Vazamento de dados: o que minha startup tem a ver com isso?
Artigo atualizado em 13 de abril de 2021
Este artigo foi escrito por Rubens de Almeida, engenheiro e jornalista, dedicado a temas urbanos e organização de dados sobre mapas digitais e fundador do grupo de estudos GisBI de Big Data e Geotecnologias e Eduardo de Rezende Francisco, mentor do Distrito, professor de Data Science e GeoAnalytics da FGV EAESP, pesquisador do FGV Analytics e fundador do grupo de estudos GisBI de Big Data e Geotecnologias.
Nos últimos tempos, o vazamento de dados sobre os brasileiros é manchete sempre que ocorre e torna-se assunto em inúmeros veículos de imprensa, inclusive em telejornais, principalmente após a entrada em vigor da LGPD (Lei Geral de Proteção de Dados Pessoais). O alerta sobre esse tipo de ocorrência ganhou status de furo jornalístico, mas o que a imprensa e a população não sabem (ou esquecem de anotar) é que esse tipo de vazamento de informações ocorre há muito mais tempo – e com muito mais frequência – do que supõem. Constitui um fenômeno social razoavelmente comum e não necessariamente se torna um problema.
Se a gente lembrar bem, os dados de contato (endereço e telefone) “vazam” desde os tempos das listas telefônicas, aquelas brochuras enormes pesadas, no formato de uma revista, com uma lombada de 10 ou 15 cm, letra pequenininha e distribuição gratuita “aos assinantes”. Nelas, nossos pais e avós procuravam a partir do nome ou endereço qual era o telefone de qualquer pessoa ou empresa. Todas as cidades tinham o seu guia de assinantes ou endereços e, inclusive, sua publicação era uma atribuição da empresa concessionária da telefonia local.
Então o vazamento de dados das pessoas não é importante? Claro que é. Mais do que isso: é um problema gravíssimo. E o surgimento das leis de proteção da privacidade em todo o mundo é fenômeno importante, se considerarmos que a digitalização da sociedade impõe o tráfego de dados por redes de computadores, espalhando-se em velocidade vertiginosa caso o usuário de uma loja virtual, uma rede social ou mesmo um site de conteúdos marque o “opt-in” na hora que ingenuamente realiza um cadastro. Seja para receber mais informações ou eventualmente autorizar a consulta às suas características pessoais para alcançar algum benefício ou diversão em sua navegação pela internet.
Ocorre que apesar da boa legislação recente, há uma grande confusão sobre o controle de dados privados no Brasil na cabeça dos brasileiros e, principalmente, das autoridades e até do Ministério Público, órgão responsável pelas investigações em caso de vazamentos.
Primeiro é preciso diferenciar e entender que há níveis de privacidade a serem respeitados e que para empresas (pessoas jurídicas) não se aplica a mesma legislação das pessoas físicas. Para pessoas jurídicas, não há privacidade. Não faz sentido esconder telefones, endereços físicos, atividades ou mesmo e-mails de contato de empresas que atuam em seus mercados e, supostamente, o fazem exatamente para serem encontradas e assim venderem seus produtos e serviços. Mas pessoa jurídica não navega pela internet.
Como a atividade empresarial é uma concessão do Estado, os dados do negócio são públicos e interessam às autoridades para acompanhar o pagamento dos impostos e até mesmo para serem levados em conta em atividades de planejamento. Ao abrir uma empresa, simbolicamente um novo empresário “avisa” a sociedade que exercerá determinada atividade naquele lugar específico. Em algum lugar dos arquivos das repartições públicas há documentos que registram a intenção de um sujeito prestar um serviço, fabricar alguma coisa ou explorar, preparar e transformar coisas da natureza em produtos de consumo. Mais ainda, esse “aviso” ocorre através de publicação em algum diário oficial em nosso país – municipal, estadual ou mesmo federal – em que constam nome, razão social, CNPJ, atividades econômicas da empresa e endereço da matriz e eventuais filiais. Tudo de caráter público.
O Estado tem mecanismos de acompanhamento das atividade e empreendimentos na sociedade para poder prever, por exemplo, aumentos na oferta de energia, reforço na infraestrutura das cidades, na capacidade de atendimento nas escolas e na saúde, construção de estradas para o transporte e assim por diante.
Muitos desses dados são importantes, também, para que a própria sociedade ganhe maior dinamismo e efetividade na evolução dos negócios. Poderiam e deveriam ser utilizados, desde que anonimizados, por exemplo, para que as empresas possam acompanhar a evolução de seus mercados, para que as jovens fintechs e socialtechs analisem seus riscos operacionais junto à clientela e seriam matéria-prima fundamental para que startups dos mais variados tipos desenvolvam ideias de serviços convenientes à população e possam propor mecanismos de inteligência em seus mercados, até há pouco impossíveis de serem até imaginados. Você já imaginou se o endereço de entrega do cliente de uma logística de refeições não pudesse ser coletado e guardado para as próximas entregas?
Há questões mais estruturais, como o acompanhamento dos empregos gerados por cada atividade empresarial e o impacto desses dados sobre os potenciais de vendas de produtos e serviços em uma região. Tais informações são registradas e comunicadas aos órgãos competentes anualmente (RAIS) e suas variações mensalmente (CAGED). A RAIS registra o nome, idade, valor do salário, o pagamento do abono de férias e muito mais. Esses dados não são públicos e não poderiam, em tese, ser disponibilizados com a identificação das pessoas e seus empregos.
Mas há técnicos do governo e entidades sociais que têm acesso a eles para fazer análises importantíssimas, exatamente para apoiar a visão de como a sociedade está se organizando, se há maior ou menor movimentação econômica aqui ou ali. Os dados do CAGED são públicos, mas apenas resumem de forma agregada os números de admissões e demissões registradas no período, em cada uma das tipologias de negócios, o que ajuda a revisão de planos e a identificação de novas oportunidades.
As empresas nacionais nem imaginam que essas análises de dados sejam possíveis. O poder público também é, na maioria dos casos, apenas guardião das informações sobre a sociedade e poucas ainda são as iniciativas das startups que conseguem romper com o conservadorismo que tomou conta do imaginário do uso de dados pelos negócios.
Existem exemplos tristes e trágicos. Já na pandemia, um grupo de estudiosos e pesquisadores propôs usar os dados de deslocamento dos aparelhos de telefonia celular – absolutamente anonimizados – para calcular um índice de respeito ao isolamento social. Pois bem, esses pesquisadores hoje respondem a mais de 20 processos movidos pelo Ministério Público que viu nessa ação a possibilidade de monitoramento de pessoas! Uma leitura viesada, mal informada e preconceituosa das possibilidades do uso dos dados disponíveis na rede.
Afinal, queiram as autoridades ou não, esses dados circulam e são capturados por outros sistemas, vinculados a empresas globais, que fazem esse monitoramento e até disponibilizam sets de dados para eventuais novos usos e produtos de informação. Concedemos ao sistema operacional de nosso celular, à operadora e às empresas controladoras das redes sociais um arsenal de informações individuais sobre nós em troca da nossa “existência social digital”.
Mesmo antes de todo o aparato tecnológico hoje existente, o vazamento desses dados depende muito mais do comportamento e confiabilidade do agente social que manipula essas informações, que sempre ficam à disposição de personagens que muitas vezes não tinham o pudor de despersonalizá-las e vende-las como “leads” de consumidores.
O que mais escandaliza alguns jornalistas e seus leitores/espectadores, porém, é quando o “vazamento” se refere a dados de pessoas (milhões de CPFs), em tese, protegidos pela LGPD. Para quem trabalha com dados, como desenvolvedores de software mais experientes, as denúncias parecem ingênuas. E debocham: “há CDs sendo vendidos na Rua Santa Ifigênia com todos os Impostos de Renda PF do Brasil”!
Geralmente, essas informações sobre pessoas disponibilizadas nas ruas de São Paulo (Santa Ifigênia é o grande exemplo paulistano) e certamente de outras capitais são de “coletas” de anos anteriores estão também na deep web. E as origens podem ser muitas, até mesmo de órgãos públicos ou sistemas de aprovação de crédito que têm a função de acompanhar a vida econômica da população. Exatamente quem deveria cuidar de garantir o sigilo.
Os mais experientes do mercado, porém, lembram-se muito bem de uma espécie de manifesto hacker dos anos 90, um vídeo tosco com cenas dos videogames da época onde os personagens avisam: “all your bases are belong to us” (em tradução livre, “todos os seus dados estão conosco”, seguidos de uma sequência de imagens significativas com essa frase expostas em faixas e fachadas do mundo todo.
O fato é que todos os nossos dados são hoje coletados e armazenados em sistemas das mais diversas origens e funções e são conservados em grandes bancos de dados hoje potencializados pelas tecnologias e facilidades do conceito tecnológico de big data. Seja em uma compra online, na encomenda de um restaurante, na chamada de um aplicativo de transporte, ao declarar nossos impostos, ao responder ao telemarketing, ao se movimentar com um celular e em muitas outras atividades que realizamos com o nosso aparelhinho de bolso.
Sem falar das redes sociais que marcam seus usuários – caso eles permitam – com as preferências, comentários, sites mais visitados, buscas efetuadas e fazem o cruzamento de informações que às vezes nos assustam quando recebemos uma oferta na tela do computador ou do smartphone, exatamente do que estávamos comentando há pouco com um amigo.
Ou seja, hoje em dia “all your bases already belong to us”. Em tradução livre novamente, “todos os seus dados já estão conosco”. Não há escapatória. Há que se ter inteligência e o necessário pudor e respeito em seu eventual uso.
A LGPD foi um passo importante. Um pouco exagerado e nem sempre efetivo – criou uma espécie de ojeriza pelos perigos das novas tecnologias, sem dar mecanismos de controle imediato – mas talvez esteja na medida certa para despertar a população para o problema. Nos próximos anos, teremos que discutir e legislar muito mais sobre o tema. Mas não deveríamos mais nos concentrarmos em tentar controlar a captura de dados. Essa batalha já foi perdida. O tema terá que ser a definição de melhores critérios de uso e mecanismos de denúncia, controle, restrições e reações imediatas aos abusos.
E isso vale inclusive no contexto de governos e aparelhos de estado. Que é onde moram os maiores perigos do controle, manipulação e uso inadequado de nossos dados e que podem colocar em risco grave a sobrevivência da democracia.
Por isso, o posicionamento para as startups deve ser o de agregar valor a esse status quo já estabelecido e não o de combatê-lo. Ou seja, buscar rapidamente responder: como faço para criar ou ajustar minha solução em um contexto em que os dados realmente deixam rastro?
Em suma: Digital users, all your bases already belong to us. Startups, be aware of this and adapt your solution now!!