0
0
Todos nós nos reconciliamos com o fato de que um punhado de executivos de tecnologia inexplicáveis geraram, com nossa ajuda, o maior repositório de informações pessoais já montada, alojados em vastos complexos fortificados em todo o mundo e peneirados continuamente em benefício de corporações, agências federais, campanhas políticas, etc. Menos claro é o tempo de vida de tudo o que eles recolheram. Eles vão mesmo guardar essas coisas para sempre? E se eles são, e se nós preferimos que eles não, há alguma coisa que possamos fazer sobre isso? Para o Giz Asks desta semana, contatamos vários especialistas para descobrir.
Meg Leta Jones
Professor Associado, Comunicação, Cultura & Tecnologia da Universidade de Georgetown, que pesquisa regras e mudanças tecnológicas com foco em privacidade, proteção de dados e automação em tecnologias digitais de informação e computação
Nada é “para sempre”. A web popular e comercial tem apenas 25 anos, a web pós-ponto-com-crash e a crise y2K têm apenas 20 anos, e o Facebook tem apenas 15 anos. A maior parte do que estava online nas década de 1980 e 1990 se foi, assim como a maior parte da web primitiva. Sites, fóruns e plataformas vêm e vão. Link podridão e bit podridão arquivos de pragas, registros históricos, e inquéritos cotidianos. Os dados digitais são incrivelmente frágeis, e muitas coisas precisam ir direto em várias camadas para que meu computador possa solicitar e receber um arquivo do seu computador. O acesso requer manutenção e poucas pessoas (por exemplo, hobbyists dedicados), organizações (por exemplo, grupos de notícias) ou instituição (por exemplo, arquivos) têm motivação e recursos para manter dados digitais por longos períodos de tempo.
Quanto tempo “meus” dados ficam on-line também depende de quem eu sou. Se eu sou uma pessoa famosa, posso ter gerado o interesse de muitos mantenedores de dados e aumentado a probabilidade de acesso a longo prazo. Eu também posso ter dificuldade em exercer meu direito de ser esquecido, que um número crescente de indivíduos ao redor pode utilizar, como uma figura pública. Se eu puder efetivamente exercer o direito de ser esquecido, meus dados podem não estar on-line por muito tempo. Meus dados também podem ser considerados dados ou fala de outra pessoa. Nesse caso, provavelmente sou americano e posso esperar que a gigante da tecnologia que mantém meus dados seja comida por outro gigante da tecnologia, que matará o site/conteúdo/banco de dados.
Se meus dados são “on-line” também podem mudar, mesmo que não sejam apagados da fonte. Hoje pode haver uma série de obstáculos que impedem alguém de fácil acesso aos meus dados, mesmo que esteja online em algum lugar. Muitos europeus exerceram seu direito de serem esquecidos após um processo judicial da União Europeia em 2014, solicitando que o Google desindexasse certos resultados de pesquisa. A menos que o assunto de dados também procurasse com sucesso a eliminação na fonte real, os dados ainda estavam online — mas como alguém saberia? Organizações de notícias e pesquisas de pessoas trouxeram de volta paywalls e assinaturas para acessar conteúdo antigo e sites de redes sociais têm camadas de configurações de privacidade que podem revelar dados para alguns, mas não para outros.
Não devemos ter medo de registros permanentes. Devemos ter medo de dinâmicas de poder informacionais que tragam consequências imediatas, prejudiciais e uma grave falta de infraestrutura de preservação para a cultura contemporânea.
“Quanto tempo ‘meus’ dados permanecem on-line também depende de quem eu sou.”
Fred H. Cate
Vice-presidente de pesquisa, professor de Direito e Senior Fellow do Centro de Pesquisa em Segurança Cibernética Aplicada da Universidade de Indiana
Empresas (e agências governamentais) coletam quantidades extraordinárias de informações pessoais sobre indivíduos o tempo todo. Essa coleção ocorre através de uma grande variedade de meios: dispositivos portáteis, triangulação em celulares, câmeras de vídeo, aplicativos, e-mail, navegação na Web, programas de fidelidade, transações on-line, ferramentas de pagamento, etc.— muitos para citar. A grande maioria dessas informações realmente não é “online” no sentido de que as pessoas poderiam procurar suas próprias informações ou de outras pessoas. Na verdade, pode-se argumentar que mais deve estar disponível “online”, para que você possa ver (e possivelmente até mesmo corrigir) o que foi coletado sobre você, e de modo que a monopolização de dados não impediu novos entrantes em mercados importantes.
Mas esses dados coletados, que muitas vezes são compartilhados com outras empresas ou corretores de dados de terceiros, existirão tão perto de sempre quanto importa. Não há realmente limites legais nos Estados Unidos aplicáveis à grande maioria dos dados, e os chamados limites legais em outros lugares não tendem a ser muito, porque muitas vezes há um uso legítimo para os dados — para pesquisa ou treinamento de ferramentas ou segurança de IA — que tem o efeito dos limites de pedágio no armazenamento de dados. Além disso, grande parte dos dados, mesmo em países com limites aparentes de armazenamento, é detida por pessoas que simplesmente não se importam com esses limites. Com que frequência a maioria dos usuários passa por seus contatos ou seus e-mails ou suas fotos para excluir dados que estão desatualizados ou não têm uso legítimo?
Para mim, isso sugere que a atenção à coleta ou armazenamento de dados é provavelmente extraviada e pode, em muitas configurações, ser totalmente inviável na prática. É como pedir às pessoas para classificar através do ar ou da água no oceano. Em vez de focar em dados (como no termo “proteção de dados”), não deveríamos estar focados nas pessoas e comunidades e no bem e no dano que pode ser feito a eles com dados? Eu diria que é muito mais útil e mais prático focar no que pode ser feito com dados, não importa a idade ou quão coletados — como esses dados podem ser usados? Assim, podemos identificar usos prejudiciais ou censuráveis ou susceptíveis de causar ofensa, e proibi-los ou exigir consentimento explícito e opt-in. Outros usos, por exemplo, talvez para pesquisa, podemos permitir de imediato, desde que sejam empregadas precauções razoáveis de segurança.
Fazemos algo semelhante em outras áreas que nos preocupamos como sociedade, então podemos procurar por exemplo ferramentas que funcionem bem e sejam escaláveis. Por exemplo, quase todas as pesquisas sobre humanos nos EUA e na Europa são feitas de acordo com os Conselhos de Revisão Institucional ou Conselhos de Revisão Ética que, em alguns casos, exigem consentimento individual e, em alguns casos, dizem que o consentimento não é prático ou não é necessário. Por que não exigir o uso de “Data Review Boards” para fornecer supervisão e responsabilização semelhantes?
“Em vez de nos concentrarmos nos dados (como no termo ‘proteção de dados’), não deveríamos estar focados nas pessoas e comunidades e no bem e no dano que podem ser causados a eles com dados?”
Anu Bradford
Professor de Direito e Organização Internacional na Columbia Law School, Bolsista Sênior da Columbia Business School, e autor de The Brussels Effect: How the European Union Rules the World
Não necessariamente, diz a União Europeia. O Regulamento Geral de Proteção de Dados (GDPR) da UE tem o direito de pedir às plataformas de internet que apaguem permanentemente certos dados sobre si mesmos em casos em que esses dados sejam imprecisos ou não mais relevantes. Esse conceito de eliminação de dados — conhecido como “o direito de ser esquecido” — foi estabelecido pela primeira vez pela mais alta corte europeia em um caso do Google Espanha. Neste caso, um usuário na Espanha solicitou ao Google que removesse de seu mecanismo de busca resultados que o ligavam a artigos de jornais antigos detalhando seus problemas financeiros. Segundo este usuário, as informações, embora precisas, não eram mais relevantes, uma vez que todas as suas dívidas foram resolvidas. O Google se recusou a desvincular a informação. No final, o tribunal europeu forçou o Google a desvincular permanentemente as informações solicitadas e garantir que elas não eram mais pesquisadas. Desde então, esse direito foi codificado no GDPR. Também foi adotada por vários países ao redor do mundo, pois eles promulgaram leis de privacidade modeladas após o GDPR.
O direito de ser esquecido tem sido ao mesmo tempo controverso e eficaz. Seus críticos afirmam que o apagamento de informações das plataformas prejudica a liberdade de expressão e sufoca o debate público. Por exemplo, os tribunais dos EUA rejeitaram categoricamente o direito de ser esquecido, e favoreceram considerações de liberdade de expressão sobre a privacidade individual. Para desânimo de seus críticos, o direito da UE de ser esquecido também é eficaz: leva a uma deslistagem significativa devido aos incentivos assimétricos que o GDPR impõe aos mecanismos de busca. Embora empresas individuais como o Google mantenham a autoridade para tomar decisões em casos individuais sobre a apagar informações, qualquer caso limítrofe provavelmente resultará na remoção das informações dos resultados de pesquisa. A não apagar as informações pode levar a multas pesadas — até 4% do volume de negócios global da empresa — enquanto a desvinculação excessiva não traz penalidades, incentivando a eliminação de dados. Como evidência da receptividade da empresa aos pedidos de desvinculação, o Google concordou em remover cerca de 44% dos 2,8 milhões de solicitações que recebeu desde a decisão de maio de 2014, de acordo com seu relatório de transparência de maio de 2019.
O direito de ser esquecido é um dos muitos exemplos de que a UE exerce sua autoridade regulatória na economia digital. Embora os EUA tenha relegado a regulamentação da privacidade de dados em grande parte ao setor privado, a UE avançou com extensas regulamentações que estão moldando as práticas comerciais dos governos multinacionais. Hoje, a maioria das grandes empresas de tecnologia elabora suas políticas globais de privacidade de dados com a UE em mente. Por exemplo, Facebook, Google e Microsoft têm uma política global de privacidade, que segue de perto o GDPR. Da mesma forma, Facebook, Twitter e YouTube adotaram a definição da UE de discurso de ódio em todo o mundo ao decidir que tipo de conteúdo retirar de suas plataformas. Como resultado, muitas vezes é Bruxelas que decide como seus dados são armazenados, processados, compartilhados, transferidos ou apagados — e se, portanto, estarão on-line para sempre.
“Embora empresas individuais, como o Google, mantenham a autoridade para tomar decisões em casos individuais sobre a apagar informações, qualquer caso limítrofe provavelmente resultará na remoção das informações dos resultados de pesquisa.”
Sandra Wachter
Professor Associado e Pesquisador Sênior em Direito e Ética em IA, Big Data e robótica, bem como Regulação da Internet no Oxford Internet Institute na Universidade de Oxford e professor associado visitante de Direito na Universidade de Harvard
O quadro do GDPR da UE é um primeiro passo fantástico em termos de tentar garantir — em toda a Europa, e talvez até mesmo além dos limites da União Europeia — proteções básicas de privacidade para dados pessoais. Infelizmente, o GDPR, e a lei de proteção em geral, está mais focado no estágio de entrada do que no estágio de produção. Ele não regula o que pode ser, ou deve ser, inferido a partir da informação de uma pessoa. Uma empresa pode ter que pedir seu consentimento para coletar seus dados de geolocalização, mas você não tem idéia do que está sendo inferido a partir dele. E isso é importante, porque o potencial de danos invasivos à privacidade não necessariamente ocorrem na fase de entrada, onde você oferece informações a uma empresa. A fase interessante vem depois, uma vez que o aprendizado de máquina e a IA são aplicados a esses dados, um processo que pode derivar um monte de informações potencialmente muito íntimas: sua orientação sexual, seu status de moradia, sua religião, suas crenças políticas, potencial deficiências, sua identidade de gênero. O usuário muitas vezes não tem idéia de que os dados que eles renderam podem realmente divulgar essas coisas.
Parte da dificuldade em regular esse aspecto da situação é que as pessoas podem argumentar que esses processos são protegidos por segredos comerciais. Eles podem argumentar que os recursos colocados na coleta e análise dos dados transformam isso em propriedade da empresa, ou do setor público. Há uma batalha interessante no horizonte quando se trata de quem deve ter poder sobre dados inferidos derivados de dados neutros, voluntariamente entregues, e se o usuário deve ou não ter algum controle sobre isso.
Veja, por exemplo, o Apple Card, o sistema de pontuação de crédito usado pela Apple. A pontuação de crédito é inferida pela Apple os dados pessoais do cliente, ou pela empresa? Se são dados pessoais, você deve ser capaz de corrigir essa pontuação? E que implicações isso tem para a empresa e para o indivíduo? Você deve ser autorizado a excluir sua pontuação de crédito?
Atualmente estou trabalhando em um projeto de pesquisa que será executado pelos próximos dois anos chamado IA e o Direito às Inferências Razoáveis,no qual eu argumento que precisamos olhar para padrões eticamente aceitáveis e normativos de análise inferencial, porque no momento é desgovernado, e não temos padrões de como eles devem ser usados de forma responsável. Você tem que encontrar um equilíbrio muito bom entre os direitos de proteção do indivíduo e os interesses do negócio.
“O potencial de danos invasivos à privacidade não ocorre necessariamente na fase de entrada, onde você oferece informações a uma empresa. A fase interessante vem depois, uma vez que o aprendizado de máquina e a IA são aplicados a esses dados, um processo que pode derivar um monte de informações potencialmente muito íntimas…”
FONTE: GIZMODO