Big Brother Digital: nova lei de dados pode criar "vigilância por arrastão"
O presidente Jair Bolsonaro sancionou em julho a Autoridade Nacional de Proteção de Dados (ANPD), órgão controlador da Lei Geral de Proteção de Dados (LGPD), que valerá em 2020. Mas a nova lei deverá levar em conta o potencial abuso da "vigilância por arrastão", no qual muitas pessoas podem ter seus dados varridos para encontrar suspeitos de infrações e crimes. No ano passado, quando a lei de proteção de dados pessoais da União Europeia, a GDPR, estava prestes a entrar em vigor, serviços de internet bombardearam emails aos seus usuários com revisões de políticas de privacidade de seus serviços. Foi a confirmação de uma mudança estrutural na forma como empresas lidam com nossos dados. 
"CPF para obter desconto, senhor?" Essa legislação, tanto na Europa quanto no Brasil, chegou com atraso, pois nossas informações pessoais já estão à solta no mercado há anos. Do acesso a descontos com o CPF na farmácia até a chance de se conseguir um empréstimo, passando pela inescapável propaganda direcionada na internet, grande parte do cotidiano é ditado por análise de dados em um processo pouco claro para quem olha de fora. Bruno Bione, advogado especializado no tema e cofundador da Data Privacy Brasil, entidade voltada à proteção de dados pessoais, acredita que a mudança requer um novo pacto social e vai muito além de querermos mais privacidade.
"As informações pessoais são usadas para criar um avatar nosso e nós somos julgados pelo que nossos dados dizem", disse ele em um evento organizado pelo Data Privacy em julho. "É uma questão que extrapola a narrativa da privacidade. Vai além da lógica de decidir que uma informação é pública ou privada."
Vigilância eletrônica
Neste mesmo evento, pontos que entraram ou não na Lei de Dados foram discutidos. Um ponto chave foi o uso de dados pessoais pelo governo dentro do contexto de investigações criminais --este ficou de fora da LGPD e será regido por uma lei específica, ainda inexistente.
Para Jacqueline Abreu, advogada e pesquisadora da área de direito e tecnologia, há um vazio de regulamentação que permitirá que órgãos policiais trabalhem com uma "vigilância por arrastão".
É uma mudança de paradigma: antes era preciso ter um suspeito para pedir autorização judicial e acessar informações dele na internet, como dados de acesso a redes sociais e geolocalização do telefone.
"Agora, é feito um arrastão para pegar informações de diversas pessoas e a partir daí definir quem é ou não suspeito", disse Jacqueline. "Como nós vamos regular isso?"
Um exemplo claro desse cenário foi a instalação de câmeras acopladas a um sistema de identificação facial no Rio de Janeiro. O projeto, que foi testado durante o Carnaval, ajudou a polícia carioca a prender quatro pessoas que tinham um mandado de prisão contra si. Considerado um sucesso pelo governador Wilson Witzel, o programa vai ser ampliado.
A ANPD vai impedir isso?.
A forma de atuação da Autoridade é que vai definir a dinâmica de coleta e uso de dados pessoais. Ao contrário do previsto no projeto original, que previa o órgão como uma autarquia, a ANPD ficou subordinada à Presidência da República. A preocupação é de que a falta de autonomia torne o órgão ineficaz na prática.
O senador Eduardo Gomes (MTB-GO), relator da Comissão Mista que discute a Autoridade, já disse que pretende mudar isso. "Há consenso em manter a Autoridade mais independente possível", afirmou Gomes à Rádio Senado no começo de abril. Nas últimas semanas, audiências públicas aconteceram em Brasília para debater esta e outras questões.
Em uma delas, Bia Barbosa, coordenadora do Intervozes, destacou o quão problemática é a hierarquia baixa prevista para os diretores da Autoridade, assim como a facilidade com que podem ser retirados do cargo, no texto de Temer.
"Imagina um diretor tendo que multar um ministro da Saúde por um vazamento de dados do SUS, por exemplo. A autonomia que esses diretores terão para responder aos desafios dessa lei é muito baixa", disse ela.
O cenário citado por Bia era hipotético em abril, mas logo depois se tornou real. Naquele mesmo mês, o UOL mostrou como um hacker usou uma brecha de segurança do site do SUS para criar e disponibilizar na internet um banco de dados com nome completo, nome da mãe, endereço, CPF e data de nascimento de 2,4 milhões de brasileiros.
Tem que dar o consentimento.
Independentemente de como atuará a Autoridade Nacional de Proteção dos Dados, um dos pontos de partida para atender a lei é informar melhor às pessoas sobre o que é feito com suas informações —motivo por trás das atualizações nas políticas de privacidade ali do começo do texto.
A ideia é substituir os calhamaços legais ilegíveis por textos mais claros, que detalhem quais dados são coletados, para quais usos, por quanto tempo são armazenados, com quem e por que são armazenados, e por aí vai.
Além disso, há uma questão de granularidade. No lugar de uma concordância total com a política, o usuário vai poder escolher o que ele aceita ou não que seja coletado: o que é essencial para o funcionamento do serviço, o que traz benefícios extras, descontos, etc.
O consentimento por si só, no entanto, não é suficiente e nem permite uma liberdade total para a empresa depois que o usuário concorda com a política.
Para exemplificar o porquê disso, vale lembrar o caso da Cambridge Analytica, que coletou os dados de 87 milhões de pessoas no Facebook e utilizou essas informações para influenciar na eleição de Donald Trump nos Estados Unidos e no plebiscito em que foi decidida a saída da Inglaterra da União Europeia.
Mesmo que essas milhões de pessoas tivessem dado consentimento para a Cambridge Analytica, o impacto foi bem mais amplo. A pegada individual não dá certo. Os dados são um bem comum, e precisam ser tutelados e regulados de alguma forma .
Bruno Bione, cofundador da Data Privacy.br.
Isso também se traduz na previsão da LGPD a respeito da transparência no uso de algoritmos de inteligência artificial. De acordo com a lei, qualquer pessoa poderá ter acesso a explicações claras sobre os critérios pelos quais um sistema automatizado tomou uma decisão sobre ela. Como análise de crédito, por exemplo.
No entanto, o texto afirma que isso só poderá ser feito caso a decisão seja totalmente automatizada. Na prática, não é o que ocorre.
"Não são 100% automáticas. No crédito, os dados são usados para estabelecer um perfil e partir daí uma pessoa toma a decisão, então como fica?", disse Enrico Roberto, advogado e pesquisador na área de direito e inteligência artificial, no mesmo encontro.
Além disso, Roberto lembrou que há uma dificuldade técnica na proposta. Isso porque em geral os algoritmos funcionam como caixas pretas e mesmo os desenvolvedores têm dificuldade em explicar como tomam uma decisão A e não a decisão B. Nesse sentido, seria preciso uma mudança de práticas no setor tecnológico para atender a LGPD, o que não seria um mau negócio.
A LGPD começa a valer em agosto de 2020. Até lá, espere por muitos emails com novas políticas de privacidade.
FONTE : UOL
"CPF para obter desconto, senhor?" Essa legislação, tanto na Europa quanto no Brasil, chegou com atraso, pois nossas informações pessoais já estão à solta no mercado há anos. Do acesso a descontos com o CPF na farmácia até a chance de se conseguir um empréstimo, passando pela inescapável propaganda direcionada na internet, grande parte do cotidiano é ditado por análise de dados em um processo pouco claro para quem olha de fora. Bruno Bione, advogado especializado no tema e cofundador da Data Privacy Brasil, entidade voltada à proteção de dados pessoais, acredita que a mudança requer um novo pacto social e vai muito além de querermos mais privacidade.
"As informações pessoais são usadas para criar um avatar nosso e nós somos julgados pelo que nossos dados dizem", disse ele em um evento organizado pelo Data Privacy em julho. "É uma questão que extrapola a narrativa da privacidade. Vai além da lógica de decidir que uma informação é pública ou privada."
Vigilância eletrônica
Neste mesmo evento, pontos que entraram ou não na Lei de Dados foram discutidos. Um ponto chave foi o uso de dados pessoais pelo governo dentro do contexto de investigações criminais --este ficou de fora da LGPD e será regido por uma lei específica, ainda inexistente.
Para Jacqueline Abreu, advogada e pesquisadora da área de direito e tecnologia, há um vazio de regulamentação que permitirá que órgãos policiais trabalhem com uma "vigilância por arrastão".
É uma mudança de paradigma: antes era preciso ter um suspeito para pedir autorização judicial e acessar informações dele na internet, como dados de acesso a redes sociais e geolocalização do telefone.
"Agora, é feito um arrastão para pegar informações de diversas pessoas e a partir daí definir quem é ou não suspeito", disse Jacqueline. "Como nós vamos regular isso?"
Um exemplo claro desse cenário foi a instalação de câmeras acopladas a um sistema de identificação facial no Rio de Janeiro. O projeto, que foi testado durante o Carnaval, ajudou a polícia carioca a prender quatro pessoas que tinham um mandado de prisão contra si. Considerado um sucesso pelo governador Wilson Witzel, o programa vai ser ampliado.
A ANPD vai impedir isso?.
A forma de atuação da Autoridade é que vai definir a dinâmica de coleta e uso de dados pessoais. Ao contrário do previsto no projeto original, que previa o órgão como uma autarquia, a ANPD ficou subordinada à Presidência da República. A preocupação é de que a falta de autonomia torne o órgão ineficaz na prática.
O senador Eduardo Gomes (MTB-GO), relator da Comissão Mista que discute a Autoridade, já disse que pretende mudar isso. "Há consenso em manter a Autoridade mais independente possível", afirmou Gomes à Rádio Senado no começo de abril. Nas últimas semanas, audiências públicas aconteceram em Brasília para debater esta e outras questões.
Em uma delas, Bia Barbosa, coordenadora do Intervozes, destacou o quão problemática é a hierarquia baixa prevista para os diretores da Autoridade, assim como a facilidade com que podem ser retirados do cargo, no texto de Temer.
"Imagina um diretor tendo que multar um ministro da Saúde por um vazamento de dados do SUS, por exemplo. A autonomia que esses diretores terão para responder aos desafios dessa lei é muito baixa", disse ela.
O cenário citado por Bia era hipotético em abril, mas logo depois se tornou real. Naquele mesmo mês, o UOL mostrou como um hacker usou uma brecha de segurança do site do SUS para criar e disponibilizar na internet um banco de dados com nome completo, nome da mãe, endereço, CPF e data de nascimento de 2,4 milhões de brasileiros.
Tem que dar o consentimento.
Independentemente de como atuará a Autoridade Nacional de Proteção dos Dados, um dos pontos de partida para atender a lei é informar melhor às pessoas sobre o que é feito com suas informações —motivo por trás das atualizações nas políticas de privacidade ali do começo do texto.
A ideia é substituir os calhamaços legais ilegíveis por textos mais claros, que detalhem quais dados são coletados, para quais usos, por quanto tempo são armazenados, com quem e por que são armazenados, e por aí vai.
Além disso, há uma questão de granularidade. No lugar de uma concordância total com a política, o usuário vai poder escolher o que ele aceita ou não que seja coletado: o que é essencial para o funcionamento do serviço, o que traz benefícios extras, descontos, etc.
O consentimento por si só, no entanto, não é suficiente e nem permite uma liberdade total para a empresa depois que o usuário concorda com a política.
Para exemplificar o porquê disso, vale lembrar o caso da Cambridge Analytica, que coletou os dados de 87 milhões de pessoas no Facebook e utilizou essas informações para influenciar na eleição de Donald Trump nos Estados Unidos e no plebiscito em que foi decidida a saída da Inglaterra da União Europeia.
Mesmo que essas milhões de pessoas tivessem dado consentimento para a Cambridge Analytica, o impacto foi bem mais amplo. A pegada individual não dá certo. Os dados são um bem comum, e precisam ser tutelados e regulados de alguma forma .
Bruno Bione, cofundador da Data Privacy.br.
Isso também se traduz na previsão da LGPD a respeito da transparência no uso de algoritmos de inteligência artificial. De acordo com a lei, qualquer pessoa poderá ter acesso a explicações claras sobre os critérios pelos quais um sistema automatizado tomou uma decisão sobre ela. Como análise de crédito, por exemplo.
No entanto, o texto afirma que isso só poderá ser feito caso a decisão seja totalmente automatizada. Na prática, não é o que ocorre.
"Não são 100% automáticas. No crédito, os dados são usados para estabelecer um perfil e partir daí uma pessoa toma a decisão, então como fica?", disse Enrico Roberto, advogado e pesquisador na área de direito e inteligência artificial, no mesmo encontro.
Além disso, Roberto lembrou que há uma dificuldade técnica na proposta. Isso porque em geral os algoritmos funcionam como caixas pretas e mesmo os desenvolvedores têm dificuldade em explicar como tomam uma decisão A e não a decisão B. Nesse sentido, seria preciso uma mudança de práticas no setor tecnológico para atender a LGPD, o que não seria um mau negócio.
A LGPD começa a valer em agosto de 2020. Até lá, espere por muitos emails com novas políticas de privacidade.
FONTE : UOL
