De DPO para DPO: como tratar dados de forma ética em data science

Daniela Hansson, DPO com experiência internacional, traz sugestões para quem é ou será encarregado de dados e que, por isso, deve ajudar a organização a analisar e usar informações de forma adequada

Compartilhar:

3Hoje trago a Lei Geral de Proteção de Dados Pessoais sob a ótica de um assunto específico, requisitado com muita frequência em minhas palestras: as questões sobre ética e privacidade em ciência de dados. Com empresas cada vez mais investindo em seus departamentos de CDO (Chief Data Office) e muitas já em estágio avançado de Programas de Compliance Regulatório, os tópicos sobre o enquadramento legal — principalmente no que tange ao legítimo interesse — desses processos têm chamado atenção, bem como o debate sobre o próprio uso de dados pessoais em analytics tem sido notícia frequentemente. Cito aqui o artigo recente “Dados e democracia, o que está em jogo?”, no qual Danilo Doneda e Eduardo Magrani resgatam, e por boas razões, um pouco desta preocupação no exemplo do tratamento de dados pessoais por partidos políticos.

Seria improvável também citar este tema sem relembrar o escândalo do Cambridge Analytica, um incidente que abalou não só a empresa em si, mas todo o setor na qual ela se insere. Trazendo esse fato para a realidade das leis de proteção de dados pontuo duas observações importantes:

Ética no tratamento de dados é mais que uma “boa prática”: é essencial para o resultado final e a reputação da empresa no mercado. Não estamos falando somente do tratamento dos próprios dados pessoais, mas também da atenção como o mau uso de informações derivadas desses dados – inclusive metadados. Não é por acaso que o Programa de Privacidade e Proteção de Dados está intimamente ligado ao Compliance e ao Data Protection Officer (ou encarregado de dados, na LGPD) – tendo esse último, inclusive, muitas diretrizes do exercício de seu cargo espelhados na função de um CCO (Chief Compliance Officer).

 

Ética no tratamento de dados deve ir além da privacidade: a ética deve ser considerada e incluída em todas as sete etapas do ciclo de vida dos dados. Heather Krause, em seu artigo Are Ethics in Data Science really that important?, para o Case Experts, refere-se ao fato de que as publicações e os especialistas em dados tendem a se concentrar mais na privacidade porque, muitas vezes, é bem mais fácil abordar questões de privacidade do que lidar com aspectos da incorporação da ética na cadeia de uso das informações no negócio.

 

“Um DPO que não entenda a visão estratégica do tratamento de dados pessoais, dentro de seu ambiente de trabalho, se torna um risco ético e de negócio para a empresa”

O que fazer?

O debate sobre o assunto está só começando, as considerações são extensas e, até o momento, estão abertas a diversas interpretações. Mas se tratando da Lei Geral de Proteção de Dados Pessoais, o que devemos e podemos já fazer? Em primeiro lugar, voltar aos pontos mais básicos da lei, que remetem diretamente a respeitar o direito de privacidade. Comecemos com a própria segurança da informação:

 

Trate os dados pessoais, metadados e informações derivadas em ambientes seguros. A questão da segurança da informação é tão crítica que é impossível não reconhecer como vazamentos de dados causam tanto caos. Só neste ano corrente dados secretos e sigilosos de, literalmente, centenas de milhões de pessoas foram violados e expostos, depois reunidos em várias listas colocadas na dark web para venda.

 

O uso ilegal e malicioso de dados pessoais é uma tendência assustadora no mundo do crime virtual e não mostra nenhum sinal de desaceleração num futuro próximo. Assim sendo, a questão de segurança destes dados não é apenas uma questão legal, mas também ética. Há muitas recuperações desses estragos que se tornam um pesadelo. Chamo particularmente a atenção aqui dos colegas Data Protection Officers: a segurança da informação continua a cargo dos CISOS (Chief Information Security Officer ou diretor de segurança da informação), porém nós temos sim a obrigação ética de entender — e muito — sobre o assunto, principalmente sobre as consequências de um breach. Não esqueçam que a LGPD tira a segurança da informação do patamar de ‘boas práticas’ e a remete diretamente à nossa mesa como uma obrigação legal.

 

Elevem o debate: a encriptação de dados é essencial para a segurança das informações, mas essa encriptação realmente respeita a privacidade? Quem não se lembra do artigo que ainda abala a discussão: Machine Learning Models that Remember Too Much, no qual foi feita a seguinte pergunta: “What If I train a classifier, and then throw the data, can the classifier leak the data trained?”2. A vigência da LGPD, a qual já bate nas portas, é um momento propício para resgatar questionamentos como esse.

 

Entendam o valor deste ativo não só como valor interno de negócio, mas como uma arma de inteligência competitiva. Desde 2018, a expressão data weaponization se tornou constante nas mesas de discussões estratégicas de empresas americanas europeias.

 

Quando Tim Cook , CEO da Apple, levou o assunto ao 40th International Conference of Data Protection and Privacy Commissioners e deixou claro o fato de que os dados pessoais dos clientes estavam sendo “utilizados com eficiência militar” pelas empresas (tanto para aumentar o lucro como para atacar concorrentes com técnicas de data starvation e de fakenews, com as quais conclusões errôneas podem ser atingidas através de um dataset contaminado), ele não estava usando uma expressão literária apenas. Existe uma indústria ativa de experts em inteligência competitiva atuando nisso. Vale um alerta: um DPO que não entenda a visão estratégica do tratamento de dados pessoais dentro de seu ambiente de trabalho se torna um risco ético e de negócio para a empresa.

 

Para concluir, é importante deixar a mensagem de que dados e análises são uma fonte de “poder e vantagem competitiva” no mundo dos negócios e, por associação, o uso deste ativo pode se tornar destrutivo, sedutor, esmagador ou extremamente benéfico. É indiscutível o fato de que empresas éticas usam os dados de formas extremamente benéficas, fazendo com que dados e análises permitam uma melhor tomada de decisão e aprendizado real sobre seus clientes, trazendo, assim, muitos benefícios de volta a esses titulares. O próprio mundo da Economia da Experiência nos atesta isso. As pessoas querem cada vez mais ser individualizadas, ter experiências próprias, únicas com as empresas as quais elas se relacionam, com os produtos que compram.

 

Mas é uma dança delicada… O verdadeiro poder dos dados e análises é a capacidade de apresentar fatos, números e verdades de pessoas reais e, como qualquer fonte desta magnitude, pode se tornar corrompível. Aos colegas DPOs: Como avaliar? Experiência e ética ainda são a melhor proteção.

 

Referências e recomendações de leitura

1 De forma resumida, data science ou ciência de dados é uma área interdisciplinar – que envolve tecnologia, matemática, estatística, ciência da informação, processos de negócio e mídias digitais – formada por um conjunto de métodos, práticas e sistemas científicos para extrair insights de volumes de dados e, assim, subsidiar atividades como a tomada de decisão, a gestão do conhecimento e a compreensão sobre fenômenos reais complexos.

2 Numa tradução livre, a expressão seria algo como: “E se eu treinar uma máquina para classificar informações, e depois lançar os dados a ela: será que essa máquina é capaz de vazar os dados aprendidos por ela?”

3 Data Science & Ethics in Government DATA SCIENCE IN GOVERNMENT: PROMISES AND PITFALLS Workshop Dr. Tracey P. Lauriault Critical Media and Big Data School of Journalism and Communication Carleton University, Ottawa, ON, Canada

4 Curso: Data Science Ethics – Michigan Online – University of Michigan

Por Daniela Hansson, DPO do Olé Consignado – Grupo Santander 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

TRE da Bahia protege sistemas com jornada Zero Trust

O Tribunal Regional Eleitoral adotou o modelo Zero Trust em parceria com a Cisco, implementando estratégias de MFA com...
Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo a TV Justiça, a Sociedade Esportiva Palmeiras, o Porto de Santos,...
Security Report | Destaques

Regulação da IA: Brasil deve seguir projeto próprio de governança?

Debate voltou aos holofotes com o questionamento se os países devem investir especificamente em regulações que levem em consideração a...
Security Report | Destaques

Ataque cibernético impacta serviços da Unimed 

Em nota, a cooperativa do Vale do Taquari e Rio Pardo afirmou que investiga o incidente cibernético ocorrido nesta terça-feira...