Livelihoods activities/constraints

Na constituição americana, a palavra privacidade nunca é mencionada. Entretanto, quatro emendas, a primeira, a quarta, a quinta e a nona, todas do Bill of Rights, são geralmente citadas para suportar o conceito do direito à privacidade. Quando se refere à privacidade, a quarta emenda indica que o direito do povo à inviolabilidade de suas pessoas, casas, papéis e efeitos, contra buscas e apreensões, não deve ser infringido (CRAIG; LUDLOFF, 2011).

Nos EUA, a iniciativa acerca do Big Data tem considerado os riscos de privacidade existentes e considera que é necessário atualizar as regras relativas a privacidade, aumentar a expertise técnica na proteção do consumidor e direitos civis para o tratamento que questões que estão surgindo a partir do fenômeno, como na transparência no modo como as companhias usam e negociam dados (HORVITZ; MULLIGAN, 2015). De acordo com o Fair Information Practice Principles, as fundações para a preservação da privacidade incluem o conceito de aviso/consciência e escolha/consentimento. Para satisfazer o princípio do aviso e consciência, o sujeito dos dados a partir dos quais os dados serão coletados deve estar consciente dos usos para os quais a sua informação pessoal será utilizada e para quem a sua informação pessoal será divulgada. O aviso é destinado a permitir que o sujeito dos dados faça uma escolha consciente sobre a coleta e o uso das informações pessoais e para o consentimento em relação àquela coleta e uso (NAVETTA, 2014).

Gaff, Sussman e Geetter (2014) apontam que os EUA, por meio do President´s Council of Advisors on Science and Technology (PCAST), tem discutido implicações em face da proliferação do uso do Big Data. Assim, alinha questões sobre a tecnologia e os desafios relativos à privacidade, no contexto do Big Data, com ênfase nos processos de coleta, armazenamento e aproveitamento dos benefícios gerados. Apesar de não dar respostas precisas, o PCAST aponta que a privacidade deve ser prioridade no âmbito do Big Data e dispõe quatro conclusões chave:

a) a encriptação não é a solução perfeita para a segurança no Big Data, mas poderia ser um componente valioso numa solução para privacidade abrangente;

b) seria possível criar vários perfis distintos de privacidade para consumidores, de acordo com as suas características individuais, que seriam selecionados para a distinção como os dados poderiam ser utilizados;

c) a anonimização e desidentificação tem relevância limitada por conta de que os dados podem ser vinculados uns aos outros e, assim, tendem a revelar atributos de identificação;

d) políticas para a exclusão ou não retenção de dados não são efetivos meios de preservação da privacidade individual.

Em complemento, o PCAST também fez cinco recomendações:

a) o foco não deve ser somente na coleta e análise de dados, mas sim em todas as fases que permeiam o Big Data;

b) para se evitar a obsolescência de políticas e regulamentos, devem ser formulados dispositivos mais abrangentes e para o resultado almejado, mas não considerar soluções tecnológicas particulares;

c) os EUA devem fortalecer a pesquisa relativa às tecnologias relacionadas à privacidade;

d) os EUA devem liderar a adoção de políticas que estimulem práticas protegendo as tecnologias de privacidade.

Nada obstante a análise de Beardsley et al (2014) no sentido de que não há lei federal nos EUA em relação à privacidade, Kirkpatrick (2015) assinala que os EUA possuem 47 leis sobre privacidade que obrigam as empresas a divulgar incidentes de violação de dados. Enquanto a notificação pode custar apenas alguns centavos por consumidor, as grandes empresas com milhões de clientes provavelmente gastaram milhões de dólares a cada ocorrência de violação, um custo que poderia ser coberto por políticas de segurança cibernética. Por sua vez, Narayanan e Shmatikov (2010) assinalam que, nos EUA, o Ato de Privacidade de 1974 regula a coleção de informações pessoais pelas agências governamentais, porém não há uma lei federal abrangente que regule as entidades privadas, mas alguns estados tem as suas próprias leis, tal como o Ato de Proteção à Privacidade On-line da Califórnia de 2003.

De acordo com a OECD (2010), o Departamento de Comércio dos EUA desenvolveu o Safe Harbor, estrutura legal de auto certificação, que permite organizações americanas a cumprir com a EC Data Protection Directive. Por conta dos propósitos, os princípios dessa

estrutura seguem rigorosamente aqueles delineados pela OECD. O Safe Harbor é uma das várias opções de transferência de dados transfronteiras para organizações nos EUA que conduzem negócios na União Europeia. Para uma organização empregar o Safe Harbor como um mecanismo de conformidade, a organização deve estar sujeita aos regramentos da FTC. O Safe Harbor é uma opção para a manipulação dos dados de consumidores, geralmente servindo como o ponto de partida para muitas organizações americanas na expansão de suas operações na União Europeia.

A Lei de Privacidade ou Privacy Act, de 1974, de acordo com o Departamento de Justiça dos Estados Unidos ou The United States Department of Justice (2015), estabelece um código de práticas de informação justas, que regulamenta a coleta, manutenção, utilização e divulgação de informações sobre indivíduos que são mantidos em sistemas de registros por agências federais norte americanas. Também exige que as agências federais façam aviso público de seus sistemas de registros mediante publicação no Federal Register. O dispositivo proíbe a divulgação de um registro sobre um indivíduo, a partir de um sistema de registros, sem o consentimento por escrito desse indivíduo. A lei também fornece meios de acesso pelos quais é possível que os indivíduos alterem os seus registros.

O Privacy Act sinaliza que a privacidade de um indivíduo é diretamente afetada pela coleta, manutenção, uso e disseminação de informações pessoais. Reconhece que o crescente uso de computadores e sofisticadas informações tecnológicas, enquanto essenciais à eficiência das operações do Governo, tem ampliado o dano à privacidade individual que pode ocorrer a partir da coleta, manutenção, uso ou disseminação de informações pessoais. As oportunidades para um indivíduo proteger o emprego, seguro e crédito e o seu direito a um processo justo e outras proteções legais estão em perigo pelo mau uso de determinados sistemas de informação. O documento assinala que o direito à privacidade é um direito pessoal e fundamental protegido pela Constituição dos EUA e, a fim de proteger a privacidade dos indivíduos identificados em sistemas de informação mantidos pelas agências federais, é necessário e apropriado que o Congresso regulamente a coleção, manutenção, uso e disseminação da informação pelas agências federais.

O seu propósito é prover salvaguardas para um indivíduo contra a invasão de privacidade na abordagem por agências federais, no sentido de:

a) permitir a um indivíduo determinar quais registros pertencentes a ele podem ser coletados, mantidos, utilizados ou disseminados por tais agências;

b) permitir que um indivíduo previna que registros pertencentes a ele obtidos por tais agências para um propósito particular sejam utilizados ou tornados disponíveis para outros propósitos sem o seu consentimento;

c) permitir que um indivíduo receba acesso às informações pertencentes a ele nos registros de agências federais, para ter cópia de toda ou qualquer porção delas e para corrigir ou emendar tais registros;

d) assegurar que, ao coletar, manter, usar ou disseminar qualquer registro de informações pessoais tal ação seja para fins necessários e legais, que a informação é atual e precisa para o uso intentado e que salvaguardas adequadas são disponibilizadas para prevenir o mau uso da informação;

e) dispensar autorização de cumprimento de exigências no tocante aos registros previstos no dispositivo legal apenas nos casos em que exista uma necessidade premente de políticas públicas para essa dispensa como determinado pela autoridade legal específica; e

f) que as agências federais podem estar sujeitas a ação civil por quaisquer danos que ocorram como o resultado de ação intencional ou deliberada com a violação de quaisquer direitos individuais sob a proteção daqueles dispositivos.

A FTC (2012) insta a indústria a acelerar o ritmo das suas medidas de auto- regulamentação para implementar um modelo de privacidade. Embora algumas empresas tenham excelentes práticas de privacidade e segurança de dados, a indústria como um todo deve aperfeiçoar esses mecanismos. A Comissão aponta os caminhos por meio da implementação de políticas em cinco ações principais, a seguir destacadas:

a) Do Not Track: a indústria tem feito progressos significativos na implementação do Do Not Track. Os fabricantes de navegadores têm desenvolvido ferramentas que os consumidores podem utilizar para sinalizar que não querem ser rastreados;

b) Mobile: a Comissão apela às empresas que fornecem serviços móveis para desenvolver melhorias na preservação da privacidade. Para este fim, a FTC iniciou um projeto para atualizar a sua orientação empresarial sobre divulgações de publicidade on-line;

c) Corretor de Dados (Data Brokers): para lidar com a falta de controle sobre corretores de dados que recolhem e utilizam a informação dos consumidores, a Comissão apoia o fornecimento de acesso aos consumidores às informações a seu respeito por um corretor de dados. Para aumentar ainda mais transparência, a Comissão estimula os

corretores de dados, que compilam dados para fins de marketing, a explorar a criação de um site centralizado onde seria possível identificar-se para os consumidores e descrever como os dados são coletados e utilizados; e detalhar os direitos de acesso e outras escolhas em relação aos dados dos consumidores mantidos pelos corretores; d) Fornecedores de serviços de TI: o monitoramento on-line as atividades dos consumidores, levanta questões de privacidade sobre os provedores de serviços de Internet, de sistemas operacionais, de navegadores e de mídias sociais.

e) Promoção de códigos de auto-regulamentação: facilitar o desenvolvimento de códigos de conduta específicos para o setor.