenciariam nossa informação, devolvendo-nos parte dos lucros gerados por ela. Que ninguém espere ficar rico: no momento, as empresas que tentam abrir caminho nesse mundo obscuro não pagam mais do que alguns euros por mês em troca de informações tão sensíveis como dados médicos ou bancários. Por enquanto, o verdadeiro dinheiro não está na relação entre os cidadãos e os serviços que coletam dados. A economia dosdados ainda é pouco mais do que uma promessa, da qual até agora se beneficiam muito poucos atores (Facebook, Tuenti, Google, Foursquare, YouTube, etc.), e mais pela febre de investimento do que pelos resultados. Na aurora dessa promessa de negócio proliferam corretores de dados dedicados ao cruzamento de diferentes bases para aumentar o preço de venda dos perfis gerados a partir do cruzamento de informações de atividade online e offline: relatórios médicos, por exemplo, podem adicionar muito valor a um histórico de busca na internet. Para algumas pessoas, esse cenário não provoca nenhuma inquietude. Pagar com informação própria também abre a porta para a promessa de serviços personalizados e atenção individualizada. No entanto, os corretores de dados não se limitam a cruzar detalhes do que compramos, com quem interagimos e do que gostamos. Esse comércio inclui também, e cada vez mais, relatórios médicos, dados fiscais e de renda ou bancários. O tipo de informação que pode determinar se nos concederão um crédito, se nos oferecerão um plano de saúde mais ou menos caro ou se conseguiremos um emprego. De repente, o preço pago com informações pessoais surge como algo totalmente desproporcionado e incontrolável. Ao aceitar nos transformar em produto, convém não esquecer que também aceitamos que acabem nos afastando do jogo, escondidos ou ignorados porque o nosso perfil não fornece a solvência, a saúde ou a obediência esperada. Gemma Galdon Clavell, é doutora em políticas públicas e diretora de pesquisa da Eticas Research and Consulting. Entenda o escândalo de uso político de dados que derrubou valor do Facebook e o colocou na mira de autoridades O Facebook sofreu um forte abalo no último sábado com a revelação de que as informações de mais de 50 milhões de pessoas foram utilizadas sem o consentimento delas pela empresa americana Cambridge Analytica para fazer propaganda política. A empresa teria tido acesso ao volume de dados ao lançar um aplicativo de teste psicológico na rede social. Aqueles usuários do Facebook que participaram do teste acabaram por entregar à Cambridge Analytica não apenas suas informações, mas os dados referentes aos amigos do perfil. A denúncia, feita pelos jornais The New York Times e The Guardian, levantou dúvidas sobre a transparência e o compromisso da empresa com a proteção de dados dos usuários. O escândalo gerou nova onda negativa contra a empresa – já sob questionamento pela proliferação de notícias falsas nas eleições americanas. Na segunda-feira, dois dias após a publicação, o valor do Facebook encolheu US$ 35 bilhões (ou aproximadamente R$ 115,5 bilhões) na bolsa de valores de tecnologia dos EUA. A empresa também entrou na mira de autoridades nos Estados Unidos e no Reino Unido. O deputado britânico Damian Collins convocou o CEO do Facebook, Mark Zuckerberg, para depor diante de um comitê legislativo – ele tem até 26 de março para responder. As autoridades também estão trabalhando para conseguir um mandado de busca e apreensão para entrar na sede da Cambridge Analytica e recolher material que ajude a elucidar o caso. Nos EUA, a senadora Amy Klobuchar também tem feito pressão para que Zuckerberg deponha ao senado para dar explicações Mas afinal, que vazamento foi esse? Como ele ajudou a fazer manipulação política e qual a responsabilidade do Facebook? A BBC Brasil reuniu as informações mais cruciais para você entender o escândalo e seus desdobramentos. Cambridge Analytica: que empresa é essa? A Cambridge Analytica é uma empresa de análise de dados que trabalhou com o time responsável para campanha do republicano Donald Trump nas eleições de 2016, nos Estados Unidos. Segundo o jornal The Guardian, na Europa a empresa foi contratada pelo grupo que promovia o Brexit (a saída do Reino Unido da União Europeia). A Cambridge Analytica nega e afirma que nunca trabalhou para a campanha do Brexit. A empresa é propriedade do bilionário do mercado financeiro Robert Mercer e era presidida, à época, por Steve Bannon, então principal assessor de Trump. A Cambridge Analytica teria comprado acesso a informações pessoais de usuários do Facebook e usado esses dados para criar um sistema que permitiu predizer e influenciar as escolhas dos eleitores nas urnas, segundo a investigação dos jornais The Guardian e The New York Times. Na noite de segunda, a rede de TV britânica Channel 4 veiculou uma reportagem em que o diretor-executivo da Cambridge Analytica, Alexander Nix, foi filmado conversando sobre uso de suborno, ex-espiões e prostitutas para encurralar políticos. Um repórter se apresentou como potencial cliente e obteve as informações. A Cambridge Analytica disse que o Channel 4 "interpretou errado" a conversa registrada pelas câmeras. Na noite desta terça-feira, porém, a Cambridge Analytica afirmou que Nix foi suspenso da diretoria e que seus comentários, registrados pela reportagem do Channel 4, "não representam os valores ou a operação da empresa". Como os dados foram obtidos? Um ex-funcionário da empresa, Christopher Wylie, revelou ao Guardian que o esquema começou em 2014, dois anos antes da eleição americana de 2016 e três anos antes do Brexit. As informações dos usuários do Facebook foram coletadas por um aplicativo chamado thisisyourdigitallife (essa é sua vida digital, em português), que pagou a centenas de milhares de usuários pequenas quantias para que eles fizessem um teste de personalidade e concordassem em ter seus dados coletados para uso acadêmico. O aplicativo foi desenvolvido por Aleksandr Kogan, pesquisador da Universidade de Cambridge, no Reino Unido. Ele já tinha uma pesquisa sobre como deduzir a personalidade e as inclinações políticas das pessoas a partir de seus perfis no Facebook. A Cambridge Analytica – que não tem relação nenhuma com a Universidade de Cambridge – teria comprado os dados coletados por ele Além da óbvia questão de que muitos usuários não leem os longos termos e condições e mal sabem que estão dando suas informações para os desenvolvedores desses testes, o grande problema foi que o aplicativo também coletou as informações dos amigos de Facebook das pessoas que fizeram o teste. Ou seja, se uma pessoa respondesse o quiz, estaria entregando informações privadas não apenas do seu perfil, mas também dos seus amigos. Quais dados foram coletados? Os dados incluíam detalhes sobre a identidade das pessoas – como nome, profissão, local de moradia – seus gostos e hábitos e sua rede de contatos. Os usuários do aplicativo não faziam ideia de que isso tudo seria usado para ajudar a eleger Donald Trump. O aplicativo se aproveitou de uma "brecha" nas normas do Facebook – à época, a política da plataforma permitia à aplicativos externos a coleta de dados de amigos das pessoas, mas dizia que eles deveriam ser usados apenas para melhorar a experiência do próprio usuário no aplicativo. Era proibido que os dados fossem vendidos ou usados para propaganda – mas não havia controle do Facebook sobre esse uso. Posteriormente à revelação do escândalo, alguns executivos da empresa reclamaram no Twitter do uso da palavra "vazamento" no caso envolvendo a Cambridge Analytica, já que na prática a plataforma não foi hackeada. A empresa não precisou "invadir" a rede social para ter acesso às informações – conseguiu os dados de maneira legítima e, depois, desrespeitou as regras do Facebook sobre como poderia usá-los. De qualquer forma, milhões de informações de pessoas que não deram seu consentimento acabaram sendo usadas para fins políticos. Para que os dados foram usados? Christopher Wylie afirma que, como 270 mil pessoas fizeram o teste de personalidade, por meio do acesso à rede de amigos dessas pessoas, os dados de cerca de 50 milhões de usuários foramcoletados, sem autorização. A maioria dos usuários seriam eleitores norte-americanos. De acordo com Wylie, os dados vendidos à Cambridge Analytica teriam sido usados para catalogar o perfil das pessoas e, então, direcionar, de forma mais personalizada, materiais pró-Trump e mensagens contrárias à adversária dele, a democrata Hillary Clinton. A base de dados coletada é uma ferramenta poderosa porque permite que as campanhas identifiquem pessoas que estão em dúvida e direcionem a elas mensagens com maior probabilidade de convencê-las. "Fornecer a informação certa à pessoa certa, no momento certo é mais importante do que nunca", afirma uma propaganda da Cambridge Analytica sobre marketing eleitoral. A empresa nega que tenha usado dados do Facebook como parte dos serviços que forneceu à campanha de Donald Trump para a presidência. Quem é o informante? Christopher Wylie é um canadense, de 28 anos, especializado em análise de dados. Ele trabalhou para a Cambridge Analytica para projetar e emplementar o plano de uso de dados do Facebook. Ele mostou um dossiê cheio de evidências sobre o mau uso dos dados para o Guardian, com e-mails, mensagens de voz, contratos e transferências bancárias que revelam a coleta de dados dos usuários. As informações também foram passadas para autoridades britânicas e americanas. A jornalista Carole Cadwalladr – que assina tanto a reportagem no jornal britânico quanto a do New York Times – conversou com ele durante meses antes da publicação das notícias. Ela descreveu que o próprio Wylie se enxerga como um "gay canadense e vegano que, sabe-se lá como, acabou criando a ferramenta de guerra mental e psicológica de Steve Bannon". Segundo a jornalista, no último ano ele tem tentado desfazer os eventos – a vitória de Trump e o Brexit – que ajudou a concretizar com seu trabalho. Wylie saiu da empresa em 2015 junto com uma parte da equipe original, que estava insatisfeita com as inclinações políticas dos donos da Cambridge Analytica. Ele foi fonte – anônima – de mais de uma reportagem sobre manipulação na internet e resolveu vir à público em fevereiro de 2018. Agora, corre o risco de ser processador por estar quebrando cláusulas de confidencialidade de seu contrato com a empresa. Qual a reação do Facebook? O vazamento foi levado ao conhecimento do Facebook pela primeira vez há cerca de dois anos, mas a empresa só suspendeu a Cambridge Analytica da plataforma na última sexta- feira – depois que as reportagens procuraram a empresa para pedir uma resposta sobre o caso. A rede social diz que o aplicativo usado para a coleta dos dados foi retirado do ar em 2015. Inicialmente, a empresa não admitiu a falha e os advogados da rede social procuraram o Guardian dizendo que o jornal fazia alegações "falsas e difamatórias". No mês passado, em uma outra investigação – desta vez, sobre notícias falsas – tanto a rede social quanto o atual presidente da Cambridge Analytica, Alexander Nix, tinham afirmado que a empresa não tinha nem usava informações privadas de usuários da rede. O Facebook, cujo modelo de negócio está baseado na coleta de dados, vem negando o mau uso de informações do público em todas as investigações feitas sobre isso até hoje. Uma nota assinada pelo vice-presidente do Facebook, Paul Grewal, afirmou que a empresa está "comprometida com o cumprimento de suas políticas e a proteção de informações dos usuários". LEI GERAL DE PROTEÇÃO DE DADOS A LGPD chegou e logo estará vigente. Na prática, (quase) ninguém escapa da busca pela adequação. Tendo como referência o Regulamento Geral sobre Proteção de Dados da União Europeia, também conhecido como GDPR, a LGPD foi publicada no Diário Oficial de 15/08/2018, e já foi objeto de algumas alterações em razão da Medida Provisória 869/2018, convertida na Lei nº 13.853, de 08/07/2019, que ajustou alguns dispositivos e criou a Autoridade Nacional de Proteção de Dados – ANPD, bem como de decisões do Congresso Nacional, que acabou derrubando vetos do Presidente da República. A LGPD tem seu início de vigência previsto para 16/08/2020 (24 meses após a sua publicação). A Lei busca equilibrar a relação entre titular do dado (pessoa natural a quem o dado se refere) e controlador (pessoa natural ou jurídica a quem compete as decisões referentes ao tratamento de dados pessoais). Para entender a abrangência da lei, devemos observar os aspectos de territorialidade e objetivo. Se o tratamento de dados pessoais visa ofertar bens ou serviços no território nacional ou se a coleta dos dados ocorreu em território nacional, a LGPD é aplicada. Essa regra vale para empresas públicas ou privadas, startups ou empresas tradicionais, profissionais liberais, microempreendedores, grandes corporações, fintechs e bigtechs. O que fica de fora? Tratamento de dados com fim exclusivamente particular e não econômico, quando realizado por pessoa física (manter uma agenda de contatos no celular, por exemplo). Também não se aplica a LGPD quando o tratamento ocorre exclusivamente para atender fins jornalísticos, acadêmicos, artísticos, segurança pública, defesa nacional, segurança do Estado, atividades de investigação e repressão de infrações penais. No nosso dia a dia, sem perceber, tratamos uma grande diversidade de dados pessoais. São números de telefone, perfis em redes sociais, fotos, documentos e muitos outros exemplos de coisas que guardamos, consultamos ou compartilhamos com frequência. Mas como distinguir o que é um dado pessoal? Na visão da LGPD, um dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável. E na prática, o que isso significa? Vamos separar os dois tipos de informações citadas pela lei: informação de pessoa identificada e informação de pessoa identificável. O primeiro caso é o mais simples. A informação, por si só, identifica um único indivíduo, que é o titular – o dono – do dado pessoal. Número do CPF, número do passaporte, número de telefone, endereço de e-mail e código MCI são exemplos de informações que identificam uma pessoa física. Para o segundo grupo, informação de pessoa identificável, é preciso mais cuidado pois é necessário avaliar se uma combinação de variáveis identifica um indivíduo. O endereço residencial (logradouro, número, bairro e cidade, por exemplo) pode identificar uma pessoa, desde que ela more sozinha. Caso ela more com outras pessoas, se combinarmos o primeiro nome ou o gênero ou a idade ao endereço, podemos identificar um indivíduo. A profissão/ocupação, salvo poucas exceções, não identifica uma única pessoa. Contudo, a ocupação combinada com o empregador aumenta muito a possibilidade de identificar um indivíduo. O fato de uma mesma combinação de informações trazer a possibilidade de identificar um indivíduo ou não, aumenta a complexidade para adequação à lei e é um grande desafio, por exemplo, para a anonimização. Agora, imagine uma informação que revela algo sobre a personalidade ou a intimidade de alguém, como sua origem racial ou orientação sexual. Esses dados, quando vinculados a uma pessoa, são chamados de dados pessoais sensíveis e precisam de um tratamento cuidadoso. De acordo com a lei, os dados pessoais sensíveis são: origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso, filosófico ou político; dados referentes à saúde ou vida sexual; dado genético ou biométrico. O tratamento de dados pessoais sensíveis, quando comparado aos demais dados pessoais, tem restrições. Além do consentimento específico do titular, considerando o contexto do Banco, ele só pode ser usado para o cumprimento de obrigações legais, execução de políticas públicas, em processos judiciais, administrativos ou arbitrais e para segurança do titular nos processos de identificação e autenticação.Devemos permanecer atentos para não fazer uso de dados sensíveis fora das hipóteses previstas para esse tratamento, especialmente nos processos que derivam perfis pessoais e de propensão ao consumo. Para a LGPD, o conceito de tratamento é bastante amplo e engloba todas as possibilidades de manuseio de dados pessoais, independente do meio utilizado. Consultar um cadastro, atualizar o endereço e cadastrar um número de telefone são exemplos típicos. Digitalizar uma Carteira de Motorista, encaminhar um contrato de crédito para registro em cartório, gerar uma lista de propensão de consumo e ofertar produtos para nossos clientes são atividades que envolvem tratamento de dados. Fique esperto: o simples fato de guardar dados pessoais em arquivos físicos ou manter registros em bancos de dados ou documentos digitalizados caracteriza um tratamento. Consultá-los? Outro tratamento. Quem surgiu primeiro, o dado pessoal ou o tratamento? Sem dado pessoal não há tratamento. Sem tratamento, os dados pessoais ainda existem. Não há dilema, certo? As empresas têm algumas maneiras para chegar até os dados pessoais. A primeira maneira é pela declaração do próprio titular que, para adquirir algum bem ou serviço, informa os dados pessoais necessários para concretizar o negócio. Outra maneira de obter dados pessoais é pela consulta em fontes públicas ou privadas, para complementar ou validar informações (Governo Federal, Serasa ou Boa Vista, por exemplo). Além disso, as empresas também podem determinar um dado pessoal a partir da associação direta de outros dados pessoais pré-existentes. Podemos determinar a idade de uma pessoa sabendo sua data de nascimento, por exemplo. Por fim, as empresas podem inferir um perfil, uma característica ou um comportamento pessoal observando o histórico de dados do titular. Nesse caso, de maneira geral, são inferências criadas a partir de modelos que tratam um grande número de variáveis, incluindo muitos dados pessoais, para uma finalidade específica. E agora? Nesse último caso, o tratamento precede o dado pessoal? Acho que o dilema está de volta. Quando olhamos para quem oferta/comercializa produtos, bens ou serviços, seja numa loja física ou na Internet, ninguém escapa da LGPD. Está no nome: a lei é geral. Isso significa que ela traz deveres para todos os agentes que realizam tratamento de dados pessoais, independente do setor da economia. Como base, para orientar todos aqueles regidos pela lei, o Art. 6º da LGPD declara 10 princípios que, necessariamente, precisam ser observados antes de realizar qualquer tratamento de dados pessoais. Finalidade, Adequação e Necessidade: os três primeiros princípios têm uma relação muito forte entre si. De acordo com eles, o tratamento pode ocorrer somente dentro de um propósito específico, compatível com o que foi informado ao titular, utilizando apenas os dados pessoais necessários para atingir o propósito declarado. Livre Acesso, Qualidade dos Dados e Transparência: os titulares têm direito de saber quais dados pessoais são mantidos pelas empresas e como eles foram utilizados. Esses dados precisam estar corretos, permitindo a atualização sempre que necessário. A informação sobre os tratamentos realizados precisa ser clara e facilmente acessível. Segurança, Prevenção e Não Discriminação: os dados pessoais devem estar protegidos de acessos indevidos e de alterações, destruição, perda ou compartilhamento ilícito ou acidental. O tratamento de dados pessoais não pode gerar danos nem ocorrem para fins discriminatórios ilícitos ou abusivos. Responsabilização e prestação de contas: todos os responsáveis pelo tratamento de dados pessoais devem demonstrar e evidenciar que adotam medidas eficazes para cumprir as normas de proteção desses dados. Mas o que é uma hipótese de tratamento? A LGPD determina que o tratamento de dados pessoais só pode ocorrer quando atendemos requisitos que estão descritos na lei. De maneira prática, cada conjunto de dados pessoais combinada com a respectiva finalidade do tratamento pode ocorrer desde que seja para: • cumprir uma obrigação legal ou regulatória; ou • executar políticas públicas previstas em lei; ou • realizar estudos por órgãos de pesquisa; ou • execução de contratos, incluindo os procedimentos preliminares à formalização; ou • exercer os direitos da empresa em processos judiciais, administrativos ou arbitrais; ou • proteção da vida ou da integridade física do titular; ou • procedimentos de saúde realizado por profissionais da área; ou • ações de proteção ao crédito; ou • prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação dos titulares em sistemas eletrônicos; ou • atender os legítimos interesses da empresa, desde que mantidos os direitos e liberdades fundamentais do titular; ou • desde que haja o consentimento livre, específico e destacado do titular para aquela finalidade descrita. Contudo, não basta identificar se o tratamento está apoiado em uma das hipóteses acima. É necessário registrar esse vínculo e dar transparência ao titular, demonstrando isso sempre que ele solicitar. a LGPD não pretende restringir o avanço das atividades comerciais nem o uso de ferramentas e técnicas inovadoras para apoiar, promover e desenvolver negócios. É nesse contexto que uma empresa pode tratar dados pessoais a partir do seu legítimo interesse. Entretanto, atuar a partir do seu legítimo interesse traz uma série de obrigações às empresas: • A lei reforça, explicitamente, os princípios da necessidade e da transparência, quando a empresa deve utilizar somente os dados pessoais estritamente necessários para atingir o objetivo pretendido e deve adotar medidas para garantir que o titular tenha acesso claro e facilitado aos tratamentos realizados, respectivamente; • Respeitar as expectativas do titular; • Providenciar, para cada finalidade apoiada pela hipótese do legítimo interesse, um relatório de impacto à proteção de dados pessoais, que poderá ser requisitado pela Autoridade Nacional de Proteção de Dados (ANPD). Por conta dessas obrigações, o uso dessa hipótese de tratamento precisa ser bem fundamentado e documentado pela área responsável pela privacidade e proteção de dados, sempre apoiada pela área gestora da atividade. Conectividade As questões relativas à privacidade e proteção de dados pessoais ainda são pouco discutidas na sociedade brasileira. No entanto, o avanço da internet e da conectividade acabou trazendo essas questões para o centro do debate, resultando na promulgação da Lei Geral de Proteção de Dados – LGPD e na definição da necessidade de um arcabouço legal sobre o assunto (exemplo: Proposta de Emenda Constitucional 17/2019, que inclui a proteção de dados pessoais como um direito fundamental do cidadão. Além disso, o aumento no volume de dados gerados, tendo como principal vetor o crescimento de dispositivos conectados, passou a exigir dos agentes de tratamento a adoção de cuidados e medidas adicionais de segurança. Com isso, observa-se que não se trata de uma questão local, essa é uma preocupação mundial, que será agravada ainda mais com a implantação da Internet das Coisas e da Tecnologia 5G. Apenas 60 segundos são suficientes para circular um volume gigantesco de dados, vídeos, mensagens, fotos e informação no planeta, conforme comparativo dos anos 2018 e 2019: A PROTEÇÃO DE DADOS NOS TEMPOS DE COVID-19 Um único assunto tem dominado o noticiário, os grupos de WhatsApp e as conversas em família. Está clara a gravidade do problema e sua extensão. Parte do que é amplamente publicado são informações sobre pessoas com suspeita da doença, também as confirmadas, internadas e falecidas. Além disso, há muita informação sendo produzida e compartilhada no âmbito científico, entre médicose pesquisadores das mais diferentes especialidades ao redor do mundo. De maneira geral, excluindo situações específicas e restritas, essas informações são tratadas sem identificar a quem elas se referem. Sabemos, por exemplo, que o 1º caso confirmado no Brasil foi em 26/02, homem, 61 anos, morador da cidade de São Paulo, vindo da Itália. Não é necessário saber sua identidade. Todo cidadão tem direito à sua privacidade. Esse processo de omitir informações que identifiquem um indivíduo é conhecido por anonimização. Isso é muito comum no desenho de perfil de um público específico. Vejamos um exemplo prático: um estudo divulgado pelo Ministério da Saúde, em 27/03/2020, informa a existência de 3.417 infectados e 92 óbitos. Das vítimas, 89% tinham acima de 60 anos, 35% eram mulheres. Informa, ainda, que 149 estão internados sob observação e 186 estão em Unidades de Terapia Intensiva (UTI). Esses estudos, além de informar a população, são essenciais para a definição de estratégias de contenção e tratamento da doença e, ao mesmo tempo, preservam a privacidade das pessoas afetadas. Nesse contexto, a LGPD é empecilho para a utilização de dados que identificam o indivíduo? Não. Pelo contrário, é a partir dela que a utilização destes dados pode ter legitimidade e que os respectivos limites e procedimentos específicos são tornados claros. O tratamento de dados pessoais deve respeitar direitos e garantias individuais, princípios e regras aplicáveis, a utilização dos dados pessoais deve ocorrer somente para a estrita finalidade de conter a emergência, deve-se buscar a minimização de riscos através da utilização de um conjunto mínimo de dados, aplicar a anonimização e pseudonimização sempre que possível e o emprego das medidas de segurança necessárias. As condições atípicas continuam. Medidas de isolamento social estão vigentes. Nesse contexto, uma iniciativa de monitoramento ganha destaque em diversos países, incluindo o Brasil: uso de geolocalização das pessoas para identificar aglomerações. Alguns governos, em parcerias com empresas privadas, estão coletando informações dos dispositivos móveis, principalmente smartphones, para acompanhar o deslocamento das pessoas ao longo do tempo. Em princípio, essa é ação legítima, mas que carece de cuidados e medidas protetivas, especialmente aquelas já definidas pela LGPD. Reproduzimos, abaixo, partes de uma reportagem que resume a situação: As operadoras de telecomunicação repassarão informações sobre a circulação de pessoas para que o governo faça avaliações e desenvolva estratégias de prevenção e combate à epidemia do novo coronavírus. A parceria vai durar o período da calamidade pública da covid-19 e envolve as empresas Vivo, Claro, Oi, Tim e Algar. “O que nós estamos disponibilizando para o governo é este dado estatístico agregado. Não vamos falar em número de linha nem em nome da pessoa. Em tal dia estavam conectadas tantas linhas em tal antena. Isso é um mapa. Olha por cima do país e enxerga como se dá a concentração de pessoas, deslocamento delas por meio deste mecanismo estatístico”, disse Marcos Ferrari, presidente executivo do Sinditelebrasil. Os dados serão consolidados no fim do dia e repassados a um servidor da empresa estadunidense Microsoft, de onde poderão ser acessados pelo governo. Assim, o “mapa” mostrará a situação sempre do dia anterior. As cinco operadoras possuem uma grande base de dados, somando 214 milhões de chips (embora vários clientes tenham mais de um chip). Na avaliação do conselheiro do Laboratório de Políticas Públicas e Internet da Universidade de Brasília (Lapin) Thiago Moraes, é importante que o governo se certifique que os dados disponibilizados na “nuvem” da Microsoft não sejam usados para outras finalidades. Mesmo não estando em vigor a Lei Geral de Proteção de Dados, ele defende que seus princípios e diretrizes sejam respeitados. Thiago Moraes também destaca “que o tratamento seja limitado ao mínimo necessário, e se evite o uso excessivo dos dados. Isto significa, entre outras coisas, que uma vez superada a crise, os dados coletados devem ser eliminados. É importante também que tão logo uma política pública seja definida, sua finalidade seja transparecida à população” A coordenadora do Coletivo Intervozes Marina Pita defende que “deveria haver mais detalhes inclusive em relação aos procedimentos de anonimização e agregação utilizados porque há vários exemplos de reidentificação de dados anonimizados. Um sistema como esse não pode perdurar e deveria haver formas de auditar e fiscalizar o seu uso”. As informações pessoais se tornaram mais um produto comprado e vendido Uma vida vigiada Entenda o escândalo de uso político de dados que derrubou valor do Facebook e o colocou na mira de autoridades Cambridge Analytica: que empresa é essa? Como os dados foram obtidos? Quem é o informante? Qual a reação do Facebook?
Compartilhar