Ilustração: Rodrigo Auada

A análise de dados tornou-se, nos últimos anos, uma poderosa e importante ferramenta para as empresas — seja para melhorar a experiência de seus clientes, seja para aumentar sua eficiência e se manter competitiva no mercado. Nesse cenário, tecnologias como o big data e a inteligência artificial são adotadas pelas organizações para criar novas oportunidades de negócio.

A captura, a armazenagem e o processamento de dados pessoais de clientes, entretanto, geram preocupações com privacidade e segurança. Como garantir que essas informações estão protegidas? Quais os impactos da nova Lei Geral de Proteção de Dados, sancionada em agosto no Brasil, nas empresas? Quais riscos e oportunidades essa legislação cria para as organizações? Essas e outras questões foram debatidas no encontro “Cercadas de dados”, promovido pela CAPITAL ABERTO em parceria com a PwC.

Participaram do encontro Cláudio Oliveira, professor de Big Data e Transformação Digital da ESPM; Daniel Cassiano, head of data do Magazine Luíza; Gabriel Mariotto, diretor de inteligência da Cielo; Gustavo Artese, sócio do Artese Advogados; Joaquim Campos, vice-presidente de system hardware da IBM e Juliano Tubino, vice-presidente de estratégia de negócios e digital da Totvs e Luiz Ponzoni, sócio da prática de Risk Assurance da PwC. Confira a seguir os melhores momentos da discussão.

CAPITAL ABERTO: Estruturalmente, como as empresas estão em relação ao tratamento de dados? Como é encarada essa missão de digitalizá-los?

Joaquim Campos: Encontramos cenários diversos, mas algumas coisas são comuns dentro do mercado. Historicamente, as empresas se desenvolveram e trabalharam suas bases de dados de forma muito departamental, extraindo esses dados por meio de sistemas mais convencionais. Um dos grandes desafios nessa transição é ajudar as empresas a romperem essas barreiras para que possam extrair o maior valor possível dos dados, que já fazem parte do seu ecossistema interno. Quando falamos sobre big data, falamos sobre algumas empresas que já nasceram nesse mundo novo, da nova economia; mas também falamos sobre empresas tradicionais no mercado, que representam o maior volume financeiro em movimento no mundo e que possuem grandes bases de dados construídas no passado. Elas têm um valor gigantesco, mas ainda são pouco exploradas em comparação à sua capacidade. Esses dados são o grande diferencial para que essas empresas mais tradicionais possam se posicionar frente aos novos entrantes do mercado, que têm uma agilidade bastante grande. Para isso, elas precisam superar barreiras internas não só de tecnologia, mas também culturais.

CAPITAL ABERTO: Como a estrutura mais tradicional de uma empresa acaba criando uma defasagem na forma como os dados são tratados?

Juliano Tubino: A geração de dados cresceu exponencialmente nos últimos anos, bem como a capacidade das empresas de capturá-los e armazená-los. O custo de se fazer isso, por outro lado, caiu de forma significativa. Porém, a qualidade com que se cuida desse dado, ou a maneira com que ele é capturado com o intuito de analisá-lo não necessariamente melhorou. No fim das contas, todos os algoritmos e modelos matemáticos usados hoje pelos principais cenários de inteligência artificial não são tão novos — o que existe agora é uma capacidade computacional muito maior. A grande dificuldade das empresas está em assegurar a qualidade do dado, pois, historicamente, ele não foi capturado com essa preocupação. Posso fazer uma recomendação melhor de compra no varejo, por exemplo, se as informações que tenho sobre determinado cliente são ricas. Se elas me dizem não só o que ele comprou ou vai vir a comprar, mas também quem ele é, qual o seu momento atual.

CAPITAL ABERTO: Como isso funcionou no Magazine Luiza, Daniel? Essa separação física de dados era uma realidade? Como é feita essa organização hoje?

Daniel Cassiano: O Magazine Luiza é uma empresa de varejo familiar com 60 anos. Quando voltamos um pouco no tempo, uns 5 ou 6 anos, na época em que fundamos o LuizaLabs, havia um cenário que tornava bastante difícil imaginar o que temos hoje. Isso porque consideramos estratégico trabalhar com dados em um momento no qual a empresa produzia muito pouco, ou quase nada, de tecnologia. Nessa época, existia uma separação entre tecnologia corporativa e digital. Na prática, isso significava ter duas empresas diferentes dentro da mesma empresa, dificultando a obtenção de dados. Um dos nossos primeiros feitos foi a criação de um sistema de recomendação, pois consideramos importante para o varejo fazer um atendimento personalizado, que recomende o produto certo para o cliente. Essa personalização está presente no acesso ao site, no aplicativo e até mesmo na loja física. Foi um trabalho enorme começar a estruturar esses dados com qualidade, ainda mais pensando em sistemas com 40 anos de idade e tecnologias totalmente diversas. Levamos todas essas informações para o cloud, começamos a estruturar os dados e, então, trilhar um caminho que hoje possibilita com que tenhamos listas de dados dentro de áreas de negócio — isso era impensável há cinco anos. Agora, com todo esse trabalho de base, os cientistas de dados conseguem ter dados e fontes de dados, trabalhando em uma velocidade razoável. Em 2017, tudo foi consolidado e o LuizaLabs passou a ser toda a tecnologia da empresa.

CAPITAL ABERTO: A Cielo é uma empresa que já nasce mais abraçada com tecnologia. Existe também, na companhia, esse desafio da segregação dos dados, Gabriel?

Gabriel Mariotto: A Cielo tem sistemas estruturados há tempos e eles precisam ser extremamente seguros, pois lidamos com transações financeiras. Contudo, temos trilhado esse caminho há algum tempo. Começamos a extrair o valor dos dados em 2014; e não apenas para a Cielo, mas também para o mercado e para os varejistas, nossos clientes. Lançamos, naquele ano, o Índice Cielo do Varejo Ampliado, um índice de crescimento do varejo que surgiu a partir da demanda dos nossos clientes. Na cadência desse índice, lançamos uma série de outros produtos, que criaram a necessidade de uma maior qualidade de dados. Um ponto positivo é que, desde o início, a empresa já tinha uma preocupação em relação ao uso dos dados e, por isso, nos apoiamos em dois pilares: nunca usar dados individualizados, somente agregados; e sempre anonimizar o portador das transações.

CAPITAL ABERTO: A lei de proteção de dados sancionada no Brasil, a LGPD, exigirá que as empresas revejam significativamente os seus processos? Ou a maneira como elas têm agido já preparou o terreno para se adequarem às novas obrigações?

Gustavo Artese: Acredito que existem circunstâncias diferentes. O exemplo da Cielo me parece uma situação em que não se está adstrito à essa lei na medida em que os dados são agregados. A lei protege dados pessoais e, portanto, as pessoas. De uma forma mais genérica, temos uma lei europeia, a GDPR, que começou a valer a partir de 25 de maio deste ano, com consequências globais por uma série de fatores. A nossa Lei Geral de Proteção de Dados foi sancionada dia 15 de agosto e haverá 18 meses de adaptação — parece um período longo, mas não é, pois exigirá uma criação de cultura. Privacidade e proteção de dados são questões complexas. Algumas empresas terão mais facilidade de se adequar devido à natureza dos seus negócios, mas aquelas que desejarem chegar às pessoas encontrarão mais dificuldade. Quando a lei foi promulgada, o presidente da Gartner disse que os dados se tornarão ativos tóxicos. Acho a afirmação um pouco exagerada, mas, de fato, será preciso controlar de alguma forma a maneira com que eles estão sendo usados. Não necessariamente a anonimização é a solução, pois várias questões precisam ser olhadas.

Joaquim Campos: Como provedor de tecnologia, o que eu posso dizer é que a demanda do mercado por proteção de dados tem chegado de forma bastante intensa. Para atender a essa demanda, temos promovido mudanças e adequado muitos dos nossos serviços e tecnologias. Um exemplo são as tecnologias de servidores. Disponibilizamos, ao longo do ano passado, uma linha nova de grandes servidores, que criptografam os dados em tempo real, sejam eles dados em repouso ou em movimento. Essa demanda chegou de forma intensa por causa da GDPR, pois, no momento de um vazamento de dados, a empresa tem até 48 horas para comunicar as pessoas prejudicadas, dizendo qual dado foi vazado e tomando ações para assegurar que ele estão seguros a partir daquele momento. Isso era algo muito difícil de se fazer considerando a forma como os dados estavam armazenados até então. Por conta disso, foi preciso fazer uma readequação do portfólio da IBM. Isso é importante porque se o dado vazado for criptografado, a empresa se isenta da multa da GDPR.

Juliano Tubino: A maioria dos cenários de vazamento de dados que discutimos envolve o prestador de serviço e o consumidor. Porém, também precisamos nos preocupar com os dados dos funcionários. Existem mais de 32 mil empresas no Brasil utilizando os softwares de gestão da Totvs e eles armazenam dados de todos os seus funcionários. Como preparar nossos clientes para a proteção desses dados? Hoje, as discussões têm uma variável que é a permissão, a partir da qual se traçam estratégias. Desde que exista uma permissão formal, existe a possibilidade de armazenamento e uso de determinado dado para um fim específico e transparente, mas também a responsabilidade de protegê-lo. O dado não é mais um personagem secundário: ele passou a ser protagonista, o que amplia a necessidade de as companhias fazerem bom uso dele; caso contrário, ele se torna apenas um ativo tóxico. O uso inteligente de dados, da inteligência artificial e a utilização mais avançada de algoritmos para gerar insights, conclusões e ações não é mais uma vantagem competitiva, mas sim uma necessidade básica para a competição no mercado. O valor de uma companhia começa a cair se ela não adota essas ferramentas.

Luiz Ponzoni: Toda companhia precisa fazer uma reflexão sobre seus processos. O Facebook [no caso envolvendo a Cambridge Analytica] gerou um grande debate em relação à privacidade, mas não houve ali um evento de invasão ou de quebra de segurança e, sim, um problema de processo. Existia um contrato estabelecido que não foi suficiente para garantir segurança. Privacidade não é segurança, mas você não tem a primeira sem a segunda. Por isso, revisitar os processos é fundamental. As empresas precisam refletir: quais tipos de dados preciso realmente adquirir? Em que momento sou apenas o custodiante ou o responsável?

Gustavo Artese: A legislação vê o tratamento de dados como uma atividade de risco. Ao fazer esse tratamento, é preciso oferecer para a população, detentora dos dados, salvaguardas adequadas. Existem dois erros que podem ser feitos com os dados: deixá-los vazar ou utilizá-los e processá-los de forma inadequada, que foi o caso do Facebook.

Daniel Cassiano: Na época em que o Facebook abriu seus dados via acesso para desenvolvedores, um usuário que fizesse login em determinado site tinha a maioria dos seus dados acessado pelo dono desse site. Durante todo esse período, muitos aplicativos e empresas conseguiram captar dados dos usuários. O Facebook, por exemplo, foi na contramão do que é feito hoje, colocando as permissões depois, aos poucos. No Magazine Luiza, quando começamos a trabalhar com inteligência, entendemos que vários dados que estávamos fornecendo aos nossos usuários internos não precisavam ser expostos da forma que o fazíamos. Iniciamos um processo de criptografia dos dados, de governança, de permissionamento e, hoje, os profissionais que trabalham com dados têm uma certa “trava”, fazendo muito análise de forma anônima, já que essas informações são criptografadas já em sua base.

CAPITAL ABERTO: De que forma as políticas de privacidade podem comprometer o tratamento do dado? A privacidade ajuda ou atrapalha na formação de dados de qualidade?

Claudio Oliveira: Um aspecto muito interessante da nova lei é que ela obriga a empresa a ter uma visão de 360º do consumidor. Segundo nossas pesquisas na ESPM, 60% das empresas ainda estão em um nível de maturidade digital muito baixo, o que significa que os dados estão em departamentos. A LGPD coloca um desafio para essas empresas, pois se seu consumidor pedir que seus dados sejam apagados, elas não podem simplesmente pegar o dado que está no banco de dados do setor comercial e apagá-lo: o dado continuará nos outros departamentos. Por causa disso, essa regulamentação, na minha opinião, vai colocar as companhias em outro nível. Isso beneficia, sim, o tratamento e até o uso desses dados para negócio, pois passa a existir um data foundation. Com relação à privacidade e ao uso dos dados, surgirão reflexões que nunca aconteceram nessas empresas. Toda a cadeia de produção de comunicação ainda não passou por essa discussão, e há uma ansiedade grande no mercado devido ao pouco tempo para a adaptação à lei. Essa insegurança jurídica pode causar problemas como, por exemplo, investimentos deixarem de ser feitos pelas companhias por medo das consequências que isso pode gerar para elas.

Juliano Tubino: A conversa sobre dados precisa ser mais ampla do que a privacidade do dado cadastral e transacional de um cliente. Todos os casos discutidos hoje têm uma coisa em comum: o grande benefício do trabalho de dados é para o fornecedor, não para o cliente, apesar dele ser servido melhor. Vou dar o exemplo de casos corriqueiros, mas que eram tabus há poucos anos. Existem os aparelhos que estão “always on” e para os quais damos comandos vocais. O meu Alexa, por exemplo, está ligado com a fechadura da minha casa. Depois de um mês, ele começou a me dar boa noite, pois ele escuta, armazena e processa o que eu falo. O Skype tem a opção de colocar seus contatos como internacionais. Na Totvs, fizemos uma chamada com nossa equipe na China — nós falando em português, eles em chinês e o áudio que chegava para eles estava em inglês, com discussões estratégicas do conselho da empresa. Contudo, eu sequer questiono de onde vem e para onde vai esse dado, porque o valor do serviço é enorme para mim. Não existe nenhum nível de escrutínio justamente por causa desse valor incomensurável para o consumidor. A Telefônica, por exemplo, usou dados no Reino Unido para identificar o paciente zero de H1N1. Isso permitiu que a doença fosse isolada em 40 dias. A abundância do poder computacional não tem mais volta, então precisamos discutir valor e permissão, para não criarmos freios para a inovação.

Leia também:

Como tributar dados 

GDPR, versão brasileira

Facebook e GDPR inflamam debate sobre privacidade de dados