A Comissão Europeia aprovou, em 2016, uma legislação que trata da privacidade das informações de europeus na internet. O GDPR (General Data Protection Regulation ou Regulamento Geral sobre Proteção de Dados) entrará em vigor em Maio de 2018 e já levanta discussões sobre como as empresas devem utilizar e gerir dados privados de seus usuários. Se a maioria das organizações estão conscientes da nova legislação europeia, o GDPR, poucos estudaram como este quadro irá mudar a prática da Ciência de Dados.
O GDPR é um regulamento que exige que as empresas protejam os dados pessoais e a privacidade dos cidadãos da UE para transações que ocorram nos estados membros da UE e a não conformidade pode custar caro às empresas e toda empresa que faz negócios na Europa precisa saber sobre o GDPR. O Regulamento Geral de Proteção de Dados condicionará o que e como os dados pessoais podem ser usados comercialmente. A partir de 25 de Maio de 2018, a legislação será aplicada a todas as organizações públicas e privadas que processam dados de cidadãos europeus, independentemente de sua base de operações. As penalidades para a não conformidade podem chegar a 20 milhões de Euros ou 4% do faturamento anual da organização, o que for maior. Vamos explorar porque o GDPR deve ter toda a sua atenção, o que é a legislação e como isso afetará a prática da Ciência de Dados, e o que você pode fazer para transformar essa “ameaça” em uma oportunidade.
O que é o GDPR?
O Parlamento Europeu adotou o GDPR em Abril de 2016, substituindo uma diretiva de proteção de dados desatualizada de 1995. Ele carrega dispositivos que exigem que as empresas protejam os dados pessoais e a privacidade dos cidadãos da UE para transações que ocorram nos países membros da UE. O GDPR também regula a exportação de dados pessoais para fora da UE.
As regras são consistentes em todos os 28 estados membros da UE, o que significa que as empresas têm apenas um padrão para cumprir dentro da UE. No entanto, esse padrão é bastante alto e exigirá que a maioria das empresas faça um grande investimento para atender e administrar. De acordo com um relatório da Ovum, cerca de dois terços das empresas dos EUA acreditam que o GDPR exigirá que repensem sua estratégia na Europa. Ainda mais (85%) vêem o GDPR colocando-os em desvantagem competitiva com as empresas europeias.
O Regulamento Geral de Proteção de Dados (GDPR) deve estabelecer um novo padrão para os direitos do consumidor em relação a seus dados, mas as empresas serão desafiadas à medida que implementam sistemas e processos.
A conformidade causará algumas preocupações e novas expectativas das equipes de segurança. Por exemplo, o GDPR tem uma visão ampla do que constitui informação de identificação pessoal. As empresas precisarão do mesmo nível de proteção para dados como o endereço IP de um indivíduo ou dados de cookies, como fazem para o nome, endereço e número do seguro social.
O GDPR deixa muito a interpretação. Ela diz que as empresas devem fornecer um nível “razoável” de proteção para dados pessoais, por exemplo, mas não define o que constitui “razoável”. Isso dá margem ao GDPR para avaliar as multas por violações de dados e não conformidade.
Muitos dos requisitos não se relacionam diretamente com a segurança da informação, mas os processos e as alterações do sistema necessários para cumprir os requisitos podem afetar os sistemas e protocolos de segurança existentes.
Por que o GDPR existe?
A resposta curta para essa pergunta é a preocupação pública com a privacidade (você deve ter visto o recente caso de vazamento de dados de usuários do Facebook). Em geral, a Europa tem regras mais rigorosas sobre como as empresas usam os dados pessoais de seus cidadãos. O GDPR substitui a Diretiva de Proteção de Dados da UE, que entrou em vigor em 1995. Isso foi bem antes de a Internet se tornar o centro de negócios on-line que é hoje. Consequentemente, a diretiva está desatualizada e não aborda muitas maneiras pelas quais os dados são armazenados, coletados e transferidos hoje.
Quão real é a preocupação pública com a privacidade? É significativo e cresce a cada nova violação de dados. De acordo com o RSA Data Privacy & Security Report, para o qual a RSA entrevistou 7.500 consumidores na França, Alemanha, Itália, Reino Unido e EUA, 80% dos consumidores disseram que os dados financeiros e bancários perdidos são uma das principais preocupações. Informações de segurança perdidas (por exemplo, senhas) e informações de identidade (por exemplo, passaportes ou carteira de motorista) foram citadas como uma preocupação de 76% dos entrevistados.
Uma estatística alarmante para empresas que lidam com dados de consumidores é que 62% dos entrevistados no relatório da RSA afirmam que culpariam a empresa por seus dados perdidos no caso de uma violação, não o hacker. Os autores do relatório concluíram que, “à medida que os consumidores se tornam mais informados, eles esperam mais transparência e capacidade de resposta dos administradores de seus dados”.
A falta de confiança em como as empresas tratam suas informações pessoais levou alguns consumidores a tomar suas próprias medidas defensivas. De acordo com o relatório, 41% dos entrevistados disseram que falsificam dados intencionalmente quando se inscrevem para serviços online. Preocupações de segurança, um desejo de evitar marketing indesejado ou o risco de ter seus dados revendidos estavam entre suas principais preocupações.
O relatório também mostra que os consumidores não perdoarão facilmente uma empresa uma vez que uma violação exponha seus dados pessoais. Setenta e dois por cento dos entrevistados dos EUA disseram que boicotariam uma empresa que desconsiderar a proteção de seus dados. Cinquenta por cento de todos os entrevistados disseram que teriam mais chances de fazer compras em uma empresa que poderia provar que leva a sério a proteção de dados.
“À medida que as empresas continuam suas transformações digitais, fazendo um uso maior de ativos digitais, serviços e Big Data, elas também devem ser responsáveis por monitorar e proteger esses dados diariamente”, concluiu o relatório.
Ameaça ao Futuro da Ciência de Dados?
Os dados não são mais um subproduto simples de um processo de negócios, são o combustível das economias modernas. Se os dados foram tradicionalmente coletados para fornecer um espelho das realidades de nossas organizações e mercados, estão cada vez mais sendo aproveitados hoje para ampliar os detalhes minúsculos de como os indivíduos compram e consomem produtos e serviços. Como resultado, as organizações usam as tecnologias da informação para criar plataformas que revelam, capturam e analisam as experiências do consumidor. O valor dos dados resultantes depende menos da precisão com que descreve as relações entre consumidores, bens e serviços, do que em uso na construção de cenários para prever e influenciar o comportamento humano.
Essa busca constante de dados impacta profundamente a privacidade do indivíduo e a confidencialidade – quase nada do que um indivíduo faz, diz ou pensa está a salvo do escrutínio público. O Regulamento Geral de Proteção de Dados da Europa reconhece explicitamente esses perigos ao tentar regulamentar o uso comercial de dados privados e confidenciais. Dados privados são definidos como qualquer informação que possa ser usada para identificar e consumidor individual europeu, assim como qualquer dado pode ser usado para identificar uma pessoa individualmente (informação pessoalmente identificável). Os dados confidenciais incluem descrições de saúde, religião, origem étnica, orientações políticas ou sexuais que podem ser usadas para discriminar indivíduos. Finalmente, uma provisão especial protege as crianças em geral com menos de 16 anos – nenhum dos seus dados pessoais pode ser coletado sem o consentimento explícito dos pais.
O GDPR introduz uma fatura dos direitos digitais dos cidadãos europeus. Os titulares de dados (cidadãos) terão agora o direito de saber quais dados pessoais estão sendo coletados, onde e com que finalidade. Os cidadãos terão o direito de ser esquecidos, solicitando que as organizações excluam seus dados pessoais e/ou deixem de processar ou disseminar ainda mais seus dados. Por fim, os cidadãos podem recuperar os dados pessoais fornecidos a uma organização em um formato “comumente usado e legível por máquina” e podem transferir esses dados para um terceiro.
Corporações, pequenas empresas, governos nacionais e administrações territoriais serão obrigados a instituir processos e requisitos de manutenção de registros internos para garantir a conformidade com essas novas regulamentações. Essas organizações, sejam elas coletores de dados ou processadores de dados, serão obrigadas a implementar o conceito de privacidade por projeto – que é baseado no princípio de que a proteção de dados deve ser incorporada ao próprio núcleo de seus sistemas de informação. As organizações serão obrigadas a coletar apenas os dados absolutamente necessários para a empresa (minimização de dados) e a limitar o acesso a dados pessoais apenas àqueles necessários para processá-los. Finalmente, todas as empresas devem informar seus clientes dentro de 72 horas de qualquer notificação de violação que possa colocar em risco “direitos e liberdades individuais”.
As empresas que atendem aos cidadãos europeus precisarão instituir um plano de ação para atender aos requisitos mínimos de conformidade com o GDPR. Isso começa com a designação de um líder de projeto, ou responsável pela proteção de dados, para supervisionar a estratégia e a implementação da proteção de dados. Sua equipe de projeto precisará identificar e analisar se os dados pessoais estão sendo capturados, armazenados e processados. Eles precisarão entender como as diferentes partes interessadas organizacionais processam os dados, seja dentro da organização ou por meio de terceiros subcontratados. Terão de propor as medidas e os meios necessários para cumprir os requisitos legislativos. Finalmente, eles precisarão elaborar e implementar as tarefas e processos necessários para garantir a conformidade.
À primeira vista, a visão de privacidade de dados estabelecida no GDPR parece diametralmente oposta às responsabilidades fundamentais de um Cientista de Dados de adquirir novas fontes de dados e desenvolver novos cenários de uso. Concretamente, a legislação impactará a prática da Ciência de Dados em três áreas: impondo limites ao processamento de dados e perfis de consumidores, impondo um “direito a uma explicação” quando as organizações usarem decisões automatizadas para avaliar aplicações de crédito, recrutamento e seguros e finalmente por responsabilizar as organizações por preconceitos e discriminações nas decisões automatizadas.
Não obstante, a prática da Ciência de Dados se beneficiará a longo prazo dessas restrições. As organizações precisarão incentivar os processos de Ciência de Dados com base na anonimização robusta dos dados. Os Cientistas de Dados precisarão tomar medidas para evitar o viés indireto de variáveis, multicolinearidade e outras causas para limitar os resultados discriminatórios. Por fim, os Cientistas de Dados precisarão se preocupar com a linhagem de dados para documentar o fluxo de dados em todas as etapas de processamento, da origem ao destino.
O GDPR vai alavancar não apenas a profissão de Cientista de Dados, que passa a ter um papel ainda mais importante na estratégia de dados de qualquer empresa, mas também vai alavancar outras profissões relacionadas, como Engenheiro de Dados, Profissionais de IA, Profissionais de Segurança da Informação e Gestores de informação. O GDPR vai ajudar a transformar os dados em um ativo ainda mais precioso.
O GDPR pode se tornar uma ameaça apenas às empresas e profissionais que não compreendem que o direito à privacidade deve ser mantido e nenhum objetivo comercial está acima disso. Para aqueles que já utilizam os dados de forma ética, o GDPR será uma grande oportunidade de reforçar valores e estabelecer padrões.
David Matos
Referências:
GDPR: As empresas que operam no Brasil estão prontas para o regulamento?
GDPR: O IMPACTO DA LEI DE PROTEÇÃO DE DADOS NO BRASIL
10 coisas que sua empresa deve saber sobre o GDPR da União Europeia
General Data Protection Regulation (GDPR) requirements, deadlines and facts
Gostaria de ser informados de novos publicações sobre cientista de dados e as demais profissões.
Oi Luiz. Já adicionei. Abs