Proteger a privacidade é um jogo perdido hoje, como mudar o jogo? As recentes discussões de ataques governamentais e privados que levaram a violações de dados fizeram muitos legisladores e líderes empresariais no mundo todo a dizerem que chegou a hora de uma ampla legislação federal de privacidade.
Mais e mais dados sobre cada um de nós estão sendo gerados cada vez mais rápido a partir de mais e mais dispositivos, e não conseguimos acompanhar. “É um jogo perdedor tanto para os indivíduos quanto para o nosso sistema jurídico. Se não mudarmos as regras do jogo logo, isso se tornará um jogo perdedor para nossa economia e sociedade“, diz Cameron F. Kerry ao site Brookings
Aqui vamos seguir um raciocínio feito por Cameron em seu artigo, tentando trazer à nossa realidade nacional e mundial, não somente Americana.
O drama de Cambridge Analytica foi o mais recente, talvez o primeiro mais significante, de uma série de erupções que chamaram a atenção das pessoas de uma forma que um fluxo constante de violações e uso indevido de dados não conseguiu.
O primeiro desses choques foram as revelações de Snowden em 2013. Isso gerou histórias de longa duração e manchetes que iluminaram a quantidade de informações sobre nós que podem acabar em lugares inesperados. As divulgações também aumentaram a conscientização sobre o quanto pode ser aprendido com esses dados (“nós matamos pessoas com base em metadados“, disse o ex-diretor da NSA e CIA Michael Hayden).
Os tremores secundários foram sentidos não apenas pelo governo, mas também por empresas americanas, especialmente aquelas cujos nomes e logotipos apareceram nas notícias de Snowden. Eles enfrentaram a suspeita dos clientes em casa e a resistência do mercado por parte dos clientes no exterior. Para reconstruir a confiança, eles pressionaram para divulgar mais sobre o volume de demandas de vigilância e mudanças nas leis de vigilância. Apple, Microsoft e Yahoo envolveram-se em batalhas legais públicas com o governo dos Estados Unidos.
Então veio a violação Equifax do ano passado que comprometeu informações de identidade de quase 146 milhões de americanos. Não era maior do que a longa lista de violações de dados que o precedeu, mas atingiu com mais força porque atingiu o sistema financeiro e afetou consumidores individuais que nunca fizeram negócios diretamente com a Equifax, mas mesmo assim tiveram que lidar com o impacto de seu crédito pontuações na vida econômica. Para essas pessoas, a violação foi outra demonstração de como os dados importantes sobre elas circulam sem seu controle, mas com impacto em suas vidas.
Agora, as histórias de Cambridge Analytica desencadearam uma atenção pública ainda mais intensa, com transmissões de TV ao vivo para o testemunho de Mark Zuckerberg no congresso. Não apenas muitas das pessoas cujos dados foram coletados ficaram surpresas com o fato de uma empresa da qual nunca ouviram falar ter tantas informações pessoais, mas a história da Cambridge Analytica aborda todas as controvérsias que envolvem o papel das mídias sociais no cataclismo da eleição presidencial de 2016. O Facebook estima que a Cambridge Analytica foi capaz de alavancar sua pesquisa “acadêmica” em dados de cerca de 87 milhões de americanos (enquanto antes da eleição de 2016 o CEO da Cambridge Analytica, Alexander Nix gabou-se de ter perfis com 5.000 pontos de dados de 220 milhões de americanos). Com mais de dois bilhões de usuários do Facebook em todo o mundo, muitas pessoas têm interesse nesta questão e, como as histórias de Snowden, está recebendo intensa atenção em todo o mundo, como demonstrado por Mark Zuckerberg assumindo seu testemunho no caminho para o Parlamento Europeu .
As histórias de Snowden forçaram mudanças substanciais na vigilância com a promulgação da legislação dos Estados Unidos que restringe a coleta de metadados por telefone e aumenta a transparência e as salvaguardas na coleta de inteligência. Todas as audiências e atenção pública sobre Equifax e Cambridge Analytica trarão mudanças análogas para o setor comercial nos Estados Unidos e no mundo?
As histórias de Cambridge Analytica geraram novos pedidos de alguma legislação federal de privacidade de membros do Congresso em ambos os partidos, conselhos editoriais e comentaristas. Com as audiências de Zuckerberg realizadas, senadores e congressistas estão pensando sobre o que fazer a seguir. Alguns já apresentaram projetos de lei e outros estão pensando em como seriam as propostas de privacidade. Os artigos de opinião e tópicos do Twitter sobre o que fazer fluíram. Vários grupos em Washington têm se reunido para desenvolver propostas de legislação. Em várias partes do mundo o tema também ganhou força e foram promulgadas leis como a GDPR na Europa e a LGPD no Brasil.
Não podemos dizer que tudo tem ocorrido de privacidade ao longo dos últimos anos nos diversos países são decorrência dos eventos Americanos, mas certamente eles influenciaram e muitos as medidas que hoje são adotadas.
Não se trata apenas de controle de danos ou acomodação ao “techlash” e à frustração do consumidor. Há algum tempo, os eventos vêm mudando a maneira como os interesses comerciais veem a perspectiva da legislação federal de privacidade. Uma crescente disseminação da legislação estadual sobre neutralidade da rede, drones, tecnologia educacional, leitores de placas de veículos, identificação facial e outros assuntos tornaram atraente a possibilidade de um conjunto de regras federais em todos o mundo. Para as empresas multinacionais que passaram dois anos se preparando para o cumprimento da nova lei de proteção de dados que agora entrou em vigor na Europa e no Brasil, lidar com uma lei abrangente dos EUA não parece mais tão assustador.
Essa mudança no setor corporativo abre a possibilidade de que esses interesses possam convergir com os dos defensores da privacidade em uma legislação abrangente que fornece proteções eficazes para os consumidores.
Evolução da Lei
Snowden, Equifax e Cambridge Analytica fornecem três motivos evidentes para agirmos. Existem realmente quintilhões de razões. É assim que a IBM estima que estamos gerando informações digitais, quintilhões de bytes de dados todos os dias – um número seguido por 30 zeros. Esta explosão é gerada pela duplicação do poder de processamento do computador a cada 18-24 meses, o que impulsionou o crescimento da tecnologia da informação em toda a era da computação, agora composta por bilhões de dispositivos que coletam e transmitem dados, dispositivos de armazenamento e centros de dados que os tornam mais baratos e mais fácil manter os dados desses dispositivos, maior largura de banda para mover esses dados com mais rapidez e software mais poderoso e sofisticado para extrair informações dessa massa de dados. Tudo isso é habilitado e ampliado pela singularidade dos efeitos de rede – o valor que é agregado por estar conectado a outras pessoas em uma rede – de maneiras que ainda estamos aprendendo.
Esse Big Bang de informações está dobrando o volume de informações digitais no mundo a cada dois anos. A explosão de dados que colocou a privacidade e a segurança em destaque irá se acelerar. Futuristas e analistas de negócios debatem quantas dezenas de bilhões de dispositivos serão conectados nas próximas décadas, mas a ordem de magnitude é inconfundível – e impressionante em seu impacto sobre a quantidade e velocidade de bits de informação que se movem ao redor do globo. O ritmo da mudança é estonteante e ficará ainda mais rápido !
As propostas mais recentes de legislação de privacidade visam a fatias das questões que essa explosão apresenta. A violação da Equifax produziu legislação voltada para corretores de dados. As respostas ao papel do Facebook e do Twitter no debate público se concentraram na divulgação de anúncios políticos, no que fazer com os bots ou nos limites do rastreamento online de anúncios. A maior parte das legislações tem como alvo tópicos específicos como o uso de dados de produtos de tecnologia educacional, acesso a contas de mídia social por empregadores e proteção de privacidade de drones e leitores de placas de veículos. A simplificação e expansão do Facebook de seus controles de privacidade e recentes projetos de lei de privacidade federais em reação aos eventos se concentram em aumentar a transparência e a escolha do consumidor.
O problema é que esse sistema não consegue acompanhar a explosão de informações digitais, e a difusão dessas informações minou as premissas-chave dessas leis de maneiras cada vez mais evidentes. As leis atuais foram projetadas para abordar a coleta e o armazenamento de dados estruturados por governos, empresas e outras organizações e estão perdendo o controle em um mundo onde estamos todos conectados e compartilhando constantemente. É hora de uma abordagem mais abrangente e ambiciosa. Precisamos pensar grande, ou continuaremos jogando um jogo perdedor.
Nossas leis existentes se desenvolveram como uma série de respostas a preocupações específicas, um tabuleiro de damas de leis internacionais, federais e estaduais, jurisprudência de direito e aplicação pública e privada que se acumulou ao longo de mais de um século. O advento dos computadores mainframe viu as primeiras leis de privacidade de dados adotadas em 1974 para lidar com o poder da informação nas mãos de grandes instituições como bancos e governo. Hoje, nosso tabuleiro de damas de leis de privacidade e segurança de dados cobre os dados que mais preocupam as pessoas. Isso inclui dados de saúde, informações genéticas, registros de alunos e informações relativas a crianças em geral, informações financeiras e comunicações eletrônicas.
Fora desses setores específicos, não existe uma zona completamente sem lei. Ao fazer com que as organizações se concentrem em dados pessoais e como eles os protegem, reforçada pela exposição a litígios de aplicação públicos e privados, essas leis tiveram um impacto significativo nas práticas de privacidade e segurança.
Essas alavancas de coação em casos específicos, bem como a exposição pública, podem ser ferramentas poderosas para proteger a privacidade. Mas, em um mundo de tecnologia que opera em uma escala massiva, movendo-se rapidamente e fazendo as coisas porque é possível, reagir a abusos específicos após o fato não fornece grades de proteção suficientes.
À medida que o universo de dados continua se expandindo, cada vez mais temos situações fora das várias leis específicas. Isso inclui a maioria dos dados que geramos por meio de usos generalizados, como pesquisas na web, mídia social, comércio eletrônico e aplicativos de smartphone. As mudanças vêm mais rápido do que a legislação ou as regras regulatórias podem se adaptar e apagam as fronteiras setoriais que definiram nossas leis de privacidade
Faz pouco sentido que a proteção de dados dependa inteiramente de quem os detém. Essa arbitrariedade se espalhará à medida que mais e mais dispositivos conectados forem incorporados em tudo, desde roupas até carros, eletrodomésticos e móveis urbanos.
Colocar tantos dados em tantas mãos também está mudando a natureza das informações que são protegidas como privadas. Para a maioria das pessoas, “informações pessoais” significam informações como números de previdência social, números de contas e outras informações exclusivas. As leis de privacidade que surgiram ao redor do mundo refletem essa concepção visando “informações pessoalmente identificáveis”, mas os cientistas de dados demonstraram repetidamente que esse foco pode ser muito restrito. A agregação e correlação de dados de várias fontes tornam cada vez mais possível vincular informações supostamente anônimas a indivíduos específicos e inferir características e informações sobre eles. O resultado é que, hoje, uma gama cada vez maior de dados tem o potencial de ser informações pessoais, ou seja, de nos identificar de maneira única. Poucas leis ou regulamentos abordam essa nova realidade.
Hoje em dia, quase todos os aspectos de nossas vidas estão nas mãos de terceiros em algum lugar. Isso desafia julgamentos sobre “expectativas de privacidade” que têm sido uma premissa importante para definir o escopo da proteção de privacidade. Esses julgamentos apresentam escolhas binárias: se as informações privadas são de alguma forma públicas ou nas mãos de terceiros, muitas vezes as pessoas são consideradas como não tendo expectativa de privacidade.
À medida que mais dispositivos e sensores são implantados nos ambientes pelos quais passamos durante nossos dias, a privacidade se tornará impossível se formos considerados como tendo renunciado a nossa privacidade simplesmente viajando pelo mundo ou compartilhando-a com qualquer outra pessoa. Muitas pessoas disseram que a privacidade está morta, começando de forma mais famosa com Scott McNealy da Sun Microsystems no século 20 (“você tem privacidade zero … supere isso”) e ecoado por um coro de escritores desesperados desde então. Sem regras normativas para fornecer uma âncora mais constante do que a mudança de expectativas, a verdadeira privacidade poderia estar morta ou morrendo.
Talvez o consentimento informado fosse prático há duas décadas, mas hoje é uma fantasia. Em um fluxo constante de interações online, especialmente nas telas pequenas que agora são responsáveis pela maioria do uso, não é realista ler as políticas de privacidade. E as pessoas simplesmente não sabem.
A escolha individual torna-se totalmente sem sentido, pois a coleta de dados cada vez mais automatizada não deixa oportunidade para qualquer notificação real, muito menos consentimento individual. Não somos solicitados a consentir com os termos de câmeras de vigilância nas ruas ou “beacons” em lojas que captam identificadores de telefone celular, e os hóspedes geralmente não são questionados se concordam que os alto-falantes inteligentes dos proprietários captem sua fala . Na melhor das hipóteses, um sinal pode ser colocado em algum lugar anunciando que esses dispositivos estão instalados. À medida que dispositivos e sensores são cada vez mais implantados em todos os ambientes pelos quais passamos, alguns acessos e controles posteriores podem desempenhar um papel, mas aviso e escolha antiquados tornam-se impossíveis.
A confiança precisa de uma base mais sólida que forneça às pessoas uma garantia consistente de que os dados sobre elas serão tratados de forma justa e consistente com seus interesses, caso contrário poderíamos dizer que “estamos jogando um jogo perdido”. Se as regras não mudarem, não teremos como ganhar este jogo.