Quem mexeu nos meus dados?

Com a vida cada vez mais conectada, a todo momento trocamos nossos dados por comodidade, prazer e conveniência. O que fazer quando alguém mexe neles?

É um imperativo da vida contemporânea estar conectado. Celulares e computadores são extensões de nossas mãos e deixamos um rastro inesgotável por onde navegamos. Nas compras, transporte, lazer e atividades do cotidiano oferecemos informações para empresas, governos, organizações. Não nos preocupamos, até algum desastre (ou algo mais sutil) ocorrer e, assustados, perguntarmos: quem mexeu nos meus dados? Provavelmente, não sabemos, nem saberemos. Mas, se nos perguntarmos quem permitiu que mexessem, certamente teríamos a resposta.

E, enquanto isso, as notícias de vazamentos de dados se sucedem. Os alvos do caso mais recente foram 400 políticos alemães, entre os quais a chanceler Angela Merkel e o presidente Frank-Walter Steinmeier. Um auto-intitulado “investigador de segurança, artista e sátiro” fez a festa. Roubou e revelou endereços, números de celular, dados bancários, transcrições de conversas e até mesmo informações familiares dos alvos.

Segundo informou a revista Der Spiegel, o responsável confessou o crime e disse que não havia se dado conta das consequências do que fez. Talvez por ser um estudante de 20 anos. Sim, este é o perfil do autor do maior vazamento de dados da história da Alemanha. Seria cômico, não fosse o alerta: estamos vulneráveis. Se mexem com os dados dos poderosos, o que não poderão fazer conosco, reles mortais?

Seria absurdo pensar que podem manipular a nós e àquilo que acreditamos? Vimos que não, em vários escândalos, como o que envolveu o Facebook, a empresa britânica Cambridge Analytica e as eleições americanas de 2016. A reportagem do The New York Times, publicada em março de 2018, trouxe à tona o caso e o mundo acordou assustado. Dois sustos. Um atrás do outro. O primeiro com os resultados das eleições em si, dois anos antes. O segundo com a possível manipulação das mentes e corações dos eleitores.

Episódios como esse não passariam mesmo despercebidos. Porém, o que mais foi manipulado, a partir de tais dados? O que mais decidimos, fizemos ou consumimos influenciados pelo uso deles? A verdade é que nunca saberemos! Talvez tenhamos ficado especialmente afoitos para comprar uma câmera profissional, pensando em registrar cada segundo daquela viagem dos sonhos. Ou talvez o afoitamento tenha sido com a própria viagem.  Ou talvez com o sonho de viajar. Como vamos saber?

Vale lembrar que, nesse caso, os próprios usuários “permitiram” o acesso às informações, suas e de seus amigos, pois o aplicativo que coletava os dados dizia em seus termos que assim faria, enquanto as regras de uso e as ferramentas de segurança do Facebook à época – no ano de 2013 – ainda permitiam que isso ocorresse como ocorreu.

Engana-se quem acha que esse é um fenômeno restrito às grandes marcas internacionais e só ocorra fora daqui. No Brasil, o Ministério Público já investiga várias organizações brasileiras ou com operações no país.

Estão na lista Facebook, Netshoes, Uber, Google+, Sky Brasil, Twitter, MyHeritage, Under Armour, Stone, Netflix, entre outras que, apesar de terem caído na rede da mídia, ainda parecem não estar entre as processadas por vazamento de dados. Os casos Macy’s e Adidas também estão no mesmo rol.

Os vazamentos variam em nível de complexidade e dimensão dos prejuízos, mas é certo que estão cada vez mais frequentes. Em 2006, por exemplo, a perda de um notebook do Department of Veterans Affairs expôs informações de 26,5 milhões de militares norte-americanos. Em 2009 um caso parecido: um HD foi enviado para reparo e reciclagem sem que fossem antes apagados os dados de 76 milhões de veteranos. Em 2013 invasores conseguiram acessar informações de no mínimo 70 milhões de clientes da rede varejista Target, em um ataque que chamou a atenção não só pelo número de atingidos quanto pela variedade de material capturado. Dados completos de cartões de crédito – incluindo datas de validade, códigos de segurança e PINs caíram nas mãos dos hackers.

Bancos e organizações públicas têm se mostrado menos vulneráveis aos ataques. Já os setores de hotelaria, saúde e varejo parecem alvos fáceis para os hackers.

Quem poderá nos defender?

É essa a pergunta que talvez muitos se façam ao ver na lista de vítimas dos ataques cibernéticos uma nova figurante, a NASA. A mesma NASA que transformou “um pequeno passo para um homem num grande salto para a humanidade”. A mesma que se tornou símbolo do que há de mais avançado em conhecimento científico e tecnológico, num mundo que inclui a Lua, Marte e os anéis de Saturno. Mesmo ela não resistiu.

As referências mundiais que tratam do assunto já buscam resguardar esses pontos da cadeia. A União Europeia assumiu posição de vanguarda ao estabelecer o General Data Protection Regulation (GDPR), regulamento que submete os estados componentes do bloco a uma série de normas de privacidade e proteção de dados pessoais.

Em vigor desde abril de 2016, o conjunto de normas inspirou iniciativas semelhantes, como a California Consumer Privacy Act (CCPA) – primeira lei do gênero aprovada nos Estados Unidos – e a recente Lei de Proteção de Dados Pessoais brasileira. Aprovada pelo Congresso Nacional em julho e sancionada em agosto de 2018, a legislação está em período de implementação e terá efeito pleno a partir de 14 de fevereiro de 2020. Ou seja, ao redor do mundo e aqui no Brasil, as grandes corporações e o governo já tem, por força de lei, que adotar práticas consistentes de proteção de dados.

A resposta é simples. Só que não!

Aos usuários, como são conhecidos nos espaços virtuais, ou aos clientes, como são denominados nos espaços analógicos, é assegurada a propriedade dos seus dados pessoais.

Às organizações cabe estender as práticas da boa governança à gestão dos dados. A diretriz é que elas adotem processos seguros, responsáveis e éticos na transformação desses insumos em produtos, serviços e valor para o mercado. Aos governos, por sua vez, recai a responsabilidade de zelar pelos direitos dos cidadãos.

Definidas as responsabilidades, as soluções práticas vêm do mercado e da sua mão cada vez mais invisível. Onde há propriedade, pode haver troca monetizada. E assim nasceram empresas como DATACOUP, Citizen-me, LOTAME, Datum, DataWallet, DataIota, Wibson e vários outros Data Marketplaces, mundo afora. Com a proposta de apoiar as pessoas a tomar as rédeas dos seus dados pessoais, essas empresas conectam aqueles que querem vender aos que querem comprar dados pessoais.

O valor das transações varia de $0.005 a $1,000, dependendo do perfil do vendedor, dos dados que queira vender e do apetite do comprador. É simples assim, como vender um queijo. E para não errar na hora H, todos podem usar a calculadora implementada e publicada pelo jornal inglês Financial Times. Com precisão de 5 casas decimais, a calculadora estima o preço dos dados, a partir das características demográficas, sociais, familiares, as propriedades, as atividades e o consumo dos vendedores.

Há quem diga que, juntamente com os dados, estão sendo vendidas também a liberdade e a privacidade, direitos inalienáveis, ou seja, que não podem ser vendidos nem cedidos, segundo a Declaração Universal de Direitos Humanos. De outro lado, há quem defenda que ambas, privacidade e liberdade, já não existem, ou precisam ser (re)conceituados, num mundo monitorado 24/7. E que, sendo assim, melhor que sejam monetizados por seus proprietários.

Seja como for, é irrefutável a ideia de que os dados são ativos valiosos e que roubá-los é crime. Monetizá-los, precificá-los, vendê-los e comprá-los pode ou não ser um direito. Trocá-los por minutos de diversão em sites de entretenimento, por horas economizadas na fila do banco, pelos mais estranhos, insignificantes e diversos motivos é uma realidade. E quem os recebe em pagamento tem a obrigação de cuidar deles. Seja a farmácia da esquina ou o dono do Facebook.