Gustavo Artese*/ Ilustração: Julia Padula

“Não encaramos de forma ampla o suficiente a extensão de nossas responsabilidades, um grande erro. E o erro foi meu. Peço desculpas. Eu fundei o Facebook, administro o Facebook e sou responsável pelo que acontece no Facebook.” Mais desculpas, entremeadas por saias-justas, foram dadas nas cinco horas do depoimento de Mark Zuckerberg ao Congresso americano, em 10 de março. A imagem do jovem CEO caminhando, constrangido, pelos corredores do Capitólio suscita uma comparação irresistível: a de um menino chamado à diretoria da escola para explicar uma travessura.

Numa análise complacente, a “arte” de Zuckerberg foi ter sido condescendente com a gestão inadequada dos dados pessoais de seus usuários. Controles e processos necessários ao uso justo e ético de dados não foram implementados. Simples assim. De modo simplificado, em matéria de privacidade,  são duas as falhas possíveis: em segurança da informação; e na gestão da coleta, utilização e transferência de dados pessoais. Zuckerberg falhou no segundo caso.

Tudo indica que os altos executivos brasileiros já estão razoavelmente conscientes em relação à segurança da informação. E é natural que essa preocupação já tenha aparecido — afinal, quando se trata de quebra de sigilo as ocorrências e consequências são mais perceptíveis. O mesmo não se pode dizer quanto ao compliance em privacidade per se.

É preciso ser justo e destacar que mesmo globalmente a maioria das empresas ainda não pratica com excelência a conformidade em privacidade — cenário que felizmente está mudando. Pesquisa da EY e da International Association for Privacy Professionals estima que as 500 maiores empresas do mundo terão uma despesa total de 7,8 bilhões de dólares neste ano só para ficarem em conformidade com o regulamento geral europeu (GDPR), que entra em vigor no próximo dia 25 de maio. Além disso, a régua da exigência — regulatória e da opinião pública — tem subido na mesma proporção do uso cada vez mais intenso e criativo de dados. Em outras palavras: quanto mais invasivas as aplicações, maior o escrutínio sobre as atividades econômicas fundamentadas em dados pessoais. A exigência regulatória aumenta em razoável simetria com os riscos à privacidade individual.

O Brasil está atrasado nesse ponto, o que é compreensível. O País sequer conta com uma lei geral de proteção de dados pessoais, o que evidencia a ausência de uma “cultura de privacidade”. Mas isso também está mudando. Ocorre que o atraso implica mudança repentina e pungente, e teremos que nos adaptar em meio a um turbilhão regulatório e midiático. Pressa e perfeição, a despeito de sua pregada incompatibilidade, deverão caminhar juntas.

O ouro cibernético

A expressão big data começou a se disseminar em 2010, quando Kenneth Cukier publicou na revista The Economist um artigo intitulado “Data, data everywhere”. “O mundo dispõe de uma quantidade inimaginavelmente vasta de informação em forma digital, que fica mais vasta de forma cada vez mais rápida (…). Cientistas e engenheiros da computação cunharam um novo termo para esse fenômeno: big data”, dizia um trecho.

O fenômeno resulta de uma conjunção de fatores, como capacidade de armazenamento e processamento virtualmente ilimitada (e barata), criação de sensores sofisticados e acessíveis, interconexão de bases de dados e aperfeiçoamento de técnicas de analytics (que permitem a exploração de dados não estruturados). Passou a ser possível extrair, a custos relativamente baixos, alto valor econômico e estratégico de dados que, de outro modo, seriam irrelevantes. Não por acaso, o arquiteto de dados Clive Humby na mesma época pontuou: “data is the new oil”. Estava dada a largada para a corrida do ouro cibernético.

Acredita-se que desde então as organizações se sentiram, em certa medida, impelidas a coletar dados — mesmo que ainda não soubessem o que fazer com eles. Como ocorre em toda mudança associada à evolução da tecnologia, as decisões não se baseavam tanto em obrigação, mas na capacidade e no acirramento da concorrência (coleto dados porque posso, e porque todos estão coletando). Sem contar que as possibilidades em termos de novos negócios e ganhos se mostravam inebriantes. Pois o ébrio da vez é Zuckerberg, e quando uma empresa de alcance mundial e 100% dependente de dados é impelida a rever suas práticas, o mundo todo fica de ressaca.

Governança de dados

Primeira consequência: o axioma mudou -“Data is (still) the new oil, but bear in mind it is toxic if mishandled. Isto é, os dados (ainda) são o novo petróleo, mas é preciso ter em mente que podem ser tóxicos quando não se lida bem com eles. A chamada à realidade é formidável. Em menos de uma década, o que nada representa em termos históricos, nos demos conta de que há limites éticos a serem traçados na utilização de dados. Nasce a era da governança de dados. Seja para se obter bons resultados (qualidade dos dados), seja para fins de compliance.

No caso do compliance em privacidade, e das regras que o demandam, vale uma analogia com o “relógio do juízo final”, concebido por cientistas no auge da guerra fria para aferição do risco de um conflito nuclear. Ele conta regressivamente os minutos para a meia-noite, horário que representaria o fim do mundo. A contagem é sempre alterada — para mais perto ou mais longe da meia-noite, dependendo do humor dos líderes que têm acesso ao botão vermelho. O relógio, que andava meio parado, tem sido reanimado por Donald Trump e seus tweets bufantes

No meu relógio imaginário — para tranquilizar o leitor, nada tem a ver com o armagedom — a meia-noite é a aprovação de uma lei de proteção de dados pessoais no Brasil. Os ponteiros do meu relógio da privacidade também avançaram e retrocederam, mas ao sabor da conveniência legislativa. Nunca estivemos tão perto da meia-noite — são 11h59 —, por várias razões: pressão externa, do GDPR e da Organização para a Cooperação e Desenvolvimento Econômico (OCDE); atuação independente do Ministério Público em eventos de quebra de sigilo; amadurecimento do processo legislativo; escândalos globais, como o da Cambridge Analytica. A meia-noite pode chegar em maio ou junho. Rápido assim, mesmo em ano de eleição.

O tempo para participação no processo legislativo terminou. A vez é dos assessments, seguidos da implementação de compliance. Em mais um ou dois anos, tudo indica que a interação será com o regulador. E se a hora é de compliance, a palavra de ordem deve ser confiança. Estabelecer confiança passa por oferecer transparência e assegurar um uso adequado (e informado) de dados pessoais. Trata-se, enfim, de norma que regula conduta e requer uma certa cultura organizacional. Tudo isso exige esforço, comprometimento e tempo. Bom lembrar que o tique-taque não para.

*Gustavo Artese ([email protected]) é sócio de Artese e Advogados