SEMINÁRIO DE PROTEÇÃO À PRIVACIDADE E AOS DADOS PESSOAIS – Dia 02

O segundo dia do Seminário de Proteção à Privacidade e aos Dados Pessoais foi marcado por debates sobre desinformação e segurança da informação. Confira os highlights do dia 02!

Keynote 2 – O poder e o impacto do ecossistema da (des)informação na privacidade

A segunda palestra do 11º Seminário foi proferida por Claire Wardle, co-fundadora e líder da First Draft, ONG focada em desinformação, e moderada por Bia Barbosa, representante do terceiro setor no CGI.br. O tema do Keynote foi o impacto da desinformação na privacidade e teve como pano de fundo uma contextualização, feita pela moderadora, sobre a desinformação em períodos eleitorais e o PL 2630/2020 (‘’PL das Fake News’’), que carrega problemas como a rastreabilidade em massa de metadados. A pergunta norteadora foi: como combater a desinformação sem comprometer a privacidade?

A professora iniciou sua exposição com algumas definições, como mis-information (quando as pessoas erram sem intenção), dis-information (criação intencional de conteúdo falso) e mal-information (vazamento de informações, conteúdo usado contra alguém). A desinformação, nesse sentido, reuniria duas características: a falsidade da informação e a intenção de prejudicar. Dentro da categoria desinformação, também destacou diferentes tipos, como sátira/paródia; conteúdo falso (como gráficos fora de contexto); contexto falso (visualização correta, mas com contexto incorreto); conteúdo impostor (utilização falsa de marcas de organizações, por ex); conteúdo manipulado (photoshop, ex); conteúdo fabricado (totalmente inventado). O problema sobre as definições, entretanto, é que muitas vezes a realidade não se encaixa nelas. Há, por exemplo, uma preocupação com ‘’átomos de conteúdo’’, que não necessariamente violam políticas de plataformas, mas que podem ser igualmente prejudiciais. 

Em termos de regulação, a palestra destaca iniciativas da União Europeia, da Alemanha e Singapura (e estas com preocupações para a privacidade) e do próprio Brasil, ressaltando a problemática da previsão de rastreabilidade como uma falta de entendimento dos reguladores sobre como a própria tecnologia funciona e como a desinformação funciona (já que ainda é muito difícil ‘’prever’’ o que pode viralizar). 

Diante do relativo fracasso regulatório, a pesquisadora afirmou que, para responder questões sobre escala e impacto, é necessário, em primeiro lugar, chegar a métodos mais inovadores de pesquisa e novas formas de coleta de dados, na medida em que há escassez de dados para realizar pesquisas mais aprofundadas sobre um fenômeno tão complexo. Além disso, aponta que é preciso educar e conscientizar legisladores e profissionais sobre a complexidade do ecossistema de informação, assim como fazer parcerias com usuários e comunidades para construir maior resiliência. 

Encaminhando-se para a finalização do Keynote, Wardle pontuou que i) é essencial reconhecer a necessidade de espaços fechados de troca de informação e mensagens; ii) também é essencial entender que o discurso sempre encontrará um espaço para habitar e que os indivíduos e grupos inovam na busca por espaços mais livres e seguros para suas comunicações; iii) é preciso focar nas narrativas e não apenas nos pedaços de conteúdo isolados; iv) deve-e focar em ‘’táticas e técnicas’’ sobre atores, comportamentos e conteúdos; v) é importante entender que o público funciona em rede e, dessa forma, soluções ‘’top-down’’ dificilmente irão funcionar. Por fim, vi) a comunidade deve estar no centro de qualquer intervenção.

Algumas das questões do debate que se seguiu à apresentação foram as seguintes. Discutiu-se os papéis e responsabilidades das plataformas e redes sociais e da moderação de conteúdo e checagem de fatos, ao que a pesquisadora respondeu que acredita que as plataformas precisam ser reguladas, na medida em que são espaços análogos ao espaço público, que precisam ter um nível de accountability adequado. Sobre a questão da regulação como resposta, Wardle entende que ela é importante, mas deve ser aliada  à ação de todos os atores, de educadores, da sociedade civil. 

O Keynote completo pode ser assistido aqui. 

Painel 3 – Garantias de segurança para cumprimento da Lei Geral de Proteção de Dados

O terceiro painel do Seminário, primeiro do dia, contou com a participação de Carmina Hissa (Associação Brasileira de Segurança Cibernética), Cristine Hoepers (CERT.br|NIC.br), Elba Vieira (Consultora em Segurança da Informação, Tecnologia e Riscos) e Tiago Iahn (SERPRO), com moderação de Tanara Lauschner (CGI.br). O tema do painel foi a segurança da informação no contexto da LGPD. 

Carmina Hissa, a primeira a falar, buscou relacionar a segurança da informação e dos dados à trilha de adequação à LGPD, demonstrando a importância de um assessment para a identificação de riscos e vulnerabilidades e classificação de acordo com o nível de criticidade. A segurança, como previsão da LGPD, corresponde justamente a um ajuste das medidas necessárias para a proteção dos dados, tanto pelo controlador quanto pelo operador, segundo ela. Também ressaltou a diferença entre medidas técnicas de segurança, como criptografia e anonimização, e medidas administrativas, como controle de acesso, ambas exigidas pela LGPD, e a diferença entre políticas de privacidade e políticas de segurança da informação, concluindo com a necessidade de aliar a segurança da informação à proteção de dados pessoais. 

Na sequência, apresentou Cristine Hoepers, gerente do CERT.br. Ela partiu da premissa de que a própria LGPD assume que o tratamento de dados pessoais apresenta riscos e que ‘’nem sempre tudo dará certo’’, o que é evidenciado quantitativamente pela alta frequência da palavra ‘’incidente’’ na lei. Em seguida, enumerou alguns exemplos de vulnerabilidades, como projetos que não respeitam privacy by design, defeitos de software, falhas de configuração, uso inadequado pelos próprios usuários, acidentes, interferência de governos ou criminosos, etc, todos elementos que formam o risco da atividade. Para lidar com o risco, apontou três alternativas: aceitá-lo, ou não fazer nada a respeito, transferi-lo, o que ocorre com os seguros e que não é possível na proteção de dados pessoais e, por fim, minimizá-lo, o que é considerado por Hoepers como a única real opção. Destaca, justamente, que a palavra é minimizar, pois eliminar o risco não é possível, e uma gestão eficiente de riscos é aquela que reduz danos. Por fim, relembrou que a resiliência de uma organização depende do seu nível de maturidade e consciência em relação à importância da segurança da informação, inclusive pelos seus executivos. 

Elba Vieira trouxe alguns dados sobre o que chamou de ‘’data explosion’’, ressaltando que o próprio volume de dados traz maiores riscos, algo reconhecido pelo Fórum Econômico Mundial, que em 2018 elencava ciberataques dentre os 5 maiores riscos ao planeta. Ainda sobre o risco cibernético, resgatou a ISO 27001, que une os elementos probabilidade de uma ameaça explorar determinadas vulnerabilidades e impacto causado sobre a organização. Como iniciativas de destaque, além das normas ISO, mencionou a recém aprovada Estratégia Nacional de Segurança Cibernética brasileira, que traz um conjunto de diretrizes para organizações de diferentes dimensões, sendo a dimensão um fator importante para o apetite de risco de uma empresa ou entidade. Como conclusões de sua fala, afirmou a importância da criação de uma cultura de Segurança da Informação, com a conscientização de todos os níveis de gestão e execução, além da proteção de infraestruturas críticas e garantia de privacidade desde a concepção e por padrão. 

Por fim, falou Tiago Iahn, da Serpro, que focou em casos concretos de vazamentos de dados, citando exemplos como Equifax, MyHeritage, Uber, Yahoo a fim de salientar a frequência dos incidentes, independente do tamanho da empresa. A tônica da fala foi que incidentes são sempre uma possibilidade, e até prováveis, de forma que a qualidade e velocidade da resposta é o que são o fator crítico de sucesso e constituem um bom tratamento de incidentes, que pode, inclusive, reverter em benefícios econômicos para as corporações. Acerca da LGPD, afirmou que não acredita que ela tenha mudado o que já se sabia acerca da segurança da informação, mas que é importante para promover melhorias em processos em andamento e implementação de novos controles.

No momento aberto ao debate, foram discutidos pontos como monetização de influenciadores digitais, impacto da implementação do IPv6, governança de dados e dificuldades de implementação da LGPD para micro e pequenas empresas.

O painel completo pode ser conferido aqui. 

Painel 4 – Propostas de combate à desinformação e seus impactos na privacidade

O último painel do segundo dia do Seminário complementou as discussões abertas no Keynote de Claire Wardle, já que tratou da desinformação e como as propostas para combatê-la podem impactar a privacidade. Os participantes foram George Lodder (MPF), Marcos Dantas (Professor Titular da UFRJ), Paulo Rená (Instituto Beta: Internet & Democracia), Rebeca Garcia (Facebook), com a moderação de Nathalia Foditsch, da Web Foundation. A discussão foi quase exclusivamente focada no PL 2630/2020, o chamado ‘’PL das Fake News’’.

Inicialmente, o prof. Marcos Dantas apresentou uma preocupação, que considera não ser tão presente nos debates sobre o PL: a criação do Conselho de Transparência. Segundo ele, é necessária uma regulação forte das plataformas, que se tornaram essenciais na vida das pessoas, sem que haja quase nenhum controle sobre elas. O Conselho, entretanto, não possui poder regulatório ou sancionatório, mas apenas de aconselhamento, o que, segundo o professor, o próprio CGI.br já faz, com mais experiência e respaldo técnico. Sobre uma pergunta do público, a respeito da suposta disparidade entre a velocidade da tecnologia e a velocidade da regulação, discordou, afirmando que as tecnologias das plataformas estão mais ou menos estabelecidas, sendo seus incrementos, daqui para a frente, mais formais do que estruturais. Reafirmou, portanto, a necessidade de regulação. 

Rebeca Garcia, public policy do Facebook, ressaltou se tratar de um tema muito complexo, que não pode receber respostas apressadas e simplistas. Sobre o Projeto de Lei, afirmou que, apesar de alguns compromissos firmados ao longo da rápida tramitação, o texto aprovado no Senado ainda apresenta graves riscos à privacidade, dos quais destaca dois: a rastreabilidade em massa criada pelo art. 10 do projeto, que, segundo ela, não encontra paralelo no mundo e que traz implicações, inclusive, para a presunção de inocência e para a própria arquitetura das aplicações, e a obrigatoriedade, em alguns casos, de verificação de identidade. Afirmou, também, que a criptografia de ponta a ponta é reconhecida como um instrumento para a garantia de direitos fundamentais e que determinadas iniciativas não levam em consideração esse aspecto. Além disso, opinou que não houve um esforço de diagnóstico prévio na elaboração do PL.

George Lodder, do MPF, relativizou a questão da rastreabilidade e da criptografia ponta a ponta ao trazer a perspectiva dos órgãos de persecução criminal, afirmando que eles precisam de dados para atuar e que, ao mesmo tempo em que a criptografia garante a liberdade e privacidade do cidadão, ela também ‘’protege’’ traficantes e terroristas. Passou por iniciativas internacionais que buscam flexibilizar tal proteção e afirmou que, em sua opinião, as empresas dificilmente conseguirão resistir a tamanha pressão por muito tempo. Acerca de pseudônimos, destacou que a posição do MPF é que eles podem servir para a proteção de indivíduos e para o desenvolvimento de sua personalidade, desde que não sejam utilizados para fins ilícitos. 

Por fim, Paulo Rená, representante do Instituto Beta, discordou de Lodder sobre a suposta falta de dados para a persecução penal. Afirmou que se trata de uma questão mais ampla de dificuldades na persecução, que envolve questões técnicas e políticas. Falando da rastreabilidade do art. 10, em conexão com a discussão mais ampla sobre criptografia, afirmou que não é possível criar uma ‘’falha’’ para ser explorada apenas com boas e lícitas intenções e que se trata, na realidade, de uma vulnerabilidade imposta pela lei, que poderia gerar problemas, inclusive, a nível internacional. Afirmou, também, que o Projeto de Lei foi construído tendo como alvo plataformas específicas e que, por esse motivo, ele busca atacar os problemas engessando práticas que sequer são compartilhadas por outros atores. Por fim, discordou de Marcos Dantas sobre o CGI.br como um espaço adequado para as discussões de transparência e desinformação.

Sobre os temas debatidos na sessão, a Associação Data Privacy Brasil de Pesquisa se engajou fortemente no debate público, com enfoque na questão da rastreabilidade de metadados, e criou uma página com todo o conteúdo desenvolvido sobre a temática. Destaca-se, também, a nota técnica elaborada sobre o PL, que teve aspectos incorporados ao texto alternativo proposto pelo Deputado Orlando Silva (PCdoB/SP). 

Por Bruna Santos, Helena Secaf, Jaqueline Pigatto, Mariana Rielli e Thaís Aguiar