Não é de hoje que os temas “analytics” e “privacidade” estão em voga. E o mais importante é que eles estão amplamente conectados. Pode-se dizer que tais assuntos ganharam repercussão quando se noticiou o escândalo envolvendo a Cambridge Analytica, caso que mostrou a aplicação da análise de dados associada ao uso indiscriminado das preferências, cliques, likes, reações em geral e até mesmo fotos e geolocalizações dos usuários em suas redes sociais – informações que foram usadas para potencialmente manipular eleições, decisões de consumo e discriminação de indivíduos.
Tais acontecimentos catalisaram as discussões e as implantações de legislações para proteger a privacidade individual dos usuários, inicialmente com a GDPR (General Data Protection Regulation), criada na Europa e, mais recentemente, a LGPD (Lei Geral de Proteção de Dados), no Brasil. Essas regulamentações geraram uma corrida das empresas para enquadrarem suas estruturas, adequarem seus cadastros às exigências da Lei, assim como as levou a ajustarem suas boas práticas corporativas.
As medidas envolvem desde a jornada de aceitação de um “cookie” em sites até aos processos complexos, como o mapeamento de todos os dados pessoais existentes dentro das empresas, além de ferramentas para a gestão de um programa de compliance vinculado à LGPD, anonimização de dados e a eliminação e reestruturação de processos para a coleta apenas de dados pessoais efetivamente necessários. Enfim, trata-se de uma mudança drástica, complexa, cara para as companhias, mas, em tese, efetivamente necessária para proteger a liberdade de cada indivíduo.
Atualmente, a maioria dos sites exige um “aceite” da política de cookies ou a “gestão” destes pelos usuários. A não aceitação acarretará mal funcionamento do site e, por vezes, até à inviabilidade de navegar na plataforma. Mas, e você? Sabe o que está efetivamente contido nessas políticas?
O processo é semelhante ao cadastro em sites e aplicativos. O usuário, para seguir em frente, precisa aceitar o “Termos e condições”, porém, agora, também precisa estar ciente em relação à “Política de privacidade”. De certa forma, quase ninguém sabe o que está contido nesses documentos (e tão pouco param para lê-los), assim como a maioria dos cidadãos nem conhece seus direitos previstos na LGPD.
Existe a lenda sobre uma empresa americana que adicionou às suas condições que a primeira pessoa que lesse aquele termo e enviasse um e-mail para a empresa ganharia a bagatela de 100 mil dólares. Dizem que levou meses até que o felizardo aparecesse.
Mas, e quando a política de privacidade traz conteúdos que, na verdade, expõem sua vida privada? Já imaginou você, tacitamente, no ímpeto de se cadastrar em um site e na pressa imposta pelo dia a dia, permitir que uma empresa, um serviço ou um aplicativo tenham o completo acesso a informações extremamente reservadas?
Cada vez mais conectados a diversas mídias e redes sociais, nossos dados alimentam tecnologias de descoberta, interpretação de padrões e segmentações avançadas que constroem um corpo eletrônico ou persona digital que revela muito da nossa identidade. E, se você não lê, é possível que esteja muito mais exposto do que pode imaginar.
Vamos a um exemplo real. No Sinesp Cidadão, site com autoria do Governo do Brasil e que, por vezes, é utilizado por profissionais de compliance e investigações internas para levantar informações de terceiros, para utilizá-lo, por certo você acaba concordando com sua política de “privacidade” – a qual contém sua anuência para que o Sinesp colete informações muito sensíveis como o IMEI do seu dispositivo e a localização do aparelho, por exemplo.
Numa investigação mais detalhada da referida política de “privacidade” do Sinesp, também é possível observar que você também concorda que eles podem acessar outros dados pessoais oficiais disponibilizados pelo Gov.Br, como e-mail, nome completo, data de nascimento e número de telefone. Parece invasivo? Talvez não tanto, comparado ao parágrafo que informa sobre o aplicativo ter acesso à câmera e à galeria de fotos do seu dispositivo móvel. É isso mesmo. Ao utilizar, você não apenas dá acesso a todas as fotos armazenadas, mas também à câmera de seu smartphone, sem que você, efetivamente, tenha se dado conta disso.
O argumento é que esses dados seriam utilizados para inclusão de imagens no módulo “participação cidadã e desaparecidos para a localização”, possibilitando filtros de pesquisa. Espera-se que seja apenas isso, mas, na dúvida, prefiro não ter esse aplicativo em meus equipamentos.
Felizmente, em adição à Lei Geral de Proteção de Dados, no último dia 10 de fevereiro, a “Proteção de Dados Pessoais” passou a ser um direito Constitucional – reafirmando que a titularidade e a garantia da privacidade são de cada um de nós – e de mais ninguém. Portanto, mais do que nunca, observa-se uma grande oportunidade para as empresas (e também agências reguladoras) aprimorarem suas práticas e atuarem de forma ética e transparente, sem pegadinhas e, em especial, obtendo informações pessoais absolutamente essenciais a execução dos serviços aos quais se propõem a executar – mas essa é uma transformação cultural.
Neste sentido, ficam as perguntas e provocações:
Portanto, vale uma análise sobre quanto o sistema, ou seja, as pessoas, as empresas e os órgãos governamentais estão de fato instruídos e comprometidos quanto a uma real privacidade de dados, que deve reforçar a transparência e a segurança da informação?
* Bruno Massard é diretor executivo de investigações e auditoria interna da ICTS Protiviti
