H ARVEST AND SALE OF ORGANIC PRODUCTS

De acordo com Beardsley et al (2014), independentemente da abordagem de que o governo ou regulador escolha para adoção, todas necessitarão de prestar particular atenção para áreas chave que requerem clarificação para suportar o tipo de inovação e prosperidade que o Big Data pode proporcionar, mantendo a confiança do consumidor e a preservação da privacidade. Essas áreas incluem: consentimento antes da coleta de dados; uma definição de o que são dados pessoais; anonimização; o direito de ser esquecido; jurisdição relevante; e dispositivos confiáveis:

a) consentimento antes da coleta de dados: o princípio-chave do modelo de regulamentação europeia é a necessidade de se obter consentimento pessoal antes de o dado ser capturado. Qualquer um com o intuito de se utilizar de dados individuais deve, primeiramente, obter a permissão do proprietário. Contudo com a vasta gama de informações disponíveis, obter a aprovação de cada pessoa pode se tornar um processo lento e tedioso para as companhias e consumidores e pode impedir o desenvolvimento de iniciativas que envolvem o Big Data. A definição de dados pessoais: o modelo idealizado pela União Europeia define os dados pessoais como qualquer dado que possa ser atribuído a uma pessoa identificável tanto diretamente quanto indiretamente. O modelo da APEC descreve dados pessoais

como a informação sobre um indivíduo identificado ou identificável. Ambas definições significam que não somente os dados que claramente identificam uma pessoa, como um nome ou endereço, são considerados dados pessoais, mas também dados que podem ser atribuídos a pessoas indiretamente por meio alguma outra medida, como número de celular ou identidade. No mundo do Big Data onde muitos dados são interligados é muito difícil definir exatamente quando um dado se torna pessoal;

b) anonimização ou sanitização: tradicionalmente os dados anônimos não são objetos de leis para proteção de dados. Entretanto, no contexto do Big Data onde dados anonimizados podem facilmente ser vinculados a outros, não é muito difícil montar um perfil de uma pessoa mesmo sem os meios tradicionais de identificação como nome e endereço. Outro ponto relacionado à anonimização de dados é a prática das empresas de se utilizar de dados que já estão em seu poder e torná-los anonimizados para vendê-los a terceiros para propósitos comerciais. As empresas podem atingir os seus objetivos de marketing de modo mais efetivo utilizando esses dados para aprender sobre os seus clientes. As empresas de Internet também estão cruzando os dados de seus clientes com dados sobre hábitos on-line de outras empresas para melhorar o direcionamento de suas ações de marketing;

c) o direito de ser esquecido: o novo modelo da União Europeia para proteção de dados propõe a introdução do direito de os usuários requererem que os controladores de dados ou data controllers removam os seus dados pessoais de seus arquivos. Apesar aparentar ser uma tarefa fácil, a remoção dos dados não é tão simples. Por exemplo, a Agência da União Europeia para Rede e Segurança da Informação (ENISA) estabelece que, por razões de segurança, os dados devem ser armazenados em diferentes locais na nuvem e esses dados podem ser agregados ou combinados em diferentes formas, como dados estatísticos. Assim, para a remoção de alguns dados específicos em vários sistemas haveria a necessidade de entrelaçá-los com dados agregados. Claramente esta não é uma tarefa simples no ambiente virtual e não há qualquer método para fazê-la de modo fácil;

d) jurisdição relevante: os dados são cada vez mais utilizados e armazenados através das fronteiras de países, porém a regulamentação diz respeito a eventos ocorridos em ambiente nacional e, em face disso, os reguladores não previram eventos transfronteiras. A incerteza sobre a jurisdição cria problemas para as empresas e

consumidores tais como: Quais regulamentos se aplicam para companhias de outros países? Qual é a autoridade judicial que deve intervir em eventuais disputas? O que acontece nos casos onde a companhia viola as leis de vários mercados? Na proposta mais recente da regulamentação da União Europeia para proteção de dados, foi estendida a aplicação de sua regulação para companhias situadas em outros países e que manipulam dados relacionados àquela União;

e) questões de responsabilidade: nos dias atuais, as companhias frequentemente mantêm cooperação para produzir soluções e aplicações de Big Data. Uma companhia solicita um software para outra, que por sua vez usa uma terceira empresa como contratada, que armazena os dados em um serviço de nuvem operado por outra. Se os dados vazarem, será muito difícil decidir de qual empresa é a responsabilidade.

O crescimento da coleta de dados de modo passivo e remoto coloca em discussão algumas das garantias implícitas presentes quando alguém dá permissão para pesquisas de mercado a serem realizadas e está consciente dos limites em que a coleta de dados está ocorrendo. Além disso o Big Data é construído sobre a utilização de dados não estruturados que, por definição, são recolhidos sem que o indivíduo necessariamente tenha conhecimento do propósito para o qual ele será utilizado no futuro. Para a manutenção do controle da privacidade, Nunan e Di Domenico (2013) sugerem três práticas éticas ou direitos que ainda permitem que as empresas prestem os serviços a partir dos quais os consumidores se beneficiam:

a) propriedade dos dados: com o Big Data, a natureza das organizações que coletam grandes quantidades de informações pessoais está mudando. Em geral, não são os governos centrais ou as tradicionais grandes companhias que estão armazenando informações, mas um tipo de empresas de alta tecnologia como Facebook, Twitter, Linkedin, Google e outros. De um lado, isto permite acesso a fontes de pesquisa de dados que podem não ter sido previamente avaliados. Enquanto há um pequeno incentivo dos governos de monetizar os dados comercialmente, os modelos de negócio da maioria dos serviços Web estão construídos em torno do valor comercial dos dados dos consumidores;

b) o direito de ser esquecido: os indivíduos podem solicitar que os dados mantidos sobre eles nos sites de redes sociais, que pudessem ser utilizados para fins comerciais no futuro, sejam apagados. A questão sobre a propriedade dos dados pessoais

atualmente toma parte entre o número de desafios legais, com discussões sobre onde a linha divisória sobre os dados pessoais deve ser desenhada;

c) o direito de expiração dos dados: adicionalmente ao direito de ser esquecido, dados não estruturados mantidos sobre indivíduos podem expirar após um período de tempo se não houver uso comercial. Isto provoca o surgimento de questões sobre a definição do uso comercial de dados não estruturados. Entretanto, se o Big Data envolver a coleta comercial de dados sem o reconhecimento de seu potencial uso ou sem o conhecimento de que está sendo coletado no caso de sensores autônomos, então deve existir a salvaguarda de que os dados não utilizados serão destruídos.

Na visão da ISACA (2013b), as empresas precisam de soluções robustas de privacidade de dados para evitar violação e reforçar o ambiente complexo de TI como:

identificação de todos os dados sensíveis;

garantia de que os dados sensíveis estejam identificados e seguros; conformidade com leis e regulamentações aplicáveis;

monitoramento proativo dos dados e do ambiente de TI;

reação e resposta rápidas às violações de privacidade e dados com gerenciamento de incidente.

Em face disso, para a governança adequada acerca da privacidade relacionada ao uso do Big Data, é necessário considerar as seguintes questões (INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION, 2013b):

Quais princípios, políticas e estruturas estão estabelecidos para dar suporte à estratégia comercial pelo Big Data?

As fontes de Big Data são confiáveis?

Quais estruturas e habilidades existem para governar e gerenciar a TI?

Quais estruturas e habilidades existem para governar a privacidade de Big Data? Quais são as ferramentas corretas para atender as especificações de privacidade de

Big Data?

Como verificar a autenticidade dos dados?

É possível verificar como a informação será usada?

Quais opções de decisão existem com relação à privacidade de Big Data? Qual é o contexto para cada decisão?

O registro das consequências e o uso dessa informação para suportar o processo de coleta de informação de Big Data, contexto, análise e tomada de decisão serão realizados?

Como as fontes, os processos e as decisões serão protegidos contra roubo e corrupção?

As ideias sobre o Big Data estão sendo exploradas?

Quais informações coletadas sem exposição da empresa a disputas jurídicas e regulatórias?

Quais ações são tomadas para a criação de tendências que podem ser exploradas pelos concorrentes?

Quais políticas estão em vigor para garantir que empregados mantenham a confidencialidade das informações da parte interessada durante e depois da admissão?

Os profissionais devem ser parte da iniciativa de Big Data corporativa desde o início, precisam ter entendimento profundo dos negócios; o conhecimento, como cientistas de dados, para usar ferramentas de Big Data e as habilidades para interpretar os resultados e explicá-los corretamente às partes interessadas. Também devem se manter bem informados sobre as novas habilidades e termos acerca dessa abordagem e educar a equipe de auditoria e gerenciamento. Além disso, esses profissionais devem atestar que as soluções de privacidade de Big Data sejam implementadas; exista governança suficiente de privacidade de Big Data, como data anonymization/sanitization ou de-identification, de modo a evitar que a identidade de uma pessoa seja conectada a determinadas informações; políticas de privacidade de Big Data, processos, procedimentos e estrutura de suporte atuais, úteis, relevantes e adequados; apoio aos gestores e evidência de comprometimento contínuo; destruição de dados apropriada, política de gestão de dados ampla, titularidade e responsabilidade de eliminação claramente definidas; conformidade com especificações de dados jurídicas e regulatórias; educação contínua e treinamento das políticas de Big Data, processos e procedimentos (INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION, 2013b).

O World Economic Forum (2013) entende que políticas, modelos de negócios, normas e tecnologias sofreram mudanças ao longo do tempo. A descoberta e os insights derivados de informações díspares tornaram-se essenciais para a inovação e o novo motor de criação de valor econômico e social. Os dados são coletados por bilhões de dispositivos conectados, pessoas e sensores que geram trilhões registros das transações e comportamentos a cada dia. O uso

crescente de operações máquina-a-máquina, que não envolvem interação humana, também gera quantidades significativas de dados sobre os indivíduos. Todos estes dados são posteriormente analisados e combinados para criar inferências, porém com um componente de risco e incerteza. A questão a ser respondida é como ganhar novos conhecimentos e tomar melhores decisões, de modo que se reconheça e proteja os indivíduos, empresas e governos contra as crescentes preocupações sobre os riscos à privacidade. Esse cenário impulsiona para uma mudança e novo enfoque na maneira de se utilizar os dados pessoais dos indivíduos, como sinaliza a Figura 16.

Figura 16 Novas perspectivas do uso de dados pessoais

Fonte: World Economic Forum (2013)

Nesse contexto, a partir de transparência para a melhor compreensão, novas formas de informar os indivíduos e ajudá-los a entender como os dados sobre eles estão sendo coletados e usados são necessários. A abordagem atual, para fornecer transparência por meio de políticas de privacidade legalistas longas e complexas, oprime indivíduos e não os informa. Os desafios são agravados à medida que mais dados estão sendo coletados por mais e mais dispositivos, muitos dos quais não estão sob o controle direto do sujeito dos dados (WORLD ECONOMIC FORUM, 2013).

4.4 RESUMO

Neste capítulo foram abordados os dispositivos legais e regulamentares para a preservação de dados pessoais, considerando as publicações nas principais regiões do mundo.

A tecnologia, isoladamente, não provê a preservação da privacidade. São necessárias políticas específicas, leis, regulamentos e convenções da indústria de modo complementar as

ferramentas técnicas existentes, de maneira a permitir que os indivíduos possam exercer o direito à privacidade. Em linha com esse entendimento, as organizações devem buscar novas formas de atender as necessidades operacionais e comerciais, a fim de minimizar a possibilidade de danos resultantes do uso e da destinação inadequados dos dados individuais, mesmo que haja consentimento concedido ou as informações restem anonimizadas. Os mecanismos regulatórios devem considerar a existência de técnicas de anonimização para a preservação da privacidade dos dados, bem como a possibilidade da reidentificação das informações, além de dar a opção de controle ao indivíduo sobre a decisão de uso de seus dados. No tocante à regulamentação sobre a preservação da privacidade de dados dos indivíduos, percebe-se que esses dispositivos derivam das normas já existentes para a preservação da privacidade em geral. Basicamente, no mundo há três principais arquétipos regulatórios: a) auto-regulamentação, normalmente utilizada pelos Estados Unidos da América, onde a própria indústria cria mecanismos específicos para cada setor; b) padronização mínima, adotada pela Cooperação Econômica Ásia-Pacífico, que retrata a fixação de normas para a garantia de níveis mínimos de proteção de dados de maneira a habilitar a transferência de informações entre as economias da região; e c) regulamentos rígidos, aplicados pela Europa que definem não somente o que são dados pessoais e como cada dado pode ser utilizado ou não, mas também, requisitos organizacionais e tecnológicos, além de destacar que os dados somente podem ser transferidos para países que possuam níveis apropriados de proteção.

A regulamentação requer constante evolução para abarcar fenômenos como o Big Data, de maneira a se evitar bloqueios ou entraves ao pleno uso das potencialidades relacionadas à inovação e criação de vantagem competitiva. Como visto, os dispositivos existentes no mundo não são uniformes e possuem diferentes graus de exigências e maturidade, a depender de cada região onde foram implementados. Destaca-se, nesse cenário, a Diretiva de Proteção de Dados da Comissão Europeia, de 1995, conhecida como Diretiva 95/46/EC, que protege os direitos e liberdades fundamentais das pessoas naturais e, em particular, o direito à privacidade com respeito ao processamento de dados pessoais.

A OECD também tem papel de destaque na promoção do respeito à privacidade como valor fundamental e condição para a livre circulação de dados pessoais. As Diretrizes para a Proteção da Privacidade e Fluxo Transfronteiras de Dados Pessoais, de 1980, representam um importante conjunto de princípios sobre a privacidade de dados pessoais, que influenciam o desenvolvimento da legislação para a proteção de dados e códigos modelos dentre os países membros daquela Organização. Esse rol de diretrizes está estruturado em linguagem

tecnológica neutra e concisa, permitindo a sua adaptação a países com variadas estruturas governamentais e legais.

O Brasil ainda carece de grande evolução do arcabouço regulatório quando comparado aos avançados dispositivos internacionais. O país possui algumas leis e direcionadores que tratam a privacidade de modo abrangente, porém há não políticas ou regulamentos específicos como os observados em outros países.

Em análise às estruturas regulamentares, em nosso entendimento, o modelo mais adequado deve se pautar pela adoção de códigos éticos pela própria indústria interessada, sob a égide de legislação específica, com mecanismos que não inviabilizem ou bloqueiem o desenvolvimento da exploração comercial dos dados. As organizações devem deixar claro aos indivíduos, cidadãos, clientes sobre os benefícios de se compartilhar os dados pessoais em contraponto com eventual perda de privacidade. Nesse sentido, os indivíduos devem ter acesso a ferramentas que ofereçam o controle dos dados que eles entendem como passíveis de uso pelas organizações, com a possibilidade de, a qualquer momento, alterar a sua decisão inicial, apagar e limitar o tempo de uso de seus dados e ter o direito ao anonimato ou de ser esquecido.

5. TÉCNICAS PARA A PRESERVAÇÃO DA PRIVACIDADE NO BIG DATA