Artigo

Privacidade: luxo, direito básico ou nova economia?

Ricardo Costa faz uma "provocação" sobre privacidade de dados e LGPD de uma maneira que, segundo ele, pode parecer inusitada para alguns. O autor é gestor de centro de dados e mestre em administração de negócios

Ilustração com 3 pessoas e um robô montando um quebra cabeça de quatro peças

 

13/12/2019

Uma breve consulta na internet e encontraremos milhares de textos sobre privacidade. Alguns a citam como um novo artigo de luxo, ou uma futura nova exclusão social. Outros pregam o contrário, ou seja, que a privacidade se torne um direito básico universal. Contextualizarei o problema que enxergo. Não há necessidade de muita discussão filosófica ou ideológica. Uma análise breve e simples do cotidiano pode nos proporcionar hipóteses interessantes e provocar inúmeros insights.

Me sinto seguro em afirmar que você possui dispositivos como um smartphone e smart TV, além de cartões de crédito e conta bancária, e sensores em sua residência para medir consumo de energia, água e gás. Através de tudo isso há a geração de dados, que são coletados pelos fabricantes de hardware ou software dos dispositivos. Esses dados são processados, criando inteligência para as empresas e consequentemente mais faturamento ou menos despesas.

Qual a sensação que você tem? Que todos parecem ganhar dinheiro com seus dados, exceto você. Aí sim, imediatamente você se torna preocupado com sua privacidade. Note que o gatilho não foi em si o fato de alguém coletar seus dados. O que disparou o modo de defesa — no caso "proteger minha privacidade" — foi a sensação de não ter ganho nada (ou muito pouco) com isso.

A conveniência e os benefícios do mundo digital estão diretamente ligados ao quanto de privacidade se está disposto a conceder. É por meio dessa concessão que você curte receber recomendações de conteúdo no seu Netflix, ou promoções de restaurantes pelo cartão, ofertas de investimentos e alertas de trânsito. Ninguém te obriga a ter cartões de crédito, nem smartphone ou smart TV. Você tem isso porque quer, porque se rendeu a um desejo, e transformou esse desejo em uma necessidade da qual não quer abrir mão. O pedágio para isso é a concessão da sua privacidade para alguém. Simples assim.

É claro que há um truque aí. Nunca ficou claro (talvez não esteja ainda) como, onde, por quem e para que seus dados são usados. Um caso famoso que se alimentou dessa área cinzenta foi o da Cambridge Analytica com o Facebook. O curioso é que muitos dos surpresos e indignados com o caso foram os mesmos que concediam ao Facebook parte de sua privacidade para uma aplicação desconhecida, apenas para mostrar aos amigos que personagem da Disney eles seriam ou para publicar um GIF com filhotes de gatos. Vai entender!

É difícil delinear a fronteira entre a ingenuidade e a desinformação nesse tipo de atitude. O fato é que, a meu ver, novamente a indignação não vem da preocupação com a privacidade em si, mas da sensação de ser a parte que ganha menos ao conceder a privacidade.

Não é novidade para ninguém que os reguladores vêm trabalhando em regras para essa relação, como o caso da europeia GDPR, a brasileira LGPD, e na já não tão nova HIPAA dos EUA. As multas, aliás, são pesadíssimas. Se haverá como aplicá-las e fiscalizá-las no mundo real, isso rende outra discussão. Vamos assumir que sim por enquanto.

Ilustração Tais regulamentações visam um conjunto de regras sobre privacidade, e punições no caso de não conformidade. Isso parece alimentar a necessidade humana de um ente protetor, mas não resolve a decisão generalizada pela conveniência em detrimento da privacidade. O protegido — irracionalmente — se torna cúmplice do crime cometido contra si mesmo.

Não acredito que a privacidade será um direito universal gratuito. Nem sei dizer se já foi um dia. Daí, pergunto: estaríamos honestamente dispostos a abrir mão de toda a conveniência e benefícios, para protegermos nossa privacidade? Me arrisco a dizer que não.

Não encontrei dados do Brasil, mas um infográfico da MBA@UNC publicado no Visual Capitalist (em inglês) dá exemplos que sustentam as minhas percepções. Vou destacar alguns pontos que poderiam não ser notados nas entrelinhas:

  • Apenas 11% dos entrevistados pagariam 1 dólar, para sites de notícias, para manter a privacidade de seus dados.
  • Nessa mesma entrevista, 69% dos entrevistados não aceitariam 1 dólar de desconto em troca de ter seus dados monitorados.
  • 85% comprariam itens de lojas que oferecessem produtos conforme suas necessidades e desejos específicos, e 81% comprariam novamente dessas lojas caso enviassem ofertas com base em sua localização.

Me pergunto: se a enorme maioria acha benéfico ter ofertas personalizadas, como isso seria possível sem conceder parte de sua privacidade? Poucos pagariam para ter privacidade, e a maioria não aceitaria um pequeno desconto para abrir seus dados. Isso me lembra um caso de jogo assimétrico como o jogo do ultimato.

Para tornar a análise um pouco mais curiosa, os entrevistados que aceitariam pagar por privacidade somente o fariam se soubessem que ainda são detentores dos dados. Caso seus dados já estivessem espalhados por aí, não pagariam para prevenir seu uso. Aceitariam a derrota, por assim dizer.

A meu ver, privacidade já é um artigo de luxo, apesar de muitos torcerem o nariz ao ouvirem isso. Você paga com seu dinheiro ou com seu isolamento. A escolha é sua. Quem tem dinheiro para pagar por isso suporta a escolha, pois tem capital e talvez não valorize ou precise, por exemplo, dos possíveis descontos e ofertas oriundos da concessão de parte de sua privacidade.

Os que não podem pagar por isso somente mantêm sua privacidade com o isolamento. Ou seja, os que dependem de ofertas e benefícios pela pouca capacidade de capital gastarão mais. Talvez esse seja um preço ainda mais caro, e que poucos poderão assumir. Ou seja, no final do dia, ter privacidade já é um luxo.

IlustraçãoQuem sabe aqui não exista uma terceira via? Talvez uma espécie de contrato de concessão, ou seja, quem gerou o dado vende ou aluga para empresas mediante um conjunto de termos e condições. Esse contrato não precisaria (e não deveria) conflitar com uma GDPR, HIPPA ou LGPD.

Essas regulamentações seriam a base das penalidades críveis, necessárias em um jogo não-cooperativo, no qual cada parte pode defender seus interesses individuais, mas não pode ser recompensada por quebrar o equilíbrio, uma vez ele atingido.

Exemplificando

Me permita esclarecer o parágrafo anterior com situações de entendimento mais fácil. Pense em um jogo envolvendo plano de saúde, hospital e paciente. O hospital quer empurrar para o paciente o máximo de serviços para poder cobrar o máximo do plano de saúde. O plano de saúde quer pagar o mínimo ao hospital, aprovar o mínimo de serviços ao paciente, e cobrar dele o máximo. O paciente quer o máximo de serviços do hospital, mas quer pagar o mínimo ao plano de saúde. Se já não te parece complexo, pense em mais um ator: os criminosos.

De acordo com uma reportagem da Consumer Reports, uma fraude médica (usando dados roubados do paciente) custa em torno de US$ 13.500 e mais de 200 horas para saná-la. Concorda comigo que isso é um baita custo, que não interessa a ninguém, e que muito provavelmente os pacientes é que pagam o prejuízo em algum momento? Portanto, uma forma de pensarmos no equilíbrio é essa:

  • O paciente se beneficia concedendo parte da privacidade de seus dados médicos para enriquecer a prevenção de fraudes do plano de saúde, finalmente evitando que seus preciosos dados sejam espalhados por aí sem controle e tornando-se irrecuperáveis.
  •  O plano de saúde se beneficia ao usar os dados do paciente para melhorar os mecanismos de controle — prevenindo ou mitigando a fraude o quanto antes; em consequência, diminuindo o atrito de sua relação financeira com os hospitais.
  •  O hospital se beneficia ao aprimorar os protocolos médicos, retornando mais valor ao paciente e diminuindo o risco de glosas pelo plano de saúde.
  • O ciclo se completa com paciente pagando menos pelo plano de saúde, e tendo do hospital os serviços realmente necessários para resolver seu problema de saúde.


É óbvio que ganharão de forma desigual. O ponto-chave aqui é que todos ganhem. A seguinte situação é meramente ilustrativa, e os valores são figurativos. A conta pode não bater no detalhe, mas me preocupei mais com a lógica do arranjo: imagine que um paciente aceite receber US$ 100,00 por um dado pessoal sobre sua saúde. Hoje, ele não ganha nada, e ainda tem riscos de sofrer com chantagem ou de ter seu nome atrelado a um contrabando de medicamentos controlados. Fora isso, é um dos principais prejudicados com o custo da saúde, que inclui abusos e fraudes no sistema.

Se uma análise de risco ou de prevenção de fraudes precisasse de uns 10.000 registros médicos pessoais, e cada um custasse US$ 100,00, o custo de coleta seria de US$ 1 milhão. Esse valor é alto, mas mais baixo que o custo por incidente de US$ 13.500 (conforme artigo já mencionado) – sem contar as multas pesadas previstas na LGPD (ou GDPR no caso europeu); e isso impactaria o plano de saúde, o hospital e a todos nós em algum momento.

Pensando assim, o custo poderia ser dividido — em alguma proporção — entre hospitais e planos de saúde. Nenhum dos dois arcaria com a totalidade da compra de dados, e os usuários poderiam receber cada um US$ 100,00 mais US$ 0,50, por exemplo. para cada vez que seu dado fosse utilizado para nova análise de fraudes.

Mesmo parecendo pouco para o paciente, note que se ele perseguir apenas seu interesse de forma unilateral, causando um desequilíbrio no jogo, não ganhará nada: apenas continua perdendo com as consequências do arranjo. Mesmo parecendo muito para os hospitais e planos de saúde, note que, se eles perseguirem apenas seus interesses de forma unilateral, causam um desequilíbrio no jogo. Poderão economizar de um lado, mas gastIlustraçãoarão muito mais no caso de fraude (incluindo as multas previstas em leis e regulamentações).

A mesma relação poderia ser avaliada entre bancos, correntistas e comércio. O mesmo modelo poderia ser aplicado a seguradoras, motoristas e bancos. Há uma infinidade de relações que poderiam ser equilibradas, trazendo benefícios mútuos às partes, mesmo com ganhos desiguais à primeira vista, mas que seriam melhores para cada um, se comparado ao não-equilíbrio.

Via tecnologias como blockchain, em modelo permissionado, todas as atividades desse contrato de concessão seriam documentadas de forma auditável, imutável e sem necessidade de confiarmos em uma única entidade centralizadora. Isso incluiria as transações iniciais (como pagamento pela concessão do dado pelo usuário), e também pagamentos pela recorrência de seu uso (como US$0,50 a cada vez que o dado do usuário fosse usado em uma nova análise).

O arranjo paga automaticamente o que é devido a cada um, por meio de contratos inteligentes (smart contracts), pois seria indesejável (e arriscado) depender de uma entidade específica para fiscalizar todo o movimento e controlar a remuneração.

Ainda nesse mesmo arranjo, esse dado poderia inclusive ser monetizado pelo plano de saúde e hospitais com outras organizações para aliviar o custo de aquisição, "alugando" o dado — por assim dizer — mediante autorização do dono do dado (usuário), deixando clara a explicação sobre seu uso e por quem (note a conformidade com a LGPD aqui), gerando uma renda adicional ao paciente (exemplo: US$ 25,00 por cada "aluguel" do seu dado).

Note que não necessariamente todo esse comércio de dados implica em dar nome ao dono do dado. Essa identidade poderia ser preservada através de técnicas de pseudonimização ou anomimização, novamente nos lembrando como a conformidade com a LGPD ou o GDPR não deveria ser encarada como bloqueio para a inovação. Aliás, acho que a conformidade é potencializadora.

Claro que podemos mergulhar ainda mais nas possibilidades boas e ruins desses exemplos. Podemos imaginar novos negócios surgindo, como também possíveis novos abusos. Quando se fala do que não existe, nos expomos à incerteza e à ambiguidade. O mais importante aqui é a provocação.

Privacidade já é um luxo. Não aceitamos abrir mão das conveniências. Estamos insistindo em um conceito quebrado. Não se trata de esquecer a privacidade ou torná-la sagrada a ponto de nos isolar: a questão é aprendermos a ganhar com esse jogo.

É formado e pós-graduado em Administração de Empresas pela Fundação Getúlio Vargas (FGV), e mestre em Administração de Negócios pela The University of Manchester. Cursa, no momento, uma pós-graduação em Artificial Intelligence and Machine Learning pela University of Texas at Austin. Possui 25 anos de experiência em Tecnologia da Informação, tendo passado por posições técnicas, comerciais e de gestão. Atualmente, trabalha como datacenter partner manager na Dell EMC, no Rio de Janeiro.

Também quer colaborar?
A expectativa deste portal, colaborativo e dinâmico, é integrar opiniões divergentes e convergentes sobre a LGPD, desafios e conquistas da lei. É um ambiente aberto ao debate plural e com a vocação de serviço público: precisa da sociedade civil, governo, setor privado, academia e imprensa para crescer e alcançar o objetivo, comum a todos, de ajudar a zelar pela privacidade e proteção dos dados dos cidadãos do país. Se você também tem algum conteúdo recente - ou mesmo exclusivo - autoral ou autorizado relacionado à LGPD, e que seja de interesse público, clique aqui e veja como contribuir.

Serpro LGPD
Serpro e LGPD:
segurança e inovação