eu tenho experimentado ummuita frustração(exasperação? niilismo?) quando se trata da prática de privacidade e proteção de dados ultimamente.
As leis estão mudando rapidamente, tornando quase impossível acompanhá-las. Cada nova lei tenta ser um pouco mais inteligente do que as anteriores – e todas essas leis estão cada vez mais focadas em gestos simbólicos do que em ações significativas. Isso deixa profissionais e empresas nadando morro acima contra um vasto rio de trabalho pesado de “conformidade com a privacidade” que faz pouco para realmente proteger dados, direitos individuais ou qualquer outra coisa. E, claro, todo mundo está enlouquecendo coletivamente com a IA e suasimplicações de privacidade.eu mesmo incluído.
Para emprestar uma frase deBruce Schneier, não se trata mais de privacidade ou proteção de dados – agora estamos todos realizando o “teatro da privacidade”.
Recentemente me deparei com um artigo instigante, escrito em 2015 porZvi Mowshowitzem seu excelente blog 'Não se preocupe com o vaso'. O artigo é intitulado ‘A Coisa e a Representação Simbólica da Coisa’, e se você ainda não leu,vá ler agora. Vou esperar.
No artigo Mowshowitz postula o seguinte:
Vamos supor que há uma coisa que todos concordam que é, no contexto, uma Good Thing(tm) que alguém na sua situação gostaria.
(Video) TRUQUES Psicológicos Para Ser Mais Carismático e Influenciar Pessoas | Andrew Schulz & Lewis Howes
Você quer a coisa ou quer a representação simbólica da coisa?
Embora a maioria de nós possa pensar intuitivamente “Eu quero a coisa!” – acontece na prática que não. Nós (ou o mercado, os reguladores ou mesmo os usuários) queremos querepresentaçãoda coisa. Como observa Mowshowitz, “o sistema está mais preocupado em garantir que todos sejam capazes de sinalizar, para os outros e para si mesmos, que se importam profundamente e que estão fazendo tudo o que podem”.
o realefeitosdas decisões envolvidas são, na melhor das hipóteses, preocupações secundárias. É oriscode não se envolver no teatro que é o verdadeiro assassino da mente:
[E] todos os envolvidos [têm] medo de serem processados (muito além do perigo estatístico de realmente serem processados) toda vez que se desviam do padrão de atendimento torna isso muito pior.
Agora, Mowshowitz não estava falando sobre proteção de dados – ele estava discutindo representações simbólicas no contexto de uma startup médica e entrega de resultados de saúde para pacientes. Por exemplo, ele descobriu que o que os clientes realmente queriam de sua startup não eram as informações que sua empresa poderia fornecer para melhorar significativamente sua saúde (a coisa), mas um relatório sofisticado e caro, idealmente entregue por alguém bem credenciado a um bom preço ponto (a representação da coisa).
Por que os avisos de privacidade são representações simbólicas e geralmente inúteis da coisa
Deixe-me apenas dizer que, ao ler aquele artigo, não pude deixar de ver todos os paralelos entre a luta dele e a minha.
O mundo da proteção de dados caiu amplamente nessa armadilha de representação simbólica. Isso se manifesta em todas as maneiras pelas quais as organizações nos afogam em informações para demonstrar conformidade e sinalizam que se preocupam com nossa privacidade. Seja o mar infinito de políticas de privacidade e avisos que ninguém lê, os adendos não negociáveis de processamento de dados de tamanho de e-book, os pop-ups de aviso de cookies que nunca lembram suas preferências, as 'avaliações de risco' que não avaliam significativamente o risco ou os papéis brancos de segurança que podem muito bem ser marshmallows. São tantas palavras, com tão pouca substância.
Essas representações simbólicas existem em nosso mundo por alguns motivos. Em primeiro lugar, porque é isso que os legisladores e reguladores exigem e, principalmente, contra o que eles impõem. Isso se agrava ainda mais quando você considera que, a cada nova lei, um encantamento ligeiramente diferente deve ser proferido pararealmentedemonstrar que o processamento está sendo feito continuamente. E ai de qualquer organização que se esqueça de incluir as palavras mágicas específicas de uma jurisdição ou uma nova abordagem sobre o que o outro cara disse…
Não que notássemos.Em primeiro lugar, não temos dias suficientes para ler as malditas coisas.
Mas comoWoodrow Hartzognotas em seu excelente livroPlano de privacidade, muito disso também se deve à nossa devoção coletiva e servil aoPrincípios de Prática de Informação Justa(FIPPs) e fetichização do ‘controle do usuário’ e escolha. Quer fazer algo duvidoso com dados? Isso é bom! Tudo o que você precisa fazer é enterrar tudo em um aviso de privacidade seco, técnico e excessivamente legalista de 36 páginas. Contanto que você não esteja mentindo e obtenha nosso 'consentimento' (leia-se: nossa apática não resposta), você será ótimo!
Mas não ouse esquecer de mencionar como você não estará envolvido na 'venda ou compartilhamento' de dados.
Eu observarei que muito pouco do que está nos FIPPs tocapráticomecanismos para proteger dados ou garantir que os direitos fundamentais das pessoas à privacidade sejam respeitados. Isso não é totalmente surpreendente, dado que os FIPPs foram escritos nos anos 70 pelo governo dos EUA, para resolver o que era, na época, ainda um problema de nicho enfrentado por um pequeno subconjunto de instituições de papel. Mas aplicar os FIPPs ao processamento de dados no século 21 não faz mais sentido. Como observa Hartzog, seu único objetivo neste momento é sobrecarregar os indivíduos com “informações e escolhas, em vez de proteger substancialmente” sua privacidade.
É por isso que cada vez mais meu tempo como consultor e DPO externo é gasto não para melhorar as práticas de proteção de dados de uma empresa (consertando a coisa), mas para escrever meus próprios 'relatórios sofisticados' e ler e entender os de todos os outros. É um exercício cruel, miserável e quase sem sentido, e está piorando. Estamos nos movendo cada vez mais para um mundo onde existem programas e esforços de privacidade e proteção de dados para que, como observa Mowshowitz:
Obrigado, eu odeio isso. E você também deveria.
Ouvir. Não estou dizendo que avisos de privacidade, avaliações de risco ou treinamento não sejam importantes. Eles são. Mas precisamos nos perguntar quanto esforço devemos investir em escrever palavras que representem simbolicamente a proteção de dados, em vez de realmenteprotegendo a privacidade e os direitos de dados das pessoas?Felizmente, tenho algumas ideias sobre isso.
Em primeiro lugar, todos nós precisamos aceitar o fato de que nossas leis de privacidade não têm sentido se as empresas que usam e exploram nossos dados pessoais puderem simplesmente contratar advogados e consultores sofisticados para escrever mais palavras ligeiramentediferentementee ainda fazer o que eles gostam. Os reguladores precisam se concentrar menos em saber se uma empresa está cumprindo representações simbólicas (sua política de cookies foi compatível o suficiente? Seu ROPA foi completo o suficiente? Você fez um interesse legítimo ou transferiu uma avaliação de risco para a coisa X?), e mais sobre os abusos de nossos dados, com os quais todos podemos concordar, são péssimos. Olhando para você, corretores de dados, sites de reconhecimento facial e fornecedores assustadores de câmeras espiãs.
Tomando uma página de HartzogPlano de privacidade, em vez de representações de privacidade precisamos definir padrões concretos reais e criar ferramentas e produtos que funcionem para todos – não apenas para as empresas que lucram com nossos dados.
Assim como você não pode (legalmente) vender medicamentos patenteados, construir uma casa sem aderir aos códigos de construção locais ou vender alimentos sem atender aos padrões de saúde e segurança, as empresas não devem poder operar e obter lucro fazendo coisas obviamente ruins com os dados das pessoas. Os legisladores e reguladores devem ajudar a definir melhor os padrões e práticas que respeitam a privacidade e reprimir os comportamentos abusivos, enganosos e invasores de privacidade e as organizações que ganham a vida explorando esses comportamentos. Pare de tratar toda a tecnologia como neutra, principalmente quando é extremamente óbvio quando não é.
Em segundo lugar, se o EDPB e a Comissão Europeia estão preocupados com o efeito da Big Tech (e da vigilância do governo) nos dados pessoais dos titulares de dados da UE, eles precisam começar a agir sobre essas preocupações. Não por meio de exercícios ineficazes e que desperdiçam tempo, como avaliações de risco de transferência e bajulações intermináveis para Noyb, mas forçando a mão deles. Banir Clearview AI, TikTok e Meta. Pare de fazer negócios com os EUA, China e outros países com leis de privacidade fracas de facto ou de jure, a menos que esses países concordem com reformas de privacidade significativas e as apliquem. Financiar esforços para melhorar a privacidade real em grande escala. Pare de dar um passe para seus próprios governos quando se trata de coleta e abuso de dados.
Em terceiro lugar, precisamos de mais iniciativas que encorajem, financiem e implementem desenvolvimentos tecnológicos que melhorem a privacidade, como criptografia de ponta a ponta, privacidade diferencial, provas de conhecimento zero e computação multipartidária segura. Precisamos trabalhar para tornar essas ferramentas fáceis, econômicas e fáceis de implementar, e os reguladores precisam estar na vanguarda, trabalhando com pesquisadores, instituições e empresas focadas no desenvolvimento e adoção dessas ferramentas.
Ficarei feliz em dedicar tempo, dinheiro e energia nisso, se isso levar a resultados significativos que protegerão a todos. Parte da razão pela qual coloco tanta esperança incomumente otimista (para mim) na tecnologia é porque sei que, uma vez que uma determinada tecnologia se torna fácil de usar, acessível e amplamente disponível, os comportamentos são alterados e as coisas mudam.
Facilidade, acessibilidade e onipresença sempre levarão as coisas mais longe do que qualquer política ou procedimento obrigatório. Pense em airbags em carros ou painéis solares residenciais. Cada um começou como algo caro e de uso limitado, ao qual poucos de nós tinham acesso ou podiam pagar. Agora, a maioria dos carros tem airbags e um número crescente de residências em todo o mundo tem painéis nos telhados. Outro bom exemplo é o HTTPS. Em 2017, apenas 50% das solicitações de internet foram criptografadas usando SSL.Agora 95% de todas as solicitações são criptografadas. Esse crescimento não ocorreu devido a ditames regulatórios – ocorreu porque o Google priorizou sites usando HTTPS a partir de 2017 e o LetsEncrypt começou a oferecer certificados TLS gratuitos e fáceis de configurar em 2020.
Pensamentos finais
Está claro que o estado atual das leis de privacidade e práticas de proteção de dados está mais focado em gestos simbólicos do que em ações significativas. Isso é ruim, não apenas para DPOs sitiados como eu, mas para todos.
Estamos presos em um turbilhão de teatro de privacidade, realizando rituais intermináveis de conformidade que pouco fazem para proteger os próprios dados e direitos individuais que afirmamos valorizar. É hora de uma mudança de foco. Devemos priorizar o desenvolvimento e a adoção de ações – nutrindo o crescimento e a expansão de tecnologias de aprimoramento da privacidade, estabelecendo padrões de design significativos, práticos e acionáveis e responsabilizando as entidades por seus (ab) usos reais de dados. Isso criará confiança, mudará comportamentos e protegerá a privacidade e os dados – as coisas reais com as quais nos preocupamos. Ao enfatizar os aspectos práticos e tangíveis da proteção de dados em oposição às suas representações, podemos finalmente nos afastar do inferno superficial e de conformidade em que nos encontramos, em direção a um futuro onde a privacidade não é apenas uma palavra da moda, mas uma realidade.