Minimização de dados: a chave para mitigar danos à privacidade se aplica às IES

A Access Now é uma organização sem fins lucrativos que se propõe a defender e estender os direitos civis digitais das pessoas em todo o mundo. Em 2020, o instituto possuía pessoas jurídicas na Bélgica, Costa Rica, Tunísia e Estados Unidos, mas sua equipe distribui atividades em todas as regiões do mundo. Importante salientar que seus principais financiadores incluem o Facebook, a Global Affairs Canada, o Ministério das Relações Exteriores da Holanda e a Agência Sueca de Cooperação para o Desenvolvimento Internacional.


Ela foi fundada em 2009, após a eleição presidencial iraniana daquele mesmo ano, e durante os protestos que se seguiram a esta eleição desempenhou um papel importante na informação do que ocorria no Irã. A empresa fez campanha contra o fechamento da internet, contra a censura online e contra a vigilância governamental. Apoiou o uso de criptografia e leis e regulamentos de segurança cibernética limitados.


Todos os anos a Access Now realiza uma conferência com ativistas e partes interessadas de todo o mundo para discutir a interseção entre direitos humanos e digitalização por representantes do governo, gigantes da tecnologia, legisladores, ONGs e ativistas independentes, sendo que as discussões giram em torno de discurso de ódio e liberdade de expressão, inteligência artificial, privacidade e segurança de dados, governo aberto e democracia, acesso e outros.


Anualmente também produz um relatório fruto de pesquisa com metodologia previamente definida, o que lhe permite, por exemplo, detectar uma interrupção intencional da Internet ou das comunicações eletrônicas em alguma parte do mundo, demonstrando atividade objetiva governamental que ataca uma população específica ou dentro de um local determinado, muitas vezes para exercer controle sobre o fluxo de informações.


A organização também oferece aconselhamento para vítimas de crimes cibernéticos, como ataques cibernéticos, campanhas de spyware, roubo de dados e outros atos ilícitos digitais por meio de sua linha de apoio destinada a proteger os cidadãos de ataques digitais.


Em suas próprias palavras, o Access Now é “uma força para o bem na era digital”.



Por que precisamos de minimização de dados como medidas de proteção


É corriqueiro que as empresas e entidades online tenham permissão para coletar dados sobre quaisquer pessoas e os utilizem para os propósitos que desejam, desde que sejam transparentes sobre essas práticas. Essas condutas, porém, podem causar danos aos titulares de direitos, incluindo discriminação. O novo relatório produzido pela Access Now demonstra algumas maneiras de combater os abusos, limitando a quantidade de informações que as entidades coletam online.


Pois bem: o princípio da minimização de dados diz respeito ao fato de as empresas deverem coletar tão somente os dados necessários para fornecer seu produto ou serviço e nada mais. Ou seja, devem solicitar e tratar apenas os dados adequados, pertinentes e limitados ao que é exigido pelas finalidades que determinam o tratamento.


Infelizmente, não é isso que acontece normalmente, pois a mineração de dados se tornou bastante comum à medida que o armazenamento se tornou mais barato. Tem sido corriqueira a prática das organizações coletarem mais dados do que precisam e o potencial de causar danos reais às pessoas aumenta consequentemente.


A regra é simples: dados não coletados não podem ser usados para prejudicar as pessoas e a norma de não coleta precisa ser definida por legisladores, além de estar bem incutida, como medida de prevenção, na mentalidade dos desenvolvedores de software e outros envolvidos em políticas de minimização de dados.


No relatório confeccionado pela Access Now são mencionados outros princípios de privacidade que incluem: retenção limitada de dados e limitação de propósito com os quais a minimização está interconectada, pois os dados devem servir a um propósito imediato e necessário; caso contrário, as organizações não devem mais retê-los.


De acordo com o relatório, geralmente as organizações não levam a sério a minimização. Elas coletam e retém dados sem proteger a privacidade individual. O documento aponta um estudo europeu em que 72% das empresas que coletaram dados não os utilizaram. Outra pesquisa global mostrou que 55% de todos as informações coletadas são "obscuras", isto é: não usadas para qualquer propósito após a coleta. O raciocínio é simples: as empresas querem tantos dados quanto possível para monetizar – fazendo a publicidade comportamental, por exemplo -, rastrear pessoas ou fazer outro uso no futuro, inclusive treinar modelos de aprendizado de máquina e até vender informações. Não é nenhum segredo que dados se tornaram uma mercadoria.


Por curiosidade, vamos replicar a informação do relatório de que, em 2013, os pesquisadores estudaram 100 aplicativos e descobriram que 56 deles, incluindo o conhecido "Angry Birds" coletava informação de geolocalização de forma indevida. Não é raro baixarmos aplicativos que sub-repticiamente acessam nossos calendários, localização e até configurações de câmera. Mais recentemente o mesmo ocorreu com o “Pokémon GO”, que não conseguiu minimizar seus dados. Conceder acesso à localização e à câmera era necessário, mas o usuário terminava por conceder acesso a contas do Google que permitiam ao Pokémon GO acessar fotos, calendário, e-mail e outros

documentos.


Leia mais:


O que se sabe sobre o grande vazamento de dados de janeiro de 2021


A minimização de dados é uma questão de direitos humanos


É importante que as IES prezem pela minimização de dados, pois a privacidade é um direito humano, assim como a minimização de dados o é. E o impacto mais importante neste sentido é a redução de danos: os dados que não são coletados não podem causar danos às pessoas. Quanto mais dados as IES coletarem, maior será o potencial de danos reais para as pessoas. Reduzindo a quantidade dos dados coletados, reduz-se a possibilidade da má utilização.


Mais a mais, de acordo com o relatório, as pessoas não querem que as organizações colham grandes quantidades de dados a seu respeito, pois não sabem ao certo como serão utilizados e sentem que os riscos que enfrentam superam os benefícios.


O dano causado por violações de dados, hackers ou acesso não autorizado de dados dentro de uma organização – que pode ser uma instituição de ensino, é claro - é simplesmente grande demais para justificar a coleta de mais dados do que o necessário para fornecer um produto ou serviço. E as empresas têm a responsabilidade de proteger e bem gerenciar os dados que processam. Reduzir a quantidade de dados que coletam ao estrito necessário é uma das melhores formas de evitar a violação à privacidade e os consequentes danos.


O que o relatório da Access Now indica é que as entidades auditem com frequência seus sistemas para garantir que estão limitando os dados que coletam. A minimização de dados não impede, por exemplo, a coleta de dados específicos sobre grupos determinados onde exista um objetivo de abordar suas próprias práticas discriminatórias e mitigar ou eliminar os danos ou para beneficiar certas populações sub-representadas.


Neste ponto entra a exceção na minimização de dados para "fins de publicidade, marketing ou entrega de oportunidades econômicas para populações sub-representadas de maneira justa, não enganosa, não predatória e legítima”. Neste caso, há um objetivo maior, especialmente dentro de uma instituição de ensino, que é dar tratamento isonômico às partes, ou seja, tratar igualmente os iguais e desigualmente os desiguais, na exata medida de suas desigualdades.


De olho nestas exceções, as instituições de ensino podem auditar seus sistemas quanto aos vieses, mas ainda estão sujeitas à minimização de dados: uma vez que os dados nas classes protegidas são coletados e armazenados, eles não devem ser usados para nenhum outro uso e devem ser estritamente protegidos contra acesso não autorizado, divulgação não autorizada e outras violações de proteção.


Leia mais:


A proteção de dados como direito fundamental: uma decisão do STF


O tratamento de dados de crianças e adolescentes



Publicidade comportamental


O relatório relembra que a publicidade comportamental é o modelo de negócios online dominante, geralmente definindo um anúncio para o indivíduo com base em seu comportamento anterior. Essa segmentação envolve o rastreamento de pessoas e suas atividades online, na maioria das vezes seu histórico de navegação na web, uso de aplicativos e/ou outros atributos como preferências, comportamento e até histórico de localização.


Hoje em dia muitas pessoas criticam o modelo de negócios de publicidade comportamental por muitos motivos, inclusive por ser invasivo, assustador e poder aumentar os riscos de discriminação. À medida que crescem as críticas, crescem os movimentos para bani-lo.


E, no caso, a publicidade comportamental apresenta um problema para a minimização de dados. É complicado minimizar dados quando dados são usados exatamente para alimentar esse sistema. Se a publicidade comportamental é a principal fonte de receita de uma empresa, ela vai ter em conta que precisa de todos e quaisquer dados sobre seus usuários para garantir que forneça os anúncios mais relevantes. Para os pesquisadores do Access Now, essas mesmas organizações raramente exploram se o processamento de dados diferente e menos intrusivo podem cumprir seus objetivos.


As recomendações do relatório da Access Now


Mesmo que não existam proibições à publicidade comportamental, devem existir, no mínimo, limites para os dados recolhidos para este efeito.


Por exemplo, dados específicos para o propósito, bem como as informações que deles foram deduzidas, devem ser excluídos após 30 dias, sob risco de se errar o alvo da publicidade ou incomodar o destinatário. As pessoas têm menos probabilidade de se envolver com anúncios que consideram assustadores, diz o relatório, o que é uma informação bem razoável. Essas limitações não eliminam os riscos de danos, mas os reduzem potencialmente.