Em janeiro deste ano, a notícia do vazamento de informações pessoais de 223 milhões de brasileiros deixou todo o país em estado de alerta. O incidente, considerado o maior desse tipo já registrado no Brasil, trazia ainda um fato curioso: o número de afetados era maior do que o de toda a população brasileira, pois incluía até mesmo dados de pessoas já falecidas.

Quase todos os dados que podiam ser vazados, foram. Estavam presentes informações de identificação (nome, RG, CPF, título de eleitor), informações de contato (endereço, e-mail, telefone), informações de perfil (ocupação, escolaridade, estado civil) e até mesmo informações que, no escopo da LGPD, são sensíveis (renda, pontuação de crédito, e foto de rosto).

Notícias como essa têm estampado, com preocupante frequência, jornais de diversos países há, pelo menos, mais de uma década. A situação ficou tão alarmante que governos de todo o mundo começaram a criar leis para defender o direito à privacidade de dados e penalidades para seus infratores.

Em 2018, entrou em vigor na União Europeia a GDPR (General Data Protection Regulation), um rigoroso conjunto de regras sobre privacidade que começou a ser idealizado em 2012 e que, entre outras coisas, dá aos usuários o direito de decidir como seus dados serão tratados.

Outros países, como Austrália, África do Sul, Turquia e México também desenvolveram iniciativas semelhantes. No Brasil, a Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor em setembro de 2020. Considerado um importante passo para o país, a lei estabelece diretrizes importantes e obrigatórias para coleta, processamento e armazenamento de dados pessoais.

Todas essas iniciativas regulatórias, no entanto, ignoram um ponto crucial: a fiscalização do uso indevido da informação é praticamente impossível. Assim, a única forma de garantir que os dados dos indivíduos sejam respeitados é através do que chamamos de accountability.

 

Accountability na proteção de dados

Não existe tradução exata para o termo “accountability” nas línguas de origem latina. Se você jogar o termo no tradutor do Google, vai receber como retorno “prestação de contas”, ou a palavra “responsabilidade”. Se usarmos essa interpretação restrita, a própria LGPD já imputa às empresas a responsabilidade de proteger os dados pessoais de seus usuários e a obrigação de prestar contas de forma transparente sobre boas práticas e governança que estabeleçam procedimentos, normas de segurança, ações educativas e mitigação de riscos do tratamento dos dados pessoais.

O significado real do termo, no entanto, vai muito além dessa visão mais estreita. Ele envolve também a responsabilidade ética e moral – a consciência social – de quem está utilizando a informação. Podemos entender accountability como uma união da responsabilidade com a transparência e a conformidade. Não só ter a responsabilidade, mas ser transparente em como você assume a mesma e em como você se preocupa com o impacto social da sua atividade com a informação.

Todos os dias, realizamos diversas atividades on-line, como o uso de aplicativos ou sites de compras, localização, deslocamento, música, redes sociais etc. E em cada um desses acessos, deixamos informações como nome, RG, CPF, número do cartão e código de segurança, endereço, padrões de consumo e dados comportamentais. E, na maioria dos casos, clicamos no botão de “aceitar os termos” sem nem mesmo ler que termos são esses.

Existem diversas razões pelas quais as pessoas abrem mão de sua privacidade, mas a principal delas é geralmente a conveniência de ter acesso a um serviço gratuito. Quantas pessoas você conhece que utilizam um provedor de e-mail pago na sua vida pessoal?

A falta de transparência – que é até mais grave do que a falta de privacidade – vai de encontro com o accountability. Se não sabemos quem tem os nossos dados, e que dados essas empresas têm de nós, não temos como responsabilizar ninguém pelo que acontece quando nossos dados vazam. Voltando ao nosso exemplo original, quem imaginaria que um birô de crédito teria tantas informações sobre nós?

Por isso esse conceito é tão importante: não somente para dificultar a ação de hackers, mas para formar uma consciência sobre o bom uso desses dados. A LGPD chega apenas para trazer uma responsabilidade legal. E para além da lei, é necessário que empresas e consumidores internalizem em suas culturas as questões de boas práticas e de governança.

 

Informação à vista, problemas a prazo

A questão do accountability não está só no processo de captação dos dados. Na verdade, a captação é o menor dos problemas, pois é o lado onde a fiscalização é mais simples. Os maiores problemas acontecem no mercado de compra e venda de dados entre empresas, devido à falta de senso de responsabilidade sobre a privacidade, principalmente dos compradores.

A maior parte dos usuários de dados preferem seguir pelo caminho mais simples: comprar informações prontas, cujo uso é mais fácil e direto. Isso traz dois problemas. Primeiro, a maioria das informações prontas não são obtidas de forma ética; e, segundo, a utilização de dados prontos atrofia a capacidade analítica e de construção de processos das empresas.

Imagine, por exemplo, que uma empresa precise validar a renda de seus clientes, seja para conceder um crédito, para autorizar uma compra ou qualquer coisa do gênero. A empresa pode optar por comprar – na maioria das vezes de forma indevida – o dado exato de quanto a pessoa ganha (uma base do imposto de renda) no mercado, e a validação vira uma verificação simples. Ou essa mesma empresa pode comprar o resultado de um modelo de renda devidamente construído para respeitar a legislação. No entanto, trabalhar com o modelo é bem mais difícil, pois a empresa precisará entender de probabilidade, levar em consideração margens de erro e montar um processo de validação mais sofisticado.

A primeira opção certamente é a mais fácil, mas só funcionará em lugares onde é possível comprar a informação exata e com pessoas para quem essa informação de fato exista. Será impossível trabalhar em outros países ou com pessoas que, por exemplo, não declaram imposto de renda. Já no segundo caso, a empresa aprenderá a trabalhar de forma mais sofisticada e o conhecimento poderá ser aplicado para qualquer população, em qualquer país e até para outros tipos de dados.

O fato é que a LGPD não inibe as tomadas de decisão que não sejam pautadas na conformidade e na ética. Neste sentido, não adianta somente cobrar ações de parlamentares e governos. Existe uma questão moral que precisa ser internalizada e adotada por toda a sociedade. Consumidores exigindo responsabilidade das empresas; empresas desenvolvendo conhecimentos próprios a partir da aquisição legal de dados públicos.

Quando isso acontecer, talvez sejamos finalmente capazes de encontrar uma tradução precisa para o termo accountability.

BigDataCorp