A indústria dos dados pessoais, os data brokers e a LGPD. Reflexões sobre os riscos da atuação de tais agentes no mercado de dados pessoais.
Dado a relevância da reflexão, o Blog Minuto da Segurança reproduz aqui um texto muito bem escrito por Ana Frazão publicado no Site Jota em março deste ano. Convido a todos os leitores que nos acompanham a ler e refletir sobre as considerações de Ana Frazão.
“Em um instigante relatório de 2014, Data Brokers: A Call for Transparency and Accountability, a Federal Trade Comission norte-americana teve a oportunidade de fazer um mapeamento da indústria de dados e do papel dos data brokers, empresas que coletam informações pessoais dos consumidores e as revendem ou compartilham com outras.
Ocupando um papel importante na data driven economy, tais empresas, ao contrário das plataformas digitais, geralmente nunca interagem com os consumidores, os quais, exatamente por esse motivo, muitas vezes nem sabem da sua existência e muito menos da variedade de práticas por elas adotadas. Daí por que a finalidade do relatório foi, a partir do mapeamento das práticas de nove data brokers, entender como a indústria efetivamente funciona.
Em uma apertada síntese, as principais conclusões do estudo são:
(i) os data brokers coletam informações sobre os consumidores de diversas e numerosas fontes comerciais, governamentais e públicas (incluindo nesta última mídias sociais, blogs e internet);
(ii) os data brokers não usam apenas os dados crus (raw data) mas também os chamados dados derivados, que são as inferências já realizadas a partir dos dados crus;
(iii) os data brokers combinam dados obtidos online e off-line para atingirem os consumidores online;
(iv) as principais utilizações comerciais dos dados são marketing, serviços de mitigação de riscos e serviços de busca de pessoas;
(v) parte expressiva da coleta de dados ocorre sem o conhecimento dos consumidores;
(vi) a indústria dos dados é complexa, com muitas camadas de data brokers que oferecem e trocam dados uns com os outros, sendo frequente o intercâmbio e a compra e venda de informações entre eles;
(vii) os data brokers coletam e armazenam bilhões de dados que, na época da pesquisa, já cobriam praticamente todos os consumidores norte-americanos2;
(viii) qualquer que seja a metodologia utilizada, os data brokers coletam mais informações do que usam;
(ix) uma das maiores aplicações dos dados é o desenvolvimento de modelos complexos para predizer o comportamento dos consumidores e para extrair inferências potencialmente sensíveis a respeito deles;
(x) apesar dos benefícios da atividade de tratamento de dados, muitos dos propósitos pelos quais os data brokers coletam e usam dados apresentam riscos para os consumidores;
(xi) as escolhas que os data brokers oferecem aos consumidores sobre os seus dados são amplamente invisíveis e incompletas, com grande ausência de transparência.
Apesar de alguns anos já terem se passado desde a pesquisa, há muitas evidências de que as práticas da indústria de dados continuam e ainda se intensificaram, mesmo alicerçadas em um ativo – os dados pessoais – que não pertence aos data brokers, mas tem sido utilizado como se assim fosse e – o que é pior – sem qualquer transparência ou accountability.
Em relação aos data brokers, é interessante notar que não se cogita nem mesmo das justificativas dos benefícios e vantagens que, de forma “gratuita” ou acessível, são disponibilizados aos usuários. Com efeito, tal tipo de argumento se restringe a agentes que interagem diretamente com os usuários, como as plataformas digitais e, mesmo em relação a elas, apresentam diversas fragilidades.
Não obstante, o mercado de dados vem crescendo a partir da difusão de visões como a de que o modelo de negócios ou é justo, porque os usuários receberiam contrapartidas adequadas pelos seus dados, ou é mesmo necessário, uma vez que haveria um verdadeiro trade off entre inovação e privacidade, de forma que a violação desta última seria o preço a pagar ou o mal necessário para o progresso tecnológico e os novos serviços que daí decorrem.
O excesso de otimismo das próprias pessoas em relação a muitos dos modelos de negócios da economia digital e os benefícios diretos que eles lhes proporcionam, aliado às próprias dificuldades de compreensão dos seus efetivos impactos, são também fatores que criam ônus adicionais para os reguladores que, premidos entre a assimetria informacional e os benefícios das inovações, muitas vezes não sabem o que fazer para conter esse processo e proteger minimamente os cidadãos. É esse o cenário que possibilitou que vários desses negócios evoluíssem em um ambiente no qual o suposto vácuo regulatório foi conveniente para os principais agentes da indústria.
Todavia, o modelo de negócios dos data brokers apresenta incompatibilidades gritantes com o GDPR europeu e a LGPD brasileira, a começar pelo fato de não obedecer ao princípio da finalidade específica do tratamento de dados nem à necessidade do consentimento livre, informado e específico do titular de dados.
Consequentemente, muito precisará ser feito para que os data brokers possam se ajustar às novas exigências legais e sobretudo para endereçar os efeitos nocivos de todo um passado no qual tais agentes econômicos puderam operar de forma irrestrita.”
Por: ANA FRAZÃO – Sócia do Gustavo Tepedino Advogados. Professora de Direito Civil e Comercial da UnB. Ex-Conselheira do CADE, publicado no site Jota
Veja também:
- CrowdStrike aterriza no Brasil com o melhor Next Generation AV do mercado!
- CrowdStrike expande presença internacional para atender à crescente demanda do cliente
- As 10 melhores ferramentas de verificação de vulnerabilidades para testes de penetração – 2019
- Vulnerabilidade do Bluetooth permite que invasores espionem conexões criptografadas
- Vulnerabilidade no Tesla permite hackers clonarem chave em 2 segundos
- Vulnerabilidades do Cisco UCS permitem controle completo dos sistemas
- VPNs da Pulse Secure e Fortinet, sem correções, são alvos de Hackers
- Cuidado! E-mails fakes podem danificar seu pc
- Relatório NETSCOUT mostra frequência de ataques e principais alvos dos criminosos cibernéticos
- Imperva notifica clientes de WAF de vazamento de chaves de APIs e SSL
- Evolução dos Mobiles Malwares
- Vulnerabilidade de Execução Remota de Código no Webmin
- Falha no Kaspersky expõe usuários a rastreamento de Cross-Site durante 4 anos
- Vulnerabilidade permite DoS no Servidor IIS Microsoft
Deixe sua opinião!