(Dados sensíveis são difíceis de compreender? Parece que sim).
“Até pouco tempo era inimaginável pensar nas aplicações e a interação que a internet teria em nosso dia-a-dia, ao mesmo tempo em que podemos imaginar que isso continuará em ritmo acelerado e de incremento, tendo em vista a velocidade em que novas tecnologias são desenvolvidas para a comunicação com as pessoas”
Milton Monti, relator da LGPD
Olá!
Clique aqui para ver mais itens desta série…
De novo eu com as minhas reuniões. A última foi para
discutir os dados pessoais de funcionários* que são armazenados em bancos para
fornecer aos mais diferentes sistemas. Calma, este é um espaço da filosofia, e
não da informática, mas é preciso falar um pouco desta área para dar contexto,
já que é meu ganha-pão. A grande questão são os dados. Processamento de dados
era o nome do curso que eu fiz no técnico, ainda na já distante década de 80.
Eles são o alimento dos computadores, que, sem eles, servem como peso de papel.
Como o próprio papel físico tende a ser extinto por essas maravilhosas (???)
maquininhas, é mais fácil que estes se tornem peso de computadores, e dados e
mais dados serão processados por esse mundo afora, incluindo as nuvens. Mas
dados dizem coisas, e dizer coisas pode ser um tanto perigoso. Certos dados são
coisas genéricas, que não representam dor de cabeça substancial para seu
portador, e a manutenção deles pode ser, digamos, um pouco menos rigorosa. Já
outros dados representam encrenca se divulgados, especialmente nesse nosso
mundão tão cheio de gatunos, loucos e à espreita para faturar em cima dos
incautos. O caso aqui é que, se é verdade que todo dia saem de casa um malandro
e um mané, também é verdade que seu encontro não pode se dar nas ruas virtuais
da instituição em que trabalho. Por isso, fazemos reuniões e mais reuniões.
Como diria um peru à porta do forno, até aí, tudo bem. A
questão é que percebemos, com frequência, que nós, os paladinos da segurança da
informação, nem sempre sabemos para onde ir, nem temos muita noção da
matéria-prima com a qual lidamos. E isso não é bom, nada bom.
A pauta específica dessa última reunião era “dados sensíveis”.
Uma lei razoavelmente recente, conhecida como LGPD - Lei Geral de Proteção de
Dados, versou sobre o tema, exigindo guarida mais robusta a esses dados, de
modo a não só evitar, mas antever possibilidades de sua exposição indevida.
A questão foi que começamos a discutir sobre esses dados de
uma maneira que, para o time de analistas, ficaria muito mais difícil de
extrair dados, porque não bastava mudar a forma de proteger, mas mudar nomes de
campos e método de criptografia, o que fazia com que todas as aplicações
precisassem ser modificadas. O problema era o ridículo prazo para fazer tudo
isso, e aí a chapa esquentou. O consenso foi a gradatividade: primeiro vamos
trabalhar os dados sensíveis, depois partiremos para as questões menos problemáticas.
Beleza. Então vamos pegar a lista de dados sensíveis, coisa pouca para o
começo: matrícula, CPF, RG e título de eleitor.
A reunião foi seguindo em tensão pela urgência, mas em
aparente consenso sobre os dados sensíveis, quando entrou um colega atrasado,
mas que mudou o rumo da prosa. “Dados sensíveis? Quem disse que esses são dados
sensíveis?”, disse o gajo retardatário. O clima pesou de vez, mas o tardio
colega tinha razão - a lei não considera nada disso como dados sensíveis. Em
meio ao furdunço, procura daqui, interpreta dali, chama o jurídico de acolá, eu
tomei aquela atitude que me é característica nesses momentos: alheei e
filosofei. Pode não ser um assunto que seja tão remetido diretamente à própria
filosofia, mas onde a coruja de minerva não enfia seu nariz?
Se há dúvida e falsos consensos entre pessoas que deveriam
conhecer a lei de cabo a rabo, quanto mais não deve ocorrer com as pessoas que
vivem seu dia-a-dia com a cabeça voltada para outras atividades completamente
distintas? Por esse motivo, ainda que de um ângulo mais filosófico, achei por
bem fazer um serviço de utilidade pública e tentar falar sobre o que são e o
que não são os dados sensíveis.
O que são dados sensíveis?
São dados que tem o potencial de distinguir uma pessoa com
relação a aspectos que podem colocá-la em alguma situação de discriminação,
embaraço, mau uso ou qualquer outra situação que a destaque de um conjunto
maior de dados sob um prisma que fira a intimidade. São dados sobre gênero,
religião, filiação política e sindical, raça e etnia, dados de saúde, genéticos
e biométricos, que constroem informações bastante complexas sobre uma
individualidade.
Vamos devagar. O que são dados e o que são informações?
Dados são uma espécie de átomo informativo. Quando você olha
uma ficha de cadastro, há diversos campinhos que, isolados, não dizem nada. Por
exemplo, se eu vejo o dado 1,77, não sei dizer do que se trata. Pode ser o
preço de uma bala, uma fração de um objeto ou uma medida. Se há um rótulo
escrito “altura”, então já sei a o que esse dado se refere, e agora temos uma
informação. Ou seja, os dados são os elementos fundamentais da informação, e
informação é o sentido construído dos dados.
E por que isso é um problema?
Vou dar alguns exemplos que são autoexplicativos. Como
sabido, o Brasil viveu diversos períodos em regime de exceção, quando os
militares exerceram o poder central. Sendo um momento particularmente instável
socialmente, a manutenção do controle se dava por toda e qualquer informação
que pudesse ser obtida, inclusive de alcaguetes. Ter o registro de
sindicalizações ou filiações partidárias eram indicativos de que o cidadão em
questão era ativo politicamente, e isso ao menos o candidatava a ser
monitorado.
Tá, isso eu entendi. Mas e os outros dados?
Mais um exemplo: há situações condicionantes para a
contratação de funcionários que nada tem a ver com a capacidade de desempenho
do candidato. Quem nunca ouviu falar de alguém que não foi contratado em razão
de sua religião, que atire a primeira pedra. Por isso, os dados que podem
submeter uma pessoa a preconceitos são também considerados sensíveis.
E CPF, RG, título de eleitor e etc? São dados que podem
dar acesso a aspectos financeiros, fiscais, bancários e etc. Eles também não
são sensíveis?
Não. Uma informação dessas te individualiza como pessoa, mas
não traz nenhum elemento que te situe como pertencente a um grupo específico,
nem informa nenhuma de suas preferências ou visões de mundo. Como se diz por
aí, somos apenas números, como um CPF, por exemplo, que vai te identificar como
contribuinte**, e nada mais. Os dados pessoais também precisam ser protegidos,
não se preocupe com isso. Só não são sensíveis, ao menos na concepção da lei.
Mas nunca um dado desse gênero pode ser utilizado? Como
ficam as estatísticas necessárias para as políticas públicas e direcionamentos
empresariais?
É uma parte chata para nós, aqueles da TI, mas é a única
solução possível para estes casos: anonimização. Que diabos é isso? É tornar um
dado disponível sem que seja possível discernir a quem pertence. Sabe quando
você está recuperando uma senha e aparece uma validação de documento do tipo
“310.***.***-68? Isso é facilmente identificável como sendo um CPF, sem que, no
entanto, seja possível decifrar a quem pertence. Esse é um modelo de dado
anonimizado.
Por que o conceito de dados sensíveis apareceu?
Não gostamos que nossos dados pessoais fiquem disponíveis
por aí, porque sabemos que podemos ter problemas de fraudes e golpes, mas não
negamos esses números aos nossos empregadores, por exemplo, que são partes
legítimas para exigi-los. Já os dados sensíveis são informações da intimidade.
Um empregador não pode exigir dados de sua religiosidade ou de sua sexualidade.
Se, por ventura e por sua livre decisão, este os possuir, não pode fazer usos
diversos de seu propósito devidamente autorizado ou que redundem em riscos para
o livre exercício de direitos.
Por que a confusão?
Provavelmente porque o conceito é razoavelmente novo. O
mundo girou e, de uns anos para cá, muitas coisas que nem pensávamos passaram a
ser levadas em conta nas relações humanas. Eu lembro que, quando garoto, fazer
e sofrer bullying era a coisa mais normal do mundo, e ajudava a criar casca,
como se dizia à época. Hoje em dia o fenômeno explica como boa parte da repulsa
pela escola se dá, para citar um exemplo. São coisas que não dependem de
dinheiro do governo investido. Só que eu e meus coetâneos temos dificuldades em
entender por que as coisas mudaram, e acabamos por dar mais importância a dados
que potencialmente firam nossos bolsos do que nossas mentes.
Essa história tem origem nas demandas da esquerda?
A primeira impressão que se tem é vinda dos estereótipos,
especialmente por conta das questões de gênero, já que basta se tocar no
assunto para gerar um rebuliço. Não deveria ser assim, já que são demandas que
versam sobre liberdade, e a palavra liberal compartilha o mesmo radical.
Independentemente disso, o fato concreto é que a LGPD foi aprovada pelo governo
Temer e emendada pelo governo Bolsonaro, que não são exatamente nomes de
esquerda.
Não é muita frescurinha então?
Sempre é possível pensar em um ir e voltar de uma mola, onde
o estado inicial de tensão leva a uma resposta tão intensa que sobrepuja o
estado de repouso, ou seja, de estabilidade. Mas o fato é que nunca aparece uma
placa proibindo de subir no abacateiro sem que alguém tenha tentado pegar um
abacate (e se arrebentado, provavelmente). Se foi criada uma lei nesse sentido,
devemos tentar compreender onde a sociedade estava errando, especialmente
nesses tempos acelerados de internet.
Isso significa que a questão só aconteceu recentemente?
Não. Já há muito tempo que há uso indevido de dados. Mas a
questão tomou proporções titânicas com o advento das comunicações digitais. Eu
lembro dos anos 2000, com o famoso CD da Telefônica, suposto catálogo contendo
uma pilha de dados dos usuários de telefone de São Paulo. Como há o monopólio
da telefonia no Brasil, isso significa que quem possuísse telefone instalado,
tinha seus dados nessa lista. Sendo assim, há um longo caminho que vem sendo
traçado para se chegar ao ponto da necessidade da criação de uma lei.
E resolve?
Este é o cerne de toda a discussão. Eu costumo dizer que
toda lei que determina comportamentos é sinal do fracasso de uma sociedade. As
pessoas falam muito de moral e bons costumes, mas sua aplicação já é bem mais
rara. Um lugar onde as pessoas já têm por costume ceder lugar no ônibus para os
velhinhos não tem necessidade de uma lei que determine o ato. O centro ético de
uma nação é a maneira como as pessoas se respeitam mutuamente, e é essa relação
que diz o quanto as engrenagens sociais podem ser menos ou mais engessadas. Não
seria necessária uma lei para informar que dados sensíveis deveriam ser
tratados com um mínimo de cuidado, mas, já que não se tem esse cuidado, então a
lei se torna de rigor. Pior ainda: não seria necessária a lei se não se fizesse
mau uso desses dados, mas o fato é que se faz, e muito. O problema são as
exceções legítimas, que ficam difíceis por força da lei. Resolver envolve
fiscalização competente e meios coercitivos eficientes, que não dão em árvores
no Brasil.
Só para deixar relatado, meu regresso ao planetinha azul,
ainda no momento da reunião, deu-se com o arrefecimento dos ânimos, de modo a
me deixar um pouco perdido com as conclusões (precisei ler a ata depois), mas confiante
de que seria bom trazer um pouco destes esclarecimentos à luz. Não sou
advogado, mas me meto a tentar entender o mundo, e partilhar isso com vocês.
Bons ventos a todos!
Recomendação de leitura:
Vai para a própria LGPD. É importante que conheçamos
minimamente as nossas leis para que saibamos dos nossos direitos e deveres.
Sendo uma lei nova, provocou certo estrépito, mas com o tempo a vitalidade da
novidade vai arrefecendo e podemos acabar esquecendo das proteções que ela dá.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei
Geral de Proteção de Dados (LGPD). Brasília, DF: Diário Oficial da União, 2018.
Disponível em [https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm].
Acesso em 02.10.2024.
* Desde uns bons anos para cá, existe a tendência de se
chamar os funcionários de colaboradores, de parceiros ou até mesmo de
stakeholders, para dar maior noção da importância dos mesmos em uma
organização. Puta mentira, essa é a real. O funcionário, salvo honorabilíssimas
exceções, continua no mesmo lugar onde sempre esteve. Portanto, sou funcionário
e continuarei a usar o termo que melhor me define: ter uma função remunerada
dentro de uma entidade.
** Tá, também dá uma ideia do estado em que foi feito o
cadastro, mas vocês entenderam o sentido.
Nenhum comentário:
Postar um comentário