Uma “revolução silenciosa” ou a ilusão de controlo sobre os nossos dados
Ao fazer compras online ou ao pôr um “like” no Facebook, expomos a nossa identidade e privacidade a uma reserva gigantesca de dados. Sim, há aí um enorme potencial para a humanidade. Mas há também uma série de ameaças para as quais temos de estar atentos. Terceiro de uma série de dez textos sobre os riscos da “revolução digital”.
Subitamente, na primavera de 2018, começaram a chegar às nossas caixas de email incontáveis mensagens de entidades as mais diversas solicitando consentimento para poderem processar os nossos dados. Este surpreendente frenesim deveu-se à entrada em vigor, em maio, do Regulamento Geral de Proteção de Dados (RGPD) da União Europeia, que substituiu a diretiva de 1995 sobre a mesma matéria.
A verdade faz-nos mais fortes
Das guerras aos desastres ambientais, da economia às ameaças epidémicas, quando os dias são de incerteza, o jornalismo do Público torna-se o porto de abrigo para os portugueses que querem pensar melhor. Juntos vemos melhor. Dê força à informação responsável que o ajuda entender o mundo, a pensar e decidir.
Subitamente, na primavera de 2018, começaram a chegar às nossas caixas de email incontáveis mensagens de entidades as mais diversas solicitando consentimento para poderem processar os nossos dados. Este surpreendente frenesim deveu-se à entrada em vigor, em maio, do Regulamento Geral de Proteção de Dados (RGPD) da União Europeia, que substituiu a diretiva de 1995 sobre a mesma matéria.
Nalguns casos, o pedido do consentimento poderá até ter sido excessivo e não exigido pelo RGPD por se tratar de dados indispensáveis para que certas organizações possam continuar a comunicar connosco e a prestar-nos os serviços contratados e por normalmente não reutilizarem ou alienarem esses dados para outros fins.
Situação muito distinta é a dos grandes operadores online. Como foi descrito em artigo anterior desta série, empresas como a Google, o Facebook, a Amazon ou a Yahoo (norte-americanas, todas elas) vivem da exploração desses dados. As tecnologias de big data (mineração e análise de dados) permitem explorar comercialmente os dados que cedemos constantemente nessas plataformas, dados que permitem também uma progressiva automação de processos de decisão com base em algoritmos que facilitam a identificação de padrões. Estes são já utilizados nas avaliações de crédito e de prémios de seguro ou no recrutamento para postos de trabalho, por exemplo.
Analisemos a hipótese de um possível recrutamento para um posto de trabalho. Neste caso, os algoritmos buscam padrões que ajudem a seleccionar os melhores candidatos. É provável que encontrem informação como o curso que tiraram e experiência de trabalho anterior. Mas os algoritmos trabalham com tanta informação que podem também identificar outros padrões, de relevância e legalidade discutíveis como a idade ou até o código postal. Basta o algoritmo ter “encontrado” poucas pessoas negras ou maioritariamente de bairros dispendiosos para poder dar “má nota” aos negros e aos habitantes de bairros pobres que se tenham candidatado. Tudo isto se processa de forma opaca e sem que tenhamos maneira de saber quem são os data brokers e de mobilizar facilmente eventuais meios de defesa.
Será que o RGPD nos protege contra esses riscos? Dir-se-ia que sim, a atender ao discurso político que rodeou a sua adopção, nas palavras do comissário Carlos Moedas: “Ao aprovarmos o novo regulamento, estamos a proteger os europeus. Cada europeu é realmente o dono dos seus dados.” Mas até que ponto esta convicção tem razão de ser na era do big data e da crescente automação de decisões?
Não é difícil deduzir que as tecnologias de big data dificultam extraordinariamente a observância de princípios fundamentais do RGPD como o consentimento prévio do titular dos dados, a limitação do fim ou a minimização dos dados, pois a essência do big data reside precisamente na reutilização de dados para fins diferentes dos que presidiram à sua recolha, apoiando-se numa acumulação ilimitada de dados.
É verdade que o RGPD reforça as obrigações dos operadores, obrigando as entidades com mais de 250 empregados a designar um encarregado de proteção de dados e prevendo sanções elevadas em caso de incumprimento. Mas ao remeter para os “controladores dos dados”, i.e. os operadores, a principal responsabilidade de avaliar o impacto dos tratamentos de dados sobre os direitos e liberdades individuais e de notificar as violações de que tenham conhecimento, suscita legítimos receios sobre o inerente conflito de interesses. Note-se que se elimina a exigência de autorização ou notificação prévias das autoridades de proteção de dados pessoais que constava da diretiva de 1995, remetendo-as para uma função meramente fiscalizadora. Sem meios suficientes, o que tem sido denunciado, dificilmente exercerão com eficácia essa função.
Os direitos reconhecidos aos indivíduos, incluindo o consentimento, ficam neste contexto largamente dependentes da boa vontade dos operadores. A omnipresença dos cookies – que com frequência não temos alternativa senão aceitar (e nos são apresentados como meio de nos brindar as “melhores experiências possíveis”...) – constitui uma evidência não só da colheita maciça dos dados, mas também da dificuldade de opt-out dos utilizadores. Um estudo de 2015 descobriu que uma visita aos 100 websites mais populares resultava na criação de mais de 6000 desses cookies, muitos dos quais ligados à Google, sendo que 83% não vinham da página a ser visitada (ou seja, permitem a terceiros saber que estivemos naquela página) [1]. E o Whatsapp, por exemplo, exige que o utilizador que pretenda recusar a utilização dos seus dados pessoais por esta empresa lhe envie uma carta por correio com justificação detalhada dos motivos por que entende que essa utilização o prejudica mais do que favorece o Whatsapp, reservando para a empresa a decisão. Por estranho que pareça, esta exigência encontra-se alinhada com o RGPD e estas salvaguardas estão previstas nos “termos de serviço”, textos legais, longos e opacos que poucos percebem ou têm tempo de ler. Já em 2008 se tinha calculado que a leitura de todas as políticas de privacidade que encontramos pela primeira vez levaria 40 minutos por dia, com um custo de oportunidade de 781 mil milhões de dólares por ano, só nos Estados Unidos [2].
Para além disso, estes sistemas de recomendação evoluíram de tal modo que mesmo que um indivíduo conseguisse de facto recusar acesso aos seus dados pessoais junto do Whatsapp, isso não impediria os algoritmos (e, portanto, a empresa) de acederem aos dados de outros para poderem extrapolar com grande segurança sobre o mesmo indivíduo.
Perante este estado de coisas, é essencial promover (idealmente, impor) formas de garantir maior transparência dos usos que são feitos da informação que fornecemos constantemente aos sistemas, bem como da lógica que serve de base a decisões automatizadas (de modo a permitir detetar erros e distorções, que a experiência revela que são frequentes). Mas aos cidadãos cabe também a responsabilidade de se manterem atentos, críticos e informados quando fazem as suas escolhas, quer online, quer offline.
[1] https://techscience.org/a/2015121502
[2] http://lorrie.cranor.org/pubs/readingPolicyCost-authorDraft.pdf
A autora escreve segundo o novo acordo ortográfico
Esta série, às segundas-feiras, está a cargo do grupo de investigação em Data Science and Policy, da Nova School of Business and Economics (http://scienceandpolicy.eu)
Na próxima segunda-feira: “Que rica saúde"