Como vencer o déficit de confiança na era digital: transparência, privacidade, segurança, especialmente com uso de dados sensíveis

Em 2019, um estudo global conduzido pelo Instituto Ipsos, em nome do Centro para Inovação em Governança Internacional (CIGI) e da organização Internet Society e da Conferência das Nações Unidas sobre Comércio e Desenvolvimento (UNCTAD), intitulado "O estado de privacidade do usuário e a confiança online" revelou que, apesar do incremento no consumo de serviços e produtos online, os níveis de confiança do usuário não são ainda suficientes para uma digitalização plena do mercado de consumo: 78% dos entrevistados declaram-se preocupados com a sua privacidade, dos quais 49% afirmaram que sua desconfiança os levou a revelar menos dados pessoais e 39% responderam utilizavam a internet de forma mais seletiva. A pesquisa foi realizada em 25 países, inclusive no Brasil.

Também nesse mesmo ano, o Pew Research Center fez um levantamento¹ entre cidadãos norte-americanos em que 79% dos entrevistados se declaram preocupados com a quantidade de dados pessoais coletados por empresas. 70% sentem que suas informações pessoais estavam menos seguras do que cinco anos antes. 81% dos entrevistados disseram ter pouco ou nenhum controle sobre os dados pessoais coletados por empresas.

Em 2020, a Ernest Young realizou sua própria pesquisa global de privacidade do consumidor cujo objeto girava em torno da questão "O lockdown tornou os consumidores mais abertos para a privacidade?". Explorando um mundo impactado pela pandemia do coronavírus e as medidas governamentais de isolamento social, o estudo tem por contexto um mundo hiperconectado, sem planejamento, nem reflexões sobre impactos da digitalização total, com excesso de videoconferências e eventos online, conversações profissionais e pessoais quase que exclusivamente através de mensagens instantâneas e com a imposição governamental de aplicativos de rastreamento do coronavírus.

Nesse novo mundo, segundo o levantamento da EY, compartilhar dados pessoais se tornou vital, mas as pessoas começaram a se questionar e entender o contexto e a segurança necessários antes de permitir a troca de informações: 61% estavam confortáveis em compartilhar dados de contato quando cientes de que seus dados pessoais estariam seguros, contra 26%, que aceitariam conceder acesso a seus dados pessoais mesmo a organizações com má reputação em privacidade.

Neste ano de 2021, já em um mundo recuperando-se lentamente dos efeitos sociais e econômicos da pandemia, outro estudo² revelou que 72% dos entrevistados ainda encontram dificuldades em obter informações sobre as práticas de tratamento de dados pessoais na internet, indicando falta de transparência nos serviços online. 60% dos participantes disseram ter abandonado contas em serviços online por questões de privacidade, sendo que 46% já o fizeram mais de uma vez. Ainda segundo essa pesquisa, 33% dos entrevistados desistiram de criar contas em um website por razões como a coleta excessiva de informações.

Números que revelam uma crise de confiança.

Apesar de recentes, essas pesquisas não chegam à conclusão tão distante do que se constatava há duas décadas, quando a tecnologia da informação e comunicação ganhava tração, a partir das inovações da época. Em 1999, J. Lardner³ já defendia que o maior impedimento para o comércio eletrônico em larga escala era a falta de confiança pública na sociedade da informação.

Se, passadas mais de duas décadas, ainda estamos a enfrentar essa discussão, é sinal de que a abordagem precisa ser revista. Mas, afinal, como vencer esse déficit de confiança? Se ela é é pressuposto de um mundo virtualizado, estamos diante de um dilema.

A resposta necessariamente dialoga com transparência, privacidade e segurança. O mesmo estudo da EY chama de "moedas da confiança". E esse deve ser o caminho a ser trilhado. Mas essas são soluções já tradicionais no campo informacional. Outras respostas, fruto de debates mais modernos (e necessariamente complementares), parecem ganhar visibilidade cada vez maior, entre elas a ética de dados, a limitação de finalidades, a arquitetura informacional titularcentrista e controles técnicos sobre o uso de dados pessoais.

No campo da transparência - reconhecidamente o primeiro passo para a conquista da confiança do titular de dados -, uma proposta seria reinventar a comunicação e o marketing impulsionados pela criatividade. Entram aí propostas como o legal design e o visual law, promovendo uma experiência do usuário que mescla design, tecnologia e direito.

Quanto à ética, é preciso focar nos benefícios para o titular de dados, combater o viés algorítmico, utilizar fontes e bases de dados com boa reputação, agir de boa-fé, com legitimidade e com responsabilidade no tratamento dos dados. Ingredientes de uma receita com resultados garantidos.

Já no âmbito da segurança, o assunto merece algumas reflexões mais detalhadas. Porque não se pode falar em privacidade, sem segurança de dados pessoais.

Em primeiro lugar, é preciso deixar claro que não basta a tecnologia por trás, é preciso adotar medidas administrativas capazes de proteger os dados pessoais. Aliás, é o que estabelece a própria lei Geral de Proteção de Dados Pessoais (LGPD), que dedica boa parte de suas normas a estabelecer um regime regulatório específico para regular o nível e as responsabilidades do agente de tratamento em relação à segurança dos dados pessoais.

A LGPD, claro, não discorre especificamente sobre métodos, técnicas, padrões, protocolos e mecanismos de segurança. Não fala, por exemplo, sobre criptografia, nem autenticação multifatorial, segurança zero trust, data loss prevention ou segurança das infraestruturas de comunicação. Ao contrário, refere-se, na forma de obrigação genérica, à segurança da informação e ao tratamento adequado de dados pessoais, delegando à Autoridade Nacional de Proteção de Dados (ANPD) a função de regulamentar padrões técnicos mínimos para segurança em geral e estabelecer padrões e técnicas em processos de anonimização.

Ainda assim, apesar da opção de não detalhar o nível ou tipo de segurança sobre os dados pessoais, o legislador reconheceu a relevância de um tipo de processo de segurança, a ponto de dedicar-lhe uma base legal específica para sustentar a licitude do tratamento de dados. E isso não é pouco, considerando a política legislativa da regulação brasileira em proteção de dados⁴. Trata-se do processo de identificação e autenticação de cadastro em sistemas eletrônicos - fundamento de licitude para o tratamento de dados pessoais sensíveis.

Trata-se de uma visão absolutamente correta, estampada na forma de regulação jurídica de proteção de dados pessoais, uma vez que o gerenciamento de identidade e acesso é uma necessidade própria de sistemas informatizados, que serve à sua segurança e funcionalidade. Portanto, acertada a opção do legislador em dedicar regulação jurídica específica à questão.

É através do controle de acesso que se pode garantir que o usuário certo tenha o acesso devido aos sistemas, para o benefício da proteção da privacidade e da segurança dos dados ali armazenados e processados. E esse processo envolve, necessariamente, identificação, autenticação e autorização ao nível apropriado do usuário. Em outra medida, pode-se considerar a auditoria também após o acesso.

Nesse sentido, aliás, é possível extrair, da própria legislação, as bases jurídicas para implementação desse tipo de mecanismo de segurança.

O artigo 6º da LGPD (princípios de proteção de dados) detalha como o tratamento de dados pessoais deve ser conduzido e exige que os dados devem ser protegidos do acesso não autorizados e de vazamentos. Isso pode ser feito através do gerenciamento de acesso através de políticas de autenticação e acesso multifatorial. Dessa forma, uma empresa pode definir políticas de acesso para que apenas usuários autorizados possam acessar determinados recursos e elevar a confiança usando uma autenticação forte do cliente.

O artigo 44 declara a irregularidade do tratamento quando não observar a legislação ou quando não fornecer a segurança que o titular de dados dele pode esperar, de acordo com a circunstância do tratamento. Nesse aspecto, uma gestão de identidade e de acesso adequadas são elementos inerentes à expectativa de segurança do usuário no acesso a sistemas.

O artigo 46 determina que as organizações devem adotar medidas suficientes de segurança que respondam a potenciais riscos e ameaças. Isso se aplica não só aos dados pessoais, mas também requer soluções que restrinjam o acesso a redes corporativas, protejam a identidade dos usuários e garantam que eles sejam de fato quem eles afirmam ser. Aqui novamente, o controle de acesso e a autenticação segura e forte podem ajudar a gerenciar o risco de acesso não autorizado.

O §2º desse mesmo artigo apresenta a obrigação legal de secure by design, na medida em que estabelece que as medidas de segurança prevista na lei devem ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

O artigo 47 discute a necessidade de segurança adicional do tratamento, mesmo após o seu término. As organizações devem levar em consideração o risco de perda de dados e acesso não autorizado. Aqui, novamente, as soluções de gerenciamento de acesso permitem restringir o acesso a dados confidenciais e reduzir o risco associado ao acesso privilegiado do usuário, como o acesso de administradores e executivos.

O artigo 52 prevê a possibilidade de redução de penalidades por infração à LGPD, como é o caso de incidentes de segurança, se as empresas adotarem, de maneira reiterada e demonstrável, medidas proativas de tratamento seguro e adequado, aptas a minimizar os danos. Nesse aspecto, a proteção de identidade, através do gerenciamento de acesso, é uma opção valiosa na linha de defesa para os dados confidenciais de usuários armazenados em nuvem e nos aplicativos web da empresa.

Ou seja, esse conjunto de regras jurídicas estabelece os pilares para um framework de segurança informacional que deve reger o tratamento de dados pessoais.

De tão relevante o assunto, no recente Guia Orientativo de Segurança da Informação para Agentes de Tratamento de Pequeno Porte⁵, a ANPD reconheceu, como uma das boas práticas em segurança informacional, a adoção de medidas técnicas de controle de acesso e, citando o estudo "Segurança Digital: uma análise de gestão de risco em empresas brasileiras", elaborado pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) em conjunto com o Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação (Cetic.br), aponta que "melhorar processos de identificação e autenticação em serviços e sistemas, incluindo a não reutilização de senhas, estão entre as três medidas de maior impacto na segurança da informação em empresas"⁶.

Mas, afinal, ainda resta a questão: como adotar o controle de acesso e a gestão de identidade adequadas à proteção de dados pessoais?

A princípio, é preciso reconhecer: são muitos os métodos e processos de autenticação existentes. Os mais tradicionais são aqueles que o usuário possui (um token ou um dispositivo que se conecta aos sistemas), seguido de algo que ele conhece (uma senha, por exemplo), e, enfim, algo que o usuário é (uma característica física ou psicológica) ou faz (a maneira como se comporta, sua assinatura etc.). E esses métodos podem ser combinados em múltiplos fatores, a fim de aumentar a confiabilidade do acesso e a segurança do sistema. Por exemplo, no caso do uso de cartão de crédito (algo que o usuário possui) com senha (algo que ele conhece).

Ocorre que a revolução digital, especialmente impulsionada pela pandemia do coronavírus, impôs - em muitos casos, de maneira não planejada - o uso massivo de tecnologias da informação e a quase total virtualização das relações sociais, multiplicando o número de serviços online que um usuário comum utiliza. Esse novo mundo pandêmico obrigou as pessoas a criar dezenas, às vezes centenas, de credenciais pessoais de acesso. Em muitos cenários, sem o devido preparo e orientação ao colaborador da empresa, a pais e professores de crianças em idade escolar, ao microempresário que passou a atender pelo aplicativo de mensagens.

Para sobreviver em meio a esse número elevado de senhas, o usuário muitas vezes comete atos de fragilização do nível de segurança, como o reuso de senhas em mais de um serviço e perdas por esquecimento ou comete ações deliberadamente inseguras, como "emprestar" credenciais de acesso a terceiros, criar senhas fáceis e memorizáveis, armazenar as credenciais em meios inseguros (o tradicional post-it colado no monitor do computador que mais recentemente foi substituído pela anotação das senhas no aplicativo de bloco de notas do smartphone).

Não por acaso, o fator humano tem sido a principal causa de incidentes de segurança envolvendo dados pessoais, o que impõe uma revisão, às empresas, de suas políticas de segurança e privacidade.

Todo esse cenário, associado a elevados níveis regulatórios que impõem a segurança adequada dos dados pessoais, exigirão das empresas sistemas de gestão da identidade e controle de acesso aptos a reduzir drasticamente a probabilidade de incidentes de segurança deslocando o risco inerente ao fator humano para mecanismos e tecnologias digitais modernas, abrindo espaço para sistemas como a Autenticação Única (Single Sign On) - solução tecnológica que permite o uso de um mesmo login para todos os acessos de forma segura e  transparente com a adoção de biometria, que garante inclusive a prova de vida do usuário no ato da autenticação (através da tecnologia liveness).

Surge aí, porém, o primeiro questionamento sobre a privacidade do usuário. Dados biométricos, afinal, são dados pessoais sensíveis, que exigem um nível de cuidado e reflexão mais elevados quanto ao seu tratamento por organizações. São informações que identificam de maneira inequívoca e única um indivíduo, não sujeitas - via de regra - à alteração. Se dados biométricos sofrerem algum tipo de vazamento, não é possível redefinir uma digital, por exemplo, como se faria com uma senha. Por isso, legisladores e reguladores reconhecem o elevado nível de risco ao titular de dados, quando da coleta e do processamento dessas informações. Exatamente por isso, seu tratamento somente é permitido em circunstâncias muito específicas, mediante o cumprimento de rigorosos controles e requisitos que as leis de proteção de dados estabelecem, como é o caso da LGPD. Porém, seu uso ainda assim é possível, desde que responsável e ético, ou seja, assentado em boas práticas e no atendimento das regras de proteção de dados pessoais.

Autoridades de proteção de dados pessoais, na União Europeia, não se opõem, nem exigem, em princípio, qualquer tecnologia específica. Porém, as organizações que optam por tratar dados pessoais sensíveis devem garantir uma autoavaliação de necessidade e proporcionalidade, sempre enfrentando o debate sobre alternativas menos intrusivas disponíveis. Como exemplo, a autoridade de proteção de dados do Reino Unido reconhece, em seu site, mais especificamente na seção "? Senhas em serviços online?", o uso de autenticação através de biometria, desde que em conformidade com as regras de proteção de dados.

Em 2018, o Parlamento Europeu consultou a Autoridade Supervisora de Proteção de Dados da União Europeia sobre o intuito de implementar um sistema de registro de presença através da coleta de digitais dos parlamentares em substituição ao mecanismo baseado em assinatura e papel então vigente. Em resposta, que veio somente em março de 2021, a autoridade comunitária focou sua análise na demonstração, pelo Parlamento Europeu, da necessidade e da proporcionalidade do tratamento, impondo-se, inclusive, que o órgão parlamentar realizasse uma Avaliação de Impacto sobre a Proteção de Dados. A despeito dos esforços do Data Protection Officer do órgão comunitário, a Autoridade expediu ainda 7 recomendações, desde esclarecimentos sobre o uso de dados sensíveis, a mudanças na base legal escolhida pelo Parlamento para realizar o tratamento, passando ainda pela implementação de meios alternativos de registro de presença, caso algum parlamentar não tenha êxito no processamento de sua digital. E, não menos importante: recomendação específica sobre transparência, impondo atualização nos avisos de privacidade.

Na mesma linha de atenção, o Grupo de Trabalho Internacional sobre Proteção de Dados em Telecomunicações (conhecido como o "Grupo de Berlim") publicou um estudo⁷ intitulado "Documento de trabalho sobre biometria em autenticação online" em que levantou riscos de privacidade e proteção de dados associados, não sem antes deixar claro que sistemas biométricos distintos devem ser considerados de forma também distinta na avaliação do impacto de privacidade.

Por isso, não é correto, nem justo, confundir a configuração de reconhecimento facial aplicado, por exemplo, pelo Facebook, para analisar fotos e vídeos em que o usuário aparece na rede social ou, ainda, o videomonitoramento através de reconhecimento facial que governos estão implementando com a autenticação e a identificação biométricas. São tratamentos distintos, com propósitos distintos. Foi com essa distinção em mente que o Grupo de Berlim trabalhou recomendações para o uso responsável de biometria, apresentando à comunidade global um total de 11 recomendações de privacidade e segurança às organizações que adotarem e que desenvolverem soluções que utilizem a biometria para autenticação online.

Entre essas, algumas já endereçadas pela LGPD, como o envolvimento permanente de encarregados pelo tratamento de dados pessoais desde os estágios iniciais do projeto, ainda que na sua concepção, bem como na realização de avaliações de impacto de privacidade. Outra recomendação está no uso de autenticação multifatorial, em que a biometria seja apenas um dos fatores. Quanto à coleta dos dados sensíveis, uma vez processada a autenticação, recomenda-se sua eliminação segura tão logo possível e uma vez não mais necessários. Medidas adequadas de segurança física, técnica e organizacional de última geração devem ser implementados para proteção contra ataques e submetidos a auditorias internas e externas, inclusive processos rígidos de verificação dos resultados, levando em conta parâmetros para evitar vieses. E, claro, minimização de dados pessoais e maximização de transparência ao titular de dados.

Uma prática importante para o mercado nacional e que deve ser sempre levada em consideração por empresas especializadas em gestão de identidade é adotar datasets diversos, sempre com boa equivalência com amostras da diversidade do Brasil e representação semelhante à do senso, especialmente em termos de parâmetros fenotípicos. Considerada a heterogeneidade genética e fenotípica brasileira, sem dúvida, adotar mecanismos de autenticação biométrica levando em conta fatores de diversidade populacional é uma prática importante e relevante.

Como se vê, uma possível resposta ao déficit de confiança na sociedade digital está na resiliência de dos princípios e boas práticas de privacidade. Somente a aplicação contínua desses princípios, dentro das organizações e por autoridades públicas, será capaz de construir a confiança na indústria e nos esforços dos governos para enfrentar o mundo hiperconectado pós-pandêmico. Tudo indica, na verdade, que o foco deva estar na maneira como esses princípios são aplicados.

Talvez devamos olhar menos para processos e protocolos - sem jamais reduzir a segurança e a transparência - e mais em maneiras de garantir proteções capazes de ação que inspiram confiança nos serviços em que o tratamento de dados pessoais - inclusive sensíveis - é necessário e justificável.

Transparência do tratamento de dados pessoais, na adoção de medidas que possam respeitar a privacidade e, mais especialmente, garantir a segurança na digitalização das relações sociais e econômicas.

_________

1 Disponível aqui.