C ERTIFICATION

Como exposto ao longo deste trabalho, o Big Data traz grandes benefícios, desde negócios inovadores até novas formas de tratamento de doenças. Os desafios relativos à privacidade aumentam em função de fatores associados à coleta de dados em larga escala e à sua análise. Esses desafios são compostos de limitações das tecnologias tradicionais utilizadas para a reserva da privacidade como a desidentificação ou uma forma de não associar a identidade de um indivíduo a determinadas informações. Apenas a tecnologia não pode preservar a privacidade; políticas específicas necessitam de desenvolvidas (

COUNCIL OF ADVISORS ON SCIENCE AND TECHNOLOGY, 2014).

As soluções para a preservação da privacidade, além dos mecanismos técnicos, resumem-se em leis, regulamentos e convenções da indústria que também são de grande necessidade para assegurar a segurança de informações sensíveis. Muitos países estabeleceram leis para regular atos envolvendo informações pessoais. Além de leis e regulamentações, convenções do mercado também são necessárias e acordos entre diferentes organizações devem definir como os dados pessoais devem ser coletados, armazenados e analisados, de maneira a auxiliar na construção de um ambiente seguro para a privacidade (XU et al, 2014).

Indivíduos, como cidadãos e consumidores, precisam ter meios para exercer o seu direito à privacidade, proteção a si mesmos e suas informações. A proteção de dados versa sobre as salvaguardas e o direito fundamental à privacidade, que está consagrado em leis internacionais e convenções. A proteção de dados é comumente definida como a lei desenvolvida para a proteção de nossa informação pessoal, que é coletada, processada e armazenada por meios automatizados (PRIVACY INTERNATIONAL, DATA PROTECTION 2015a).

É necessário que sejam despendidos esforços para se alcançar, de maneira segura e à prova de falhas, a manipulação de dados anonimizados ou desidentificados, além da eficaz operacionalização de dados relativos a informações cujo acesso foi eventualmente consentido pelo indivíduo. Quando o consentimento for dado ou os dados forem anonimizados, virtualmente qualquer informação se torna passível de uso. Em face do valor e sensibilidade da informação e das escolhas que podem e não podem aplicadas, o uso e a destinação dos dados devem ser cuidadosamente avaliados (BAROCAS; NISSENBAUM, 2014).

Como o volume de dados, a velocidade de processamento, a complexidade do tipo de dados e as especificações de segurança e privacidade continuam a crescer além das expectativas, as empresas são forçadas a buscar novas maneiras de atender as necessidades operacionais, comerciais e jurídicas. Para minimizar a possibilidade de danos resultantes de dados imprecisos ou fraudulentos, as empresas devem fazer um inventário de todas as fontes de dados que estão incluindo em suas análises e avaliar cada fonte quanto às vulnerabilidades. A privacidade em uma empresa inclui conformidade com as exigências jurídicas e regulatórias sobre os períodos de retenção de dados, regulamentação internacional, privacidade e propriedade intelectual. A governança de privacidade de Big Data deve garantir a conformidade, mas, ao mesmo tempo, permitir um ambiente corporativo que use efetivamente o Big Data para criar concorrência sustentável (INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION, 2013b).

Segundo Beardsley et al (2014), a proteção dos dados pessoais tem sido encarada como um direito fundamental, habilitando os indivíduos a estar no controle de seus próprios dados. Indivíduos podem exercer este controle explicitamente dando ou retendo o consentimento antes de seus dados pessoais serem usados por outros. Eles têm o direito de ser informados se aqueles dados serão usados e para qual propósito. Companhias e organizações usando os seus dados também são requeridas para protegê-los do uso não autorizado. Há medidas de restrição para a proteção de dados médicos e informações de crédito. Porém a questão se tornou mais complexa com a era da Internet. Alguns argumentam que este direito deve ser salvaguardado mais fortemente do que quando muitas companhias e organizações estão em busca de acesso a dados pessoais e podem obter esse acesso de maneira facilitada. De outro lado, os benefícios econômicos, sociais e pessoais podem ser incrementados pelo compartilhamento de dados e muitos consumidores estão conscientes da abertura de alguns aspectos relacionados à privacidade em contrapartida ao acesso a certos bens e serviços. As leis de proteção de dados envolvem não somente a tentativa de manter o passo com o desenvolvimento tecnológico e novas formas de utilização, coleta e compartilhamento de dados pessoais, mas também o alinhamento de atitudes em relação à privacidade.

Para Ohm (2009), os formadores de políticas não podem simplesmente ignorar a possibilidade da reidentificação de dados e informações, por conta da promulgação de leis e regulamentações ao longo de décadas, enquanto acreditavam na robustez da anonimização. É necessário reexaminar cada lei e regulamento de privacidade para verificar se os resultados da reidentificação têm frustrado o seu desenvolvimento original. As modernas leis de privacidade

tendem a agir preventivamente, para forçar o fluxo de tipos particulares de informações a fim de reduzir riscos de danos previsíveis. A fim de forçar, mas não cortar valiosas transferências de informações, os legisladores têm confiado na robustez da anonimização para a entrega do melhor de dois mundos: os benefícios do fluxo das informações e fortes garantias de privacidade.

Cavoukian e El Emam (2011) alertam que tem sido sugerido que, a um leve risco de reidentificação, seria prudente reexaminar as leis de privacidade com a visão de incluir a desidentificação entre os tipos de informação que deve ser protegida. A aplicação de legislação para a preservação da privacidade em informações desidentificadas pode parecer como o próximo passo lógico para o problema de reidentificação. Entretanto, isto não seria uma solução ideal e o resultado teria consequências não esperadas há outros meios, mais diretos para o gerenciamento do risco de reidentificação. Uma consequência não esperada da aplicação de leis de privacidade para a desidentificação da informação pode ser que reduzisse o incentivo ao uso dessa técnica. Ainda, caso as informações desidentificadas estiverem sujeitas a regulamentações que requeiram o consentimento do indivíduo ao qual a informação está associada haveria menos incentivos e mais restrições para o uso desse tipo de informação. Desse modo, numa pesquisa de banco de dados sobre saúde, o tamanho da população representada nos dados pode ser tão grande para obter consentimento de cada um ou muitos pacientes podem ter sido realocados ou terem morrido, tornando difícil ou impossível a obtenção de consentimento.

Os autores indicam que a legislação sobre privacidade geralmente permite a coleção, uso e divulgação de dados pessoais de saúde para propósitos secundários como pesquisa, sob determinadas circunstâncias e trata a informação que não se relacione com um indivíduo identificável como fora do escopo da legislação. A alegação de que os dados pessoais desidentificados não tem valor e não protegem a privacidade devido à facilidade de reidentificação é um mito.

De acordo com a Privacy International (2015c), a privacidade é qualificada como um direito humano fundamental. O direito à privacidade é articulado em todos os principais instrumentos internacionais de direitos humanos, incluindo:

Declaração de Direitos Humanos das Nações Unidas, de 1948, Artigo 12 (UNITED NATIONS, 1948):

Ninguém deverá ser submetido a interferências arbitrárias na sua vida privada, família, domicílio ou correspondência, nem ataques à sua honra e reputação. Contra tais intromissões Pacto Internacional sobre os Direitos Civis e Políticos, de 1966, Artigo 17 (UNITED NATIONS, 1966):

ém estará sujeito a interferências arbitrárias ou ilegais na sua vida privada, família, domicílio ou correspondência, nem de ofensas ilegais à sua honra e reputação.

Mais de 130 países têm dispositivos constitucionais que reconhecem a preservação da privacidade em cada região do mundo. O direito à privacidade é também incluído em outros dispositivos publicados por organismos internacionais, dos quais listamos alguns no Quadro 4: Quadro 4 Principais Dispositivos Internacionais de Proteção à Privacidade

Dispositivo Organismo

Responsável

Ano de

publicação Artigo(s) Convenção Internacional sobre a

Proteção dos Direitos de Todos os Trabalhadores Migrantes e dos Membros das suas Famílias

Organização das Nações Unidas

1990 14

Convenção sobre os Direitos da Criança

Organização das Nações Unidas

1989 16

Carta Africana sobre os Direitos e Bem-Estar da Criança

Comissão da União Africana

1999 10

Declaração dos Princípios da Liberdade de Expressão na África

Comissão Africana de Direitos Humanos e do Povo

2002 4

Convenção Americana de Direitos Humanos

Organização dos Estados Americanos

1969 11

Declaração Americana dos Direitos e Deveres do Homem

Organização dos Estados Americanos

1948 5

Carta Árabe dos Direitos Humanos Liga dos Estados Árabes

2004 16 e 21 Fonte: Privacy International (2015c)

Quando o tema se refere ao direito à proteção de dados pessoais, a Privacy International (2015c) lembra que esse direito pode ser inferido a partir do direito genérico da privacidade, alguns instrumentos internacionais também estipulam, mais especificamente, o direito à proteção dos dados, incluindo:

a) Diretrizes sobre Proteção da Privacidade e Fluxos Transfronteiras de Dados Pessoais da OECD;

b) Convenção do Conselho Europeu para a Proteção dos Indivíduos a Respeito do Processamento Automático de Dados Pessoais;

c) Diretivas da União Europeia e suas regulamentações e Carta dos Direitos Fundamentais da União Europeia;

d) Estrutura de Privacidade da Asia-Pacific Economic Cooperation (APEC).

Mais de 100 países tem algum dispositivo legal ou regulamentar de preservação da privacidade de dados. Entretanto, é muito comum que a supervisão seja implementada sem o reconhecimento dessas proteções.

4.2. MODELOS DE PROTEÇÃO E PRIVACIDADE DE DADOS