Garry Kasparov

A ação individual e os regulamentos precisam andar juntos quando se trata de privacidade

Garry Kasparov, 26 Julho 2018

Proteger seus dados online exige uma mistura de regulamentação, padronização e ação individual. Os consumidores devem parar por um minuto e executar práticas de segurança básicas para manter em segurança seus dados.

O “Regulamento Geral de Proteção de Dados” da União Europeia, ou GDPR, entrou em vigor no final de maio, com grande repercussão mundial. Depois de muita espera, uma organização multilateral assumiu com seriedade o desafio de proteger a privacidade na era digital.

Era previsível que a colcha de retalhos das leis nacionais, que abrangia desde proteções à privacidade agressivas até sua ausência total, seria ineficaz no mundo online com muitas jurisdições. Embora a regulamentação sempre traga riscos, ficou claro nos últimos anos que o espaço virtual exigia medidas públicas para manter os usuários em segurança e deixar a responsabilidade com as empresas.

De maneira ampla, o GDPR exige que as empresas que processam os dados pessoais dos cidadãos da União Europeia, que podem incluir desde o nome e endereço até dados biométricos, atualizem suas práticas de coleta, armazenamento e divulgação desses dados sigilosos. Por exemplo, as organizações devem agora obter o consentimento dos consumidores antes de armazenar suas informações em um banco de dados. Por isso, sua caixa de entrada foi inundada de solicitações de adesão de todas as empresas cujos produtos e serviços você utiliza, já que quase todas as grandes empresas têm clientes da União Europeia. As empresas também devem notificar os reguladores da União Europeia, em até 72 horas, se houver violação dos dados do usuário. Nos casos em que a violação for grave, os consumidores devem ser notificados imediatamente. Se os usuários quiserem acessar seus dados pessoais ou desejarem excluí-los de acordo com a cláusula do “direito de ser esquecido” do GDPR, as empresas devem obedecer (desde que não haja base jurídica para manter os dados).

As penalidades por não atender a essas normas são elevadas. As empresas podem ser multadas em até 4% da sua receita global anual, no caso das violações mais graves. De fato, no primeiro dia da implantação da lei, o Facebook e o Google receberam processos com multas de mais de 4 bilhões de dólares por não atualizar suas políticas de maneira substancial. A implantação das proteções exigidas requer muito trabalho. Dependendo do tamanho da organização, pode ser necessário um Encarregado de Proteção de Dados dedicado, ou até mesmo de um departamento inteiro. Isso aumenta os custos para as empresas, motivo pelo qual tais regulamentos foram considerados anticomerciais por seus críticos. Mas, para uma civilização online florescer, a lei e a ordem precisam ser estabelecidas, assim como a fronteira americana não pôde continuar sendo o Velho Oeste para sempre.

Dado o escopo e os mecanismos de aplicação, o GDPR promete ter efeitos de longo alcance no mercado global. As proteções de dados agora serão incentivadas desde os primeiros estágios do desenvolvimento de produtos, transformando as tecnologias que chegam ao mercado. As empresas vão precisar ajustar suas estratégias de publicidade, devido às novas restrições no compartilhamento de dados, o que levará possivelmente a uma explosão do marketing de influenciador e outras publicidades “de usuário para usuário”.

Tudo isso é, com certeza, um passo na direção certa, mas não significa que a União Europeia resolveu os problemas de segurança cibernética em suas fronteiras ou estabeleceu o modelo infalível para o resto do mundo. A transparência e responsabilidade que o GDPR exige das corporações são importantes, mas os consumidores precisam desempenhar um papel na sua própria proteção. Não interprete essas melhorias como uma permissão para renunciar a responsabilidade pessoal sobre suas informações. Como digo sempre que posso, a educação e vigilância são essenciais. Em última análise, nenhuma agência do governo, departamento corporativo ou órgão legal pode substituir um consumidor com conhecimento e proativo. Conheça seus diretos, entenda como os programas e dispositivos que você usa interagem com seus dados e disponha do seu tempo para executar práticas básicas que mantêm você e suas informações em segurança, ou pelo menos, na melhor segurança possível.

Talvez o exemplo mais claro de tal prática seja a autenticação com dois fatores (2FA) em todas as suas contas. Basta apenas alguns minutos para ativá-la e dar um grande salto na segurança por usar apenas uma senha. Ela tem a dupla vantagem de tornar suas contas mais difíceis de serem invadidas e menos atraentes a cibercriminosos, que frequentemente passam para contas que não possuem essas configurações ativadas. Claro, ativar o 2FA significa que, cada vez que você entra com um novo dispositivo, você precisa executar uma etapa a mais para confirmar sua identidade, seja através de um app de autenticação, uma mensagem de texto (a opção menos segura) ou um pendrive USB (a mais avançada). Para muitos usuários, essa inconveniência mínima é motivo o suficiente para ignorar os riscos por não usar o 2FA. Muitos outros nem sabem que tal opção existe. O resultado é que mais de 90% das contas do Gmail não ativaram o 2FA.

Como podemos mudar isso? É apenas um problema de ignorância e complacência a ser superado pelas pessoas? Embora tenha acabado de destacar a importância da responsabilidade pessoal, eu também acredito em mudanças sistêmicas que podem explorar certos aspectos da psicologia humana para melhorar nossa segurança coletiva. O GDPR, por sua vez, aumenta o rigor nas normas para as empresas, mas as normas para o usuário final são igualmente importantes. E se a autenticação com dois fatores fosse o padrão para as contas do Gmail? Indo além, e se fossem obrigatórias? (Isso não seria possível para alguns usuários, que não têm acesso a uma maneira conveniente para autenticação, mas seria um experimento interessante para nossa conversa).

As contas de email corporativas geralmente exigem um nível de segurança padrão mais elevado que as contas pessoais, pois as empresas têm um equilíbrio diferente entre risco e conveniência. Os pilotos de Fórmula 1 empregam recursos de segurança muito mais fortes em seus carros que o motorista médio, mesmo que todos estaríamos tecnicamente mais seguros de usássemos capacetes e cintos de segurança de cinco pontos em nossos carros. Mas todos nós usamos cintos de segurança atualmente, ou deveríamos usar. (Aprendi uma lição na prática, após bater a cabeça esse ano: mesmo se você estiver em um trânsito pesado indo a uma curta distância, é melhor usar o cinto!)

No mínimo, o Google e outros provedores de serviço deveriam informar como cada configuração afeta a segurança da sua conta. Talvez devessem até apresentar uma pontuação geral de segurança, como muitos sites agora classificam uma senha em uma escala de vermelho (fraca) a verde (forte). Uma pontuação assim simplificaria demais a questão, dando uma falsa noção de segurança, ou seria útil para a padronização da segurança?

Essas sugestões devem servir de ponto de partida para imaginar todas as maneiras de estruturar a experiência do usuário. Se os regulamentos com o porte e escopo do GDPR fossem direcionados aos padrões do usuário final, os resultados seriam dramáticos. Assim como acontece com o compartilhamento de dados, os interesses da empresa não estão necessariamente alinhados com os dos clientes. Quando o 2FA é a exceção e não a norma, forçar os clientes a adotá-la poderia fazer com que eles mudassem de plataforma. Os lembretes constantes podem se tornar incômodos ou mesmo criar a impressão de que a empresa que os emite está propensa a violações de segurança. Assim como os bancos superaram os seguranças armados e arquiteturas de fortaleza em suas filiais, as empresas online não gostam de segurança visível, pois isso amedronta os usuários em vez de tranquilizá-los. Mas, se os padrões para 2FA fossem uniformes e fáceis de usar, haveria menos resistência a uma adoção geral.

A abordagem mais eficaz, então, é uma mistura de regulamentação, padronização e ação individual. Em outras palavras, precisamos trabalhar para reestruturar a arquitetura que guia nossas decisões, permanecendo comprometidos em nos manter em segurança dentro de um sistema que será sempre imperfeito. Talvez, então, seja bom voltar à sua caixa de entrada e abrir de novo alguns desses e-mails recebidos quando o GDPR entrou em vigor. Você leu os termos de serviço atualizados enviados a você por vários sites e programas em que você confia? As organizações foram obrigadas a tornar essas informações claras e fáceis para serem compreendidas pelos consumidores. Mas, lê-las é ainda uma responsabilidade sua.

O alcance da esfera digital em cada aspecto de nossas vidas é um desenvolvimento relativamente recente e ainda levará algum tempo para que as normas da sociedade acompanhem. Sabemos que usar fio dental e se exercitar são importantes para a saúde física. Da mesma maneira, ter uma boa “higiene cibernética” é essencial para a segurança online. A utopia não está próxima, é claro. Ser dentista ainda é um bom negócio, pois as pessoas não seguem as práticas recomendadas. Tivemos um século para trabalhar em nossos sistemas de transporte por automóveis e ainda temos inúmeros acidentes e vítimas. (Apressem-se, carros autônomos!) Mas, embora não seja possível controlar cada variável, podemos ficar mais seguros com bons hábitos e, de maneira lenta, mas eficaz, ficar todos mais seguros.

Espero que, se você estiver lendo essa publicação, seja um exemplo para aqueles ao seu redor, para que adotem as melhores práticas de segurança. Ao longo do tempo, à medida que o consumidor médio fica mais instruído e exige mais em termos de privacidade e segurança, as empresas e governos responderão com novos e melhores regulamentos e arquiteturas de sistema. O resultado será um sistema que funciona em sinergia, à medida que os indivíduos fazem escolhas melhores e as instituições se esforçam para garantir que essas escolhas criem um mundo digital seguro e transparente.