Os mitos da proteção de dados

Faz algum tempo que não escrevo por aqui. As razões foram as mais diversas, desde férias à carga de trabalho além do esperado. Mas regresso pouco a pouco, e nada melhor do que retomar a escrita falando sobre os mitos da proteção de dados

O texto, na verdade, não é meu: foi magistralmente escrito pela Carey Lening, que me autorizou a traduzi-lo para o português e publicá-lo, enviando-o a todos os meus alunos. A escrita do texto tem por base o Regulamento Geral sobre a Proteção de Dados (RGPD), mas tenho a certeza de que você, profissional de proteção de dados, vai encontrar inúmeras similaridades com a situação pela qual passamos no Brasil neste momento com a LGPD. Qualquer semelhança não será mera coincidência…

Então, sem mais delongas, segue o texto, cuja leitura é essencial para qualquer profissional de proteção de dados. O texto foi mantido como no original, incluindo links, imagens e vídeos.


Mitos sobre proteção de dados que continuam a persistir

Alguém que você conhece afirma estar em conformidade com o GDPR? Você acha que PII é a mesma coisa que dados pessoais? O consentimento é seu único recurso? Bem, tenho algumas novidades para você…

Quero falar sobre alguns mitos de proteção de dados que parecem persistir e se espalhar. Todo esse tópico surgiu depois que ouvi alguns desses mitos serem pronunciados por aí esta semana, e assisti a um vídeo intrigante do Mark Rober sobre cães farejadores. O que posso dizer, meu cérebro funciona de maneiras misteriosas.

No vídeo de Rober, ele desmascara uma série de mitos sobre cães policiais e de busca e resgate, fazendo o que ele faz de melhor — testando as teorias na prática. Não posso necessariamente fornecer o mesmo nível de rigor científico, mas posso praticar um pouco de desmistificação, mergulhando no mito versus a realidade.

Quando penso em mitos em proteção de dados, estou inundada de exemplos. Mas, por via das dúvidas, perguntei aos meus colegas na área de proteção de dados (link do LinkedIn, talvez você precise fazer login) sobre quais mitos eles frequentemente encontram. Eles tinham… muitos, muitos exemplos. O suficiente para escrever um livro, para ser sincera. Talvez, se as pessoas gostarem, eu faça mais dessas postagens de desmistificação no futuro.

Mas por agora, eu queria focar em cinco exemplos que parecem persistentemente resistir, apesar de tantos esforços para combater a desinformação. Pessoalmente, eu culpo os profissionais de marketing e a mídia por alguns desses, mas outros são simplesmente desconcertantes.

Mito 1: o consentimento é seu único recurso

Já se passaram cinco anos desde que o GDPR entrou em vigor. No entanto, o mito de que você sempre precisa de consentimento todas as vezes que algo é feito com dados pessoais continua a se espalhar como um vírus pela internet. Até comecei a ouvir essa falácia do consentimento sendo aplicada a outras leis, então está claro que essa ideia errônea está piorando. Aff.

A realidade é que, sob a maioria das leis, você precisa de uma base legal (que é uma linguagem sofisticada de advogado para “uma razão legal”) para lidar com os dados das pessoas. Por exemplo, o GDPR tem seis bases legais para o tratamento de dados pessoais em geral e dez um pouco diferentes quando se trata de dados mais sensíveis que revelem a origem racial ou étnica de uma pessoa, condenações/infrações criminais, opiniões políticas, orientação sexual ou vida sexual, crenças religiosas ou filosóficas, filiação sindical, ou dados genéticos, de saúde ou biométricos.

O consentimento é uma razão legal, mas não é a única, e nem mesmo é apropriado para um conjunto inteiro de atividades de tratamento. Por exemplo, o consentimento seria uma péssima escolha se o tratamento envolve detecção de fraude ou até mesmo compartilhamento de dados com suboperadores ou provedores de serviços. Se você usa o Google Cloud para executar seu aplicativo SaaS e alguém retira o consentimento para a transferência para o Google, você está em apuros. Em outros casos, o consentimento nem sequer é legalmente permissível. Empregadores, por exemplo, não podem vincular consentimento a atividades onde há um desequilíbrio de poder — um funcionário não pode fornecer “consentimento livre, específico, informado e inequívoco” para lidar com questões disciplinares de RH ou processamento de folha de pagamento, por exemplo. E boa sorte em dizer ao fisco que você não consente com suas atividades de tratamento. É por isso que existem tantas bases legais diferentes!

Na verdade, a maioria das empresas que afirma depender do consentimento nem sequer o faz corretamente. Todas essas caixinhas dizendo “Eu consinto” já marcadas previamente, ou declarações do tipo “Você concorda com nosso Aviso de Privacidade” — isso não é consentimento. Você não pode agrupar consentimentos, e (geralmente) não pode vincular o consentimento à prestação de um serviço, especialmente quando esse tratamento não é necessário em primeiro lugar (estou olhando para você, empresas de tecnologia que querem usar dados pessoais para treinamento de ML).

Também não é válida a abordagem de “um consentimento para governar todos”. A lei e os reguladores são bem claros sobre o fato de que o consentimento deve ser dado em relação a “uma ou mais finalidades específicas”. Isso significa que, se você é um desenvolvedor de aplicativos e seu aplicativo rastreia minha localização, usa minha impressão digital para me autenticar, compartilha meus dados com Meta/Google e quer acesso às minhas fotos e está contando com o consentimento, é melhor você obter consentimentos individuais para cada finalidade distinta de tratamento.

E nem me faça falar sobre o conceito relacionado, mas ainda muito diferente, de consentimentos para cookies.

Eu, toda vez que alguém diz que precisa se basear no consentimento.

O consentimento é uma faca de dois gumes em muitos aspectos. Ele realmente dá aos titulares dos dados muito controle sobre seus dados, se feito corretamente por um controlador, mas também é uma das bases legais mais propensas a ser aplicada incorretamente.

Mito 2: leis de proteção de dados significam que você não pode fazer negócios por causa das MULTAS

Nos primeiros dias do GDPR, essa era uma crítica persistente. Fatalistas observavam que isso seria o fim do marketing e da tecnologia de publicidade, e que o GDPR afogaria todos em um mar de custos e obrigações de conformidade. Os usuários inundariam os controladores com demandas por seus dados (ou para deletar tudo). As empresas iriam à falência por multas e seriam fechadas pelos reguladores. Esses argumentos ainda são vomitados apresentados toda vez que uma nova lei substancial de privacidade ou proteção de dados é proposta ou promulgada.

Como muitos mitos, há um fundo de verdade em algumas preocupações levantadas aqui. Com mais leis vêm novas obrigações e o reconhecimento de que algumas práticas comerciais precisavam mudar (outras, como corretores de dados, precisam ser completamente eliminadas). Leis de privacidade adicionaram obrigações de conformidade a controladores e operadores. E algumas empresas realmente são multadas. Mas, como era de se esperar, a maioria dos negócios não fechou por causa das leis de privacidade e proteção de dados. E, apesar do marketing agressivo de alguns fornecedores oportunistas, os custos de conformidade (ou pior, multas) não aumentaram significativamente o custo de fazer negócios. Acredito que há algumas razões para isso:

  1. A maioria das leis é sensata e pode ser implementada pela grande maioria das empresas existentes sem gastar uma fortuna. Cumprir requisitos de notificação, transparência, informação, segurança e responsabilidade não significa que você precisa investir uma tonelada de tempo e recursos em conformidade — se você fizer isso direito (e talvez considere contratar as pessoas certas para ajudar quando precisar). A resposta curta é: se você for honesto sobre o que está fazendo, provavelmente poderá se safar fazendo apenas algumas pequenas alterações em seus processos. Isso beneficia a todos (inclusive o negócio).
  2. Se o seu negócio não coleta muitos dados pessoais sobre as pessoas ou faz coisas duvidosas com esses dados (sabe, como rastreá-las onde quer que elas vão, espionar sua localização, ser um corretor de dados sinistro ou usar seus detalhes pessoais para treinar seus modelos de IA), é provável que você nunca esteja na mira de qualquer regulador. Três indústrias são responsáveis pela grande maioria das multas aplicadas pelos reguladores sob o GDPR: Mídia, Telecomunicações e Radiodifusão.
  3. Há uma razão muito boa para isso: as indústrias que enfrentam mais ira regulatória também tendem a ser aquelas que coletam grandes volumes de dados, da pior maneira possível. Elas também costumam mentir para seus clientes sobre o que coletam, por que coletam e como estão usando os dados. Tendem a violar aberta e repetidamente as leis de proteção de dados. Finalmente, geralmente são bastante ruins para as pessoas em geral, o que leva a reclamações e, consequentemente, ao escrutínio regulatório. E mesmo isso é pequeno (dado o número de ações contra o setor). Na maioria das vezes, se você acabar diante de um regulador, as coisas são resolvidas de forma amigável. Se você quer evitar uma multa, não precisa investir fortunas em conformidade. Você só precisa não ser ruim para as pessoas. Em outras palavras, não seja como Meta, Amazon, Google ou Vodafone España.
Insights por setor, enforcementtracker.com

Mito 3: dados pessoais = PII (informações de identificação pessoal)

Em grande parte, desisti de corrigir as pessoas quando dizem “PII” e querem dizer “dados pessoais”. Mas gosto de enfatizar que há uma distinção quando se pensa no que consideramos informações identificáveis sobre uma pessoa, independentemente de como chamamos isso. Isso porque, depois de quase uma década nesta área, realmente acho muito mais fácil pensar de forma ampla sobre o que pode identificar alguém, em vez de tentar memorizar listas de tipos específicos de informações em constante mudança. Um diagrama poderia ajudar. Aqui, estou olhando para as leis setoriais dos EUA e o PIPEDA do Canadá:

O que não está incluído neste gráfico: Todas as ressalvas e exceções!

Em contraste com tudo o acima, o conceito de “dados pessoais” sob leis ao estilo GDPR é muito mais amplo. Uma vez que você se acostuma com isso, acho que fica muito mais fácil para as pessoas entenderem:

qualquer informação relacionada a uma pessoa natural identificada ou identificável (‘titular dos dados’); uma pessoa natural identificável é aquela que pode ser identificada, direta ou indiretamente.

Sim, o GDPR também inclui exemplos, mas a suposição é: se você pode identificar alguém com os dados que está tratando a respeito da pessoa, são dados pessoais. Não há exceções para isso. É binário: Você (ainda) pode identificar alguém com os dados que já tem sobre eles ou com dados que pode obter sobre eles? Parabéns, você está tratando seus dados pessoais.

Agora, pode haver uma exceção para atividades de tratamento específicas e para a base legal em que você pode se apoiar (por exemplo, é permitido tratar informações mais sensíveis se os dados foram “manifestamente tornados públicos” pelo titular dos dados). Mas isso não muda o fato de que, se você pode identificar alguém, ainda está tratando dados pessoais sobre eles.

Mito 4: o direito à privacidade é um direito absoluto

Muitas pessoas trouxeram vários mitos sobre o escopo dos direitos do titular dos dados, mas acho que Debbie Reynolds identificou melhor: os direitos de privacidade e proteção de dados não são absolutos.

Esse mito em particular surge mais frequentemente não de profissionais de marketing e pessoas da indústria, mas de vários comentaristas de poltrona que opinam sobre nossos direitos. Ele se manifesta de algumas maneiras diferentes, incluindo o exemplo de “sempre dar consentimento” que mencionei acima:

  1. Uma empresa deve excluir meus dados se eu solicitar a exclusão.
  2. Uma empresa deve me fornecer todas as informações que tem sobre mim se eu pedir.
  3. Posso processar e ganhar muito dinheiro se uma empresa violar meus direitos de privacidade.
  4. As leis de privacidade significam que tenho o direito de controlar meus dados / devo ser pago pelos meus dados.

Há mais nesta categoria, mas a resposta curta para cada uma é: Não, Não, Não, a menos que você possa demonstrar danos reais, e suspiro, Não.

Estudantes informados das leis de privacidade e proteção de dados sabem que as exceções são abundantes no mundo da privacidade, e que existem poucas obrigações absolutas e rígidas. Os direitos do titular dos dados, incluindo o direito de acesso, exclusão, retificação/correção e o direito de revogar o consentimento, não são absolutos.

As pessoas odeiam advogados porque a resposta para qualquer pergunta legal é quase sempre “Depende”. Não estamos tentando ser frívolos aqui, nem cobrar uma taxa pelos nossos serviços — a realidade é que as leis precisam equilibrar as coisas, e isso significa que posições absolutistas quase nunca serão aceitas. Isso é particularmente verdadeiro quando se trata dos direitos do titular dos dados, pois o contexto importa. O direito à proteção de dados é apenas um de um conjunto de direitos humanos disponíveis para as pessoas e deve ser equilibrado contra outros direitos importantes — como o direito à liberdade de expressão e de imprensa, o direito à livre associação e movimento, o direito de administrar um negócio e o direito à segurança e proteção.

Vejamos um exemplo que conheço bem: o direito de acesso.

Sob o GDPR, o direito de acesso é principalmente coberto pelo Artigo 15. A maior parte do Artigo 15 detalha as obrigações do controlador — é muito a favor do titular dos dados. Mas então, no final, temos o Artigo 15(4): “O direito de obter uma cópia… não deverá afetar adversamente os direitos e liberdades de terceiros.”

Eu literalmente escrevi um pequeno livro sobre o que o termo “afetar adversamente” significa no contexto do direito à proteção de dados e como ele se aplica. No sentido mais simples, esta seção deve ser lida como “não compartilhe dados que possam prejudicar os direitos de outra pessoa”. De forma mais ampla, isso pode significar:

  1. Se seus dados estiverem misturados com os dados de outra pessoa (por exemplo, em um banco de dados), eles não podem compartilhar todo o banco de dados com você — isso pode infringir os direitos de outra pessoa. Você também geralmente não tem acesso a coisas que não são seus dados pessoais — como o código-fonte ou algoritmo que uma empresa usa. Isso é propriedade intelectual deles, não seus dados pessoais.
  2. Às vezes, se alguém reclama de você (por exemplo, para um funcionário da escola, ou um padre, ou o departamento de RH ao apresentar uma denúncia de irregularidade, ou de uma forma que a confidencialidade seja assumida), você não terá acesso a essas informações — e isso é totalmente aceitável e completamente legal. As pessoas têm o direito de compartilhar coisas confidenciais, mesmo opiniões sobre você, e mesmo que seja sobre você, seus direitos e os direitos delas devem ser equilibrados. Às vezes, isso significa que o que você recebe pode ser fortemente editado; muitas vezes, significa que o controlador pode dizer “Ei, sim, tínhamos algumas informações adicionais sobre você, mas não podemos compartilhá-las porque isso poderia prejudicar outra pessoa. Desculpe.”
  3. Às vezes, leis adicionais podem criar uma exceção ao compartilhamento. E desde que essas leis sejam documentadas e o controlador lhe informe sobre o motivo da rejeição do seu pedido, seu recurso é para o legislativo, não para as autoridades de proteção de dados.
  4. Se você agir de forma inadequada e usar as leis de proteção de dados para “punir” uma empresa — especialmente se você fizer isso repetidamente e sem nenhum interesse real em ter acesso aos seus dados pessoais, um controlador pode rejeitar seu pedido ou cobrar uma taxa. Esta é essencialmente a regra do “Não seja um idiota” da proteção de dados, e se aplica à maioria dos direitos de proteção de dados.

Quanto à questão específica da propriedade de dados — isso deve ser um post para outro dia.

Mito 5: você pode ser Certificado pelo GDPR ou Estar em conformidade com o GDPR

Não sei se são os dias abafados de agosto, drogas na água, algum novo inferno de marketing ou qualquer outra coisa, mas este parece estar em alta novamente. E não sou só eu: o sonho de ser “Certificado/Estar em conformidade com o GDPR” foi um dos mitos mais citados na minha pesquisa informal.

Primeiramente, não existe tal coisa como ser “Estar em conformidade com o GDPR”. Não me importo se o Brad em Segurança da Informação, ou a OneTrust, sua empresa de marketing, ou o “Especialista em Proteção de Dados” que você encontrou cantando bêbado fora do bar dizem o contrário, “Estar em conformidade com o GDPR” Não Existe. Pelo amor dos gatos, PAREM DE DIZER QUE ISTO EXISTE.

Por favor, pense nos gatinhos.

Uma empresa que afirma estar “Em conformidade com o GDPR” está oficialmente te dizendo que está cheia de besteira, que não conhece as leis de proteção de dados e/ou que está tentando te passar a perna para tirar seu dinheiro. Deve ser lido com o mesmo grau de ceticismo que alguém dizendo que é “100% à prova de hackers”, comida “sem gordura” ou uma droga que é “garantia de cura do câncer”. Qualquer pessoa que te diga isso está mentindo para você, e você deve dar meia-volta e sair.

Quanto a ser “Certificado pelo GDPR” — da próxima vez que alguém disser que é certificado pelo GDPR, quero que você responda com o seguinte:

  1. por quem
  2. mostre-me a certificação

Então quero que você a envie para mim.

Embora o GDPR contemple a certificação, até agora, houve apenas uma meia dúzia (2?) de certificações concedidas por autoridades específicas de proteção de dados de cada país, com algum grau de aprovação pelo European Data Protection Board (o órgão responsável na UE). A mais abrangente foi concedida à EuroPriSe pela DPA alemã na Renânia do Norte-Vestfália em setembro de 2022. Era/pode ainda ser restrita como um mecanismo de certificação apenas para operadores e não pode ser aplicada fora da Europa. O segundo foi uma opinião de consistência emitida para o GDPR-CARPA iniciado pela DPA de Luxemburgo em fevereiro de 2022. Ainda é um pouco incerto se o EDPB realmente aprovou o GDPR-CARPA em nível de toda a UE. Nem o GDPR-CARPA nem a EuroPriSe estão listados no Registro de Mecanismos de Certificação. Ambos têm aplicações muito limitadas. Nenhum pode ser aplicado a tratamento que ocorra fora da UE.

Mais importante, só porque uma empresa recebeu uma “Certificação GDPR” não significa que ela está 100% totalmente em conformidade com o GDPR, porque, como eu disse, CONFORMIDADE COM O GDPR NÃO EXISTE. A certificação é apenas uma ferramenta na caixa de ferramentas para demonstrar que a empresa que a atesta está tentando fazer as coisas corretamente. Não significa que eles estão fazendo 100%, sem dúvida, corretamente.

Então sim. Muitos mitos. Se você alguma vez ver esses mitos por aí, sinta-se à vontade para encaminhar isso para a parte ofensiva com a minha bênção.

Como sempre, se você acha que eu perdi alguma coisa ou gostaria de ver mais desses, por favor, deixe-me um comentário. Se você conseguir obter uma Certificação GDPR, quero vê-la. Se for de qualquer pessoa que não seja EuroPriSe, quero vê-la e então encaminhá-la para a autoridade reguladora relevante.