Modelo de negócio

Consentimento não informado

Leslie K. John
8 de fevereiro de 2019

As empresas querem mais e mais acesso a seus dados pessoais – desde onde você está até o que diz seu DNA. Será possível capturar esse valor sem precipitar um movimento de defesa da privacidade?

Leia também:

Os limites da análise de dados

O funcionário rastreado e feliz

Há três anos o site satírico The Onion publicou um artigo com a manchete “Mulher perseguida obsessivamente em oito websites por causa de um anúncio de sapatos”. Sempre que entrava na internet, a consumidora fictícia via o mesmo anúncio. “A parte mais assustadora”, diz ela na matéria, “é que o site sabia até o número que eu calço.” O texto zombava de uma técnica de marketing digital grosseira, mas cada vez mais comum. Hoje, porém, esse humor parece um pouco datado. A tecnologia foi além dos cookies e do redirecionamento de navegadores, o que permite aos anúncios nos seguir pela internet.

Os smartphones agora rastreiam nossa localização física e a proximidade de outras pessoas — e, como os pesquisadores descobriram recentemente, fazem isso até quando desativamos os serviços de localização. É possível ao usuário desativar o rastreamento em seu navegador, mas sua impressão digital eletrônica ainda pode ser conectada a vários dispositivos, permitindo que ele seja seguido. Assistentes domésticos como o Alexa escutam nossas conversas e, quando ativados, gravam o que dizemos. Uma gama crescente de coisas cotidianas — de bonecas Barbie a dispositivos médicos — conecta-se à internet e transmite informações sobre nossos movimentos, comportamento, preferências e até nossa saúde. Hoje, um modelo de negócio padrão na web é reunir o máximo possível de dados individuais e usá-los ou vendê-los — seja para atingir ou persuadir, seja para recompensar ou punir. A internet se tornou uma economia de vigilância.

Além disso, a ascensão da ciência de dados tornou as informações coletadas muito mais poderosas, permitindo que as empresas formem perfis notavelmente detalhados dos indivíduos. Usando dados aparentemente aleatórios, o aprendizado de máquina e a inteligência artificial podem fazer previsões assustadoramente precisas sobre as pessoas. Empresas podem usar a análise de dados para deduzir afiliação política ou sexualidade de alguém, ou mesmo quem teve um caso de uma noite. À medida que novas tecnologias, como software de reconhecimento facial e teste caseiro de DNA, são adicionadas ao kit de ferramentas, a vigilância das empresas pode em breve ultrapassar a dos Estados mais invasivos do século 20.

A pergunta óbvia é: como os consumidores deixaram isso acontecer? Como cientista comportamental, estudo a forma pela qual as pessoas às vezes agem contra seus próprios interesses. Uma questão é que o “consentimento informado” — o princípio que as empresas usam como permissão para operar nessa economia — é uma espécie de farsa. A maioria dos consumidores não está ciente das informações pessoais que compartilha online ou, o que é compreensível, eles são incapazes de determinar o custo de compartilhá-las — ou ambas as coisas.

É verdade que os consumidores obtêm alguns benefícios da coleta de dados, como publicidade mais significativa e melhor atendimento ao cliente, precificação e, possivelmente, até acesso a crédito. Mas as empresas precisam encontrar uma maneira de equilibrar os benefícios com a proteção da privacidade. Entidades de defesa do consumidor estão denunciando as práticas digitais invasivas. Os protestos ocorrem toda vez que um escândalo chega às manchetes, como na ocasião em que a Equifax perdeu informações pessoais sigilosas de dezenas de milhões de pessoas, ou quando operadores russos manipularam o voto dos americanos por meio das mídias sociais. Especialistas em privacidade na internet, que até recentemente eram vistos como excêntricos radicais, agora prestam testemunho perante o congresso americano e em conferências importantes. Na Europa, foi aprovada legislação substancial para proteger a privacidade do usuário. Começamos a ver sinais de uma revolta tecnológica generalizada, que pode ter profundas implicações para as empresas que usam os dados dos consumidores. Provavelmente não é coincidência que o valor da Facebook tenha caído cerca de 20% quando anunciou publicamente que poderia reduzir a coleta de dados.

Ao mesmo tempo, os consumidores não recompensam as empresas por oferecerem mais proteção de privacidade. As tecnologias que melhoram a privacidade não foram amplamente adotadas. As pessoas geralmente não estão dispostas a pagar por tecnologias que aumentam a privacidade e, mesmo que o façam, pagarão apenas quantias modestas. Embora alguns considerem isso evidência de que as pessoas simplesmente não se importam com a privacidade, cheguei a conclusão diferente: elas se importam, mas, como explicarei adiante, vários fatores as impedem de fazer escolhas sensatas.

Se ambos os lados continuarem em trajetórias divergentes, a economia da vigilância poderá estar fadada ao fracasso. A boa notícia é que os formuladores de políticas públicas podem ajudar. O primeiro passo é entender como as pessoas tomam decisões sobre a privacidade de informações pessoais e como podem ser induzidas a compartilhar demais.

Como os consumidores entraram na dança

Sejamos francos: as pessoas não tomam boas decisões sobre seus dados privados. Elas não entendem os custos e os benefícios. Além disso, vieses humanos naturais interferem no julgamento. E, seja de propósito ou por acaso, as grandes empresas de plataforma e os agregadores de dados estruturaram, de forma sutil, seus produtos e serviços para explorar esses vieses.

Impaciência. As pessoas tendem a supervalorizar os custos e benefícios imediatos e subestimar os futuros. Preferem US$ 9 hoje a US$ 10 amanhã. Na internet, essa tendência se manifesta na disposição de revelar informações pessoais em troca de recompensas insignificantes. Questionários e pesquisas gratuitas, geralmente administrados por terceiros, são um ótimo exemplo. Muitos não resistem a eles, mesmo que impere “o terror da segurança”. Por exemplo, no site popular Idade Real, as pessoas passam grande quantidade de informações sensíveis sobre a saúde em troca do “benefício” de saber se sua “idade biológica” é maior ou menor que sua idade cronológica.

Os consumidores não ganham nenhuma recompensa financeira por isso. Talvez estejam vagamente conscientes dos custos potenciais de fornecer tais informações (no extremo, prêmios mais altos de seguro no futuro), mas, como esses pontos negativos são vagos e localizados no porvir, são desconsiderados em troca de alguns minutos de diversão.

A impaciência é outro fator que impede a adoção de controles de privacidade. Em um experimento, pessoas que configuravam sua carteira digital receberam a oferta de um serviço que lhes protegeria (ou seja, criptografaria) os dados de transação de compra. Para adicioná-lo, alguns passos adicionais eram necessários, mas apenas um quarto delas completou o processo. A grande maioria não estava disposta a se submeter ao pequeno inconveniente de um processo simples, realizado uma única vez, para proteger seus dados contra abusos futuros.

Em geral, as “transações” de dados são estruturadas de modo que os benefícios da exposição sejam imediatos, tangíveis e atraentes, enquanto os custos são tardios ​​e amorfos — e, nessas situações, nossa impaciência nos leva à divulgação. Estações móveis de cartão de crédito, por exemplo, enviam seus recibos por email, eliminando o papel e tornando as transações mais rápidas. Mas o custo da captura do endereço de email e outras informações pessoais vêm depois. Dados confidenciais, como seu nome, demografia e localização são acumulados e compartilhados ou vendidos, e, muito provavelmente, você será bombardeado pelo marketing segmentado. Embora alguns desses anúncios possam ser bem-vindos, outros são irritantes ou intrusivos. E alguns temem que, no futuro, os dados dos consumidores sejam usados ​​de maneiras mais impactantes, como cálculos de pontuação de crédito — e, pos-
sivelmente, levar à digital redlining (discriminação digital de crédito, em tradução livre).

O efeito doação. Em tese, na hora de comprar um bem, as pessoas deveriam estar dispostas a pagar a mesma quantia que pediriam ao vendê-lo. Na verdade, elas geralmente valorizam menos um bem quando precisam comprá-lo. Uma dinâmica semelhante pode ser vista quando as pessoas tomam decisões sobre privacidade.

Em um estudo, Alessandro Acquisti, George Loewenstein e eu oferecemos aos consumidores um vale-presente de dois tipos: um de US$ 10 que não rastrearia compras e outro de US$ 12 que o faria. Em alguns casos, os participantes do estudo receberam a opção de “comprar” a privacidade, trocando o vale rastreado de US$ 12 pelo não rastreado de US$ 10. Em outros casos, tiveram a opção de “vender” sua privacidade, trocando o vale de US$ 10 pelo de US$ 12. Em ambas as situações, a privacidade custa US$ 2. Certamente, a disposição de pagar US$ 2 para proteger a privacidade não deve ser afetada pelo cartão recebido inicialmente. Mas, na verdade, quase 50% estavam dispostos a abrir mão da privacidade por US$ 2, enquanto menos de 10% estavam dispostos a pagar US$ 2 para obter privacidade.

Isso significa que valorizamos menos a privacidade quando temos de adquiri-la. Então, o simples fato de a informação ser, por default, pública ou privada pode ter enormes implicações; somos muito mais receptivos a compartilhá-la quando ela é predefinida como pública. Em termos mais gerais, a disparidade é consistente com a forma como as violações de privacidade geram protestos, enquanto os ganhos de privacidade são recebidos com júbilo inversamente proporcional. Ela pode também preparar o terreno para ciclos viciosos de erosão da privacidade: as violações tornam as informações cada vez mais públicas.

E quando nossas informações são públicas, valorizamos menos nossa privacidade, o que nos deixa mais confortáveis ​​para nos afastar dela.

As empresas definiram o default frouxo de privacidade — veja só — como o default do setor de tecnologia. Para dar apenas alguns exemplos: em novembro de 2016, a Uber alterou suas opções predefinidas para que pudesse rastrear os usuários o tempo inteiro. (Voltou atrás em setembro de 2017, depois de enfrentar críticas.) No aplicativo de pagamento social Venmo, as transações são públicas por padrão. A Google armazena automaticamente sua localização ao simples ato de abrir o aplicativo do Google Maps, e a opção de ser excluído é apresentada de forma confusa, para não dizer francamente capciosa.

A possibilidade de optar pela exclusão é acobertada com frequência. Em um relatório recente, o senador Mark Warner (democrata do estado de Virgínia) salientou como o aplicativo móvel do Facebook usava os defaults para “ardilosamente incitar o usuário a consentir em fazer o upload de seus contatos telefônicos para o próprio Facebook (algo altamente lucrativo para que o Facebook possa rastrear a rede social do usuário)”. A primeira tela do aplicativo móvel dá a impressão de que o consentimento para compartilhar contatos é a única escolha. Somente quando o usuário clica a tecla “saiba mais” ele descobre (se rolar para baixo e ler com cuidado) que pode optar pela exclusão.
Ilusão de controle. As pessoas compartilham o equívoco de que podem controlar processos aleatórios. Isso explica por que, por exemplo, os sujeitos do estudo valorizavam mais os bilhetes de loteria que eles haviam selecionado do que os bilhetes que lhes foram entregues aleatoriamente. As pessoas também confundem as armadilhas superficiais do controle com o controle real. Em meu estudo sobre receptividade a anúncios segmentados por comportamento, Tami Kim, Kate Barasz e eu descobrimos que as pessoas ficam mais confortáveis ​​com o compartilhamento de dados com terceiros, prática considerada por elas como invasiva, quando têm um senso de controle — mesmo que esse suposto controle não tenha nada a ver com os anúncios que veem ou com os dados compartilhados. Pode-se fazer com que as pessoas se sintam à vontade com algo tão irrelevante quanto um lembrete de que podem escolher fotos de perfil. Elas confiam demais em sua capacidade de controlar a própria segurança no ciberespaço, segundo pesquisas relacionadas. Segundo estudo recente da Experian, 56% dos entrevistados acreditavam erroneamente que o risco de roubo de identidade diminui com o tempo e 10% que não estavam em risco porque tinham pouco dinheiro.
Embora alguns esforços para conceder aos consumidores mais controle sobre seus dados sejam significativos, eu mesma sei de casos em que suas preocupações com a privacidade podem ser aplacadas por um senso ilusório de controle. Considere o site Network Advertising Initiative, que oferece a opção de excluir consumidor. Nele, os usuários são informados sobre as empresas que estão personalizando anúncios para seus navegadores e podem selecionar as empresas que eles pretendem excluir. Quando usei o serviço, optei por 72 anúncios de empresas. Eu me senti no controle. Mas, quando verifiquei as letras miúdas, descobri que minha escolha só impede que empresas específicas veiculem anúncios segmentados; isso não impede, necessariamente, que eu seja rastreada —fato facilmente esquecido porque eu mesma deixei de ver os anúncios segmentados — o que poderia me lembrar que meus dados estão sendo coletados.

Desejo de transparência. Este não é um viés de tomada de decisão. Em vez disso, os seres humanos têm o que parece ser um desejo inato, ou até mesmo a necessidade, de compartilhar informações com os outros. Afinal, é assim que forjamos relacionamentos — e somos criaturas sociais por natureza. Em um estudo, até as pessoas que estavam muito preocupadas com sua privacidade passaram a revelar prontamente informações pessoais para um bot de bate-papo. Descarregar seus segredos tem benefícios psicológicos e físicos. Quando estranhos formam duplas em experimentos de laboratório e são induzidos a revelar informações pessoais, criam afinidade. Manter um diário no qual você compartilha suas preocupações pode melhorar a saúde, enquanto manter segredos pode reduzir o bem-estar. E um estudo neurocientífico descobriu que quando as pessoas divulgam informações sobre si mesmas, ativam as regiões de recompensa do cérebro. No mesmo experimento, os participantes chegaram a declinar recompensas monetárias pela chance de responder a perguntas pessoais.

Nossa tendência à exposição aparece também na forma como enxergamos aqueles que se abstêm: desprezamos as pessoas reservadas. Como mostra minha pesquisa com Kate Barasz e Mike Norton, por exemplo, as pessoas desconfiam e não gostam das que evitam responder a perguntas pessoais ainda mais do que daqueles que revelam informações prejudiciais sobre si mesmos. Em um experimento, os participantes mostraram mais interesse em contratar o candidato a emprego que admitiu ter usado drogas do que aquele que não quis responder a pergunta relacionada ao assunto.

No contexto online, o limite entre transações sociais e comerciais é cada vez mais difuso. Por exemplo, em quase todas as plataformas de mídia social, os anúncios parecem posts não comerciais. Embora possa haver outras razões para essa prática (o desejo de tornar os anúncios menos intrusivos, por exemplo), ela confere aos anúncios a aparência de postagem social, o que, suspeito, ajuda a despertar o desejo das pessoas de se expor e mantém afastadas as preocupações com privacidade. Da mesma forma, interface ocasional e pouco profissional induz a divulgação, mesmo que tal interface seja frequentemente indicativa de proteção precária de privacidade.

De fato, aumentar o desejo de exposição parece fundamental para muitos sites de mídia social, inclusive a perpétua pergunta “no que você está pensando agora?” no Facebook. Os varejistas online acrescentaram elementos sociais semelhantes aos processos de vendas, como os robôs de bate-papo, projetados para criar relacionamento com os consumidores. A estrutura do site da Venmo espelha a dos sites de mídia social. Os usuários criam seu gráfico social adicionando contatos, e as transações desses contatos são exibidas de forma proeminente em um feed de notícias. Isso faz com que as transações financeiras pareçam transações sociais, transformando algo que as pessoas normalmente manteriam em sigilo em algo que elas não apenas ficam confortáveis em ​​compartilhar, mas talvez até queiram compartilhar. Embora os consumidores possam obter algum valor dos aspectos sociais dos sites, esses aspectos podem tornar os riscos de divulgação menos aparentes.

Falso senso de limite. No contexto offline, as pessoas naturalmente entendem e respeitam as normas sociais sobre discrição e comunicação interpessoal. Ainda que sejamos tentados a fofocar sobre alguém, a norma “não fale pelas costas” limita esse impulso. A maioria de nós jamais contaria segredos a um confidente se alguém estiver por perto. E a reação das pessoas nos faz recuar rapidamente quando revelamos algo inapropriado.

Mas no mundo online, as regras são diferentes. Geralmente não recebemos o mesmo feedback rico e visceral que tempera nosso comportamento no mundo offline. Podemos ter a ilusão, por exemplo, de que estamos revelando informações apenas para um seleto grupo de pessoas, como os amigos em nosso feed de mídia social. As pessoas entram em dificuldades quando publicam reclamações (digamos, sobre seu empregador) destinadas a um pequeno subconjunto de seus amigos, esquecendo o público mais amplo que pode ver essas revelações (por exemplo, o chefe
e os colegas).

Somos facilmente seduzidos pela aparente efemeridade das interações digitais. Minha pesquisa com Reto Hofstetter e Roland Rüppell descobriu que as tecnologias de compartilhamento temporário nas quais as mensagens desaparecem, como o Snapchat e o Instagram Stories, levam as pessoas a fazer revelações desinibidas. No entanto, o dano à reputação pode ser duradouro. A maioria de nós não sonharia em fazer um gesto inapropriado em reunião profissional apenas porque é passageiro. Mas online, talvez porque em geral recebemos feedback empobrecido,
a promessa de efemeridade nos induz a compartilhar demais.

Complexidade e o impasse atual

Esmiuçamos o lado do consumidor e o do produtor na economia de vigilância, mas na base de tudo há um fator de importância crescente: a complexidade.

Você sabe como funcionam os cookies? Você entende como as informações sobre seu histórico de navegação, solicitações de pesquisa, curtidas no Facebook e assim por diante são monetizadas e convertidas e trocadas entre os corretores para segmentar seus anúncios? Você sabe o que é gravado e rastreado quando pede ao seu assistente digital que faça algo? A resposta provavelmente é não. E isso é um problema.

Um dos princípios fundamentais de qualquer mercado é que o comprador deve tomar cuidado. Mas online, ponderar os riscos e os benefícios do compartilhamento parece um ato fútil de metafísica. Quanta privacidade você perde quando as empresas rastreiam sua localização — e qual é o valor dessa privacidade? A conveniência adicional de uma ferramenta de navegação GPS vale a pena? Quando se deve “pagar” ao consumidor por permitir o rastreamento contínuo de localização? Além disso, a “engrenagem” nos bastidores da economia de vigilância é tão bizantina e opaca que é efetivamente impossível que os consumidores sejam adequadamente informados.

Não há como saber o que fazem, ou farão, com seus dados. Embora a Facebook tenha reforçado a supervisão de aplicativos, bem como seu acesso a dados do usuário, o fato é que muitos aplicativos vendem informações de usuários obtidas no Facebook, e os consumidores não sabem onde seus dados vão acabar quando concordam com os termos e condições dos aplicativos. Suponha que há alguns anos você clicasse em um link do Facebook para um teste como “qual filme dos anos 80 melhor representa sua vida?”.

O administrador do questionário poderia ter reunido alguns dados do Facebook — aniversário, amigos, coisas clicadas por você, curtidas, locais, grupos aos quais você pertencia, locais onde você fez o check-in — para repassar a terceiros, escondidos em JavaScript para contornar as proteções de privacidade oferecidas pela maioria dos navegadores da web. Um corretor de dados poderia ter coletado esse pacote de informações e vendido para uso em campanhas de anúncios segmentados. Seria efetivamente impossível descobrir como seus dados se moviam através do ecossistema publicitário ou identificar os corretores ou agências envolvidos.

Ao mesmo tempo, não há nada que impeça seus amigos de compartilhar informações em seu nome. Em um estudo realizado pelos economistas Susan Athey, Christian Catalini e Catherine Tucker, as pessoas divulgaram prontamente o endereço de email de seus amigos em troca de pizza grátis.

Mesmo quando os consumidores buscam ativamente descobrir quais informações pessoais foram compartilhadas e com quais entidades, as empresas nem sempre são acessíveis. Quando os usuários clicam no recurso “por que estou vendo este anúncio?” do Facebook (que é difícil de encontrar), as explicações dadas às vezes são genéricas (por exemplo, “um dos motivos pelos quais você vê este anúncio é que a Rothy’s quer atrair pessoas que sejam parecidas com seus clientes ”).

Mesmo que todos os atores e transações na economia de vigilância pudessem ser amplamente compreendidos, em alguns casos ainda seria impossível para os consumidores saber o que divulgam de fato, porque fragmentos distintos de dados podem ser sintetizados para formar novos dados. Por exemplo, é possível identificar alguém conhecendo as datas e locais de apenas quatro de suas transações com cartão de crédito. O número da previdência social de uma pessoa nos EUA pode, às vezes, ser previsto pela sua data e local de nascimento, o que significa que, se um consumidor fornecer sua data de nascimento a uma entidade que já conhece seu local de nascimento, ela pode, inadvertidamente, estar divulgando seu número da previdência social. O que o consumidor revela não é apenas uma função do que o consumidor decide revelar: é também determinado pelo que o destinatário conhece desse consumidor.

Agora, os algoritmos e o poder de processamento possibilitam a criação de perfis comportamentais dos usuários sem nunca solicitarem seus dados. A mera presença na rede social de alguém ou um comentário sobre o feed social de outra pessoa pode ser colhida para prever e gerar projeções. Esse fenômeno cria impasses inteiramente novos: se uma empresa traça o perfil de um consumidor usando aprendizado de máquina, esse perfil está sujeito à regulação de informações pessoalmente identificáveis? O consumidor tem algum direito a ele? As empresas devem ser autorizadas a usar tais técnicas sem o consentimento dos alvos, ou não devem usá-las em absoluto? Ninguém sabe.
Por todas essas razões, a tomada de decisão sobre privacidade é incrivelmente complexa. E quando as pessoas percebem que as decisões são extremamente complexas, elas tendem a se desvencilhar. Qualquer um que tenha deparado com a decisão de “aceitar” termos de uso online sabe disso. Geralmente, são tão longos que não é razoável esperar que sejam lidos, muito menos entendidos. Um estudo estimou que os americanos demorariam 54 bilhões de horas anualmente para ler a política de privacidade de cada novo site que visitam.

Assim, a maioria dos consumidores responde levantando as mãos para o céu e concordando com os termos que, se entendessem, lhes causariam hesitação. Os usuários de aplicativos de jogos para dispositivos móveis, por exemplo, podem se surpreender ao saber que deram consentimento para que alguns desses aplicativos compartilhem seus dados pessoais com terceiros, por qualquer motivo. Alguns têm até acesso ao microfone, que usam para gravar áudio mesmo quando o aplicativo não está ativo — e mesmo que essas informações não sejam usadas no próprio jogo. “Superaplicativos” como o WeChat, da China, com 1 bilhão de usuários, têm amplo acesso a dados pessoais, incluindo postagens em mídias sociais, detalhes bancários e de cartão de crédito, transações financeiras e até dados de voz.

Ao fornecer informações técnicas sobre os custos e benefícios do compartilhamento de informação e fazer com que os consumidores “concordem” com ele, essas e outras plataformas digitais sustentam uma espécie de possibilidade plausível de negação.

A complexidade faz com que seja difícil consertar a economia de vigilância sem quebrar o sistema por completo. Embora isso seja possível, não é um bom resultado. A coleta de dados não é necessariamente um problema para o usuário da internet. Os consumidores obtiveram enormes benefícios dela e das grandes plataformas, como Alphabet e Facebook. No entanto, o fato de que grande parte da economia de vigilância opera sub-repticiamente e por default indica que as empresas de tecnologia têm motivos para temer que os consumidores prefiram não participar caso realmente entendam a barganha proposta pelas tecnologias “livres”.

Além disso, enquanto os consumidores navegam no escuro, as empresas têm uma compreensão muito melhor de seus próprios custos e benefícios. Despesas com tecnologia de rastreamento e corretores de dados e o aumento nas vendas graças a anúncios de segmentação mais apurada podem ser calculados com precisão. As empresas, portanto, têm uma vantagem sobre os consumidores no que diz respeito à informação. Como qualquer economista lhe dirá, essa assimetria, por si só, indica uma falha de mercado e, portanto, sugere a necessidade de uma intervenção regulatória.

Como restaurar o equilíbrio

Na década de 1960, quando ficou claro que os consumidores não eram capazes de avaliar riscos de forma adequada — como o perigo de andar de carro sem cinto de segurança e a chance de uma garrafa de refrigerante explodir — e que as empresas não estavam motivadas para lidar com eles, o governo dos EUA e de outros países começaram, de forma sistemática, a escrever regulamentos de segurança de produtos. Pesquisadores argumentam que, nessas situações, faz sentido para os reguladores transferir o risco para aqueles que são mais capazes de gerí-lo: os fabricantes. Dado que os consumidores enfrentam desafios semelhantes na avaliação dos riscos de privacidade, os legisladores devem considerar a adoção dessa abordagem na regulamentação da coleta de dados pessoais.
É claro que qualquer resposta regulatória fará com que os céticos apontem os problemas espinhosos que nem sequer começamos a entender. Estas são apenas algumas das perguntas que eles poderão fazer:

• Até que ponto as pessoas são donas de seus dados pessoais?
• Devem ter expectativa de privacidade em espaços públicos ou é justo que se faça vigilância de tudo na esfera pública?
• O domínio online é um espaço público?
• Qual é o valor da privacidade? Ele pode ser calculado?
• Qual é o valor da informação pessoal? Ela pode ser calculada?
• Quais informações são de meu controle — estão inclusas as previsões sobre o meu comportamento geradas por IA?
• Quais são os custos de aplicar a regulamentação da privacidade? Eles superam os benefícios?

Alguns argumentam que pode ser tarde demais para proteger os dados pessoais dos consumidores, porque eles já foram alimentados em ferramentas de aprendizado de máquina que podem inferir com precisão informações sobre nós sem coletar mais nada. Apesar das impressionantes capacidades do aprendizado de máquina, essa ainda não é a realidade. As empresas continuam a ter grande interesse em obter dados do consumidor. Mas mesmo que a capacidade preditiva da IA diminua a demanda por dados de consumo, a regulamentação poderia estabelecer limites básicos sobre o que as empresas podem fazer com essas previsões (por exemplo, impedir que as seguradoras de saúde discriminem candidatos com problemas médicos).

Embora os detalhes dessa regulamentação estejam além do escopo deste artigo, a pesquisa que descrevi fornece algumas orientações gerais sobre o que provavelmente funcionará. Primeiro, o objetivo não deve ser simplesmente dificultar o compartilhamento ou aumentar de modo unilateral as barreiras das empresas aos dados do consumidor. Tal abordagem seria demasiadamente simplista, porque empresas e consumidores também têm muito a ganhar com o compartilhamento de informações. E os reguladores devem estar cientes dos custos de restringir o fluxo de informações — por exemplo, o potencial de impedir a inovação.

Na Europa, a recente Lei de Privacidade do Regulamento Geral de Proteção de Dados da União Europeia (GDPR) exige que as empresas obtenham o consentimento dos consumidores para coletar informações pessoais. Isso é louvável, pois resolve o problema do default, mas causa incômodo aos consumidores. E quando as pessoas deparam repetidamente com decisões sobre a opção de consentir ou não, elas podem ficar dessensibilizadas, o que não é uma boa receita para escolhas ponderadas. Portanto, alguns dos mesmos fatores que tornam a coleta de dados pronta para a intervenção também faz com que a elaboração dos regulamentos seja especialmente desafiadora.
Uma abordagem comum é exigir que as empresas forneçam aos consumidores informações sobre os custos e benefícios relevantes do compartilhamento e que os informem sobre violações de dados. Mas, como já observei, a pesquisa aponta para os limites dessa abordagem. É improvável que o problema seja resolvido, uma vez que os usuários não leem as políticas de privacidade e, apesar do alvoroço da mídia, não tomam uma atitude quando descobrem as violações. (A maioria dos usuários do Facebook permaneceu na plataforma depois do escândalo da Cambridge Analytica.)

Uma abordagem relacionada é usar a regulamentação para reduzir diretamente os riscos aos consumidores, impondo, por exemplo, restrições específicas sobre o que as empresas de dados pessoais podem coletar e sobre a forma como podem usá-los e impondo penalidades se não houver compliance. Nos Estados Unidos, não existe uma lei nacional que regule a coleta e uso de dados pessoais. Algumas regras básicas parecem estar em operação. Em Massachusetts, as empresas devem criptografar dados pessoais que circulem nas redes públicas. E a inovadora Lei de Privacidade do Consumidor da Califórnia impõe várias regras às empresas; por exemplo, as que vendem dados dos consumidores devem permitir que os usuários recusem essas vendas sem penalidade.

Essa abordagem, porém, pode ser apenas um “jeitinho” que não resolve o problema — por meio dela, as empresas encontram brechas para se esquivar e não cumprir a lei. Por exemplo, a nova Lei de Privacidade da Califórnia proíbe o tratamento diferenciado de consumidores que exercem seus direitos de privacidade — a menos que “esteja relacionado ao valor fornecido pelos dados do consumidor” —, uma possível brecha a ser explorada pelas empresas. E pode ser fácil encontrar as soluções no espaço digital, onde as empresas são bastante ágeis; um rápido ajuste na formulação de uma política de privacidade pode ter enormes consequências.

Assim, o que a intervenção do governo pode fazer de fato é dar às empresas um incentivo para só usar os dados pessoais dos consumidores de forma razoável. Uma maneira de fazer isso é adotar uma ferramenta usada no regime de segurança do produto: responsabilidade estrita, ou responsabilização das empresas pelas consequências negativas decorrentes do uso de dados do consumidor, mesmo na ausência de negligência ou má-fé. De forma semelhante, as empresas que coletam nossos dados pessoais podem ser consideradas, como alegaram os estudiosos jurídicos de Jack Balkin e Jonathan Zittrain, como “fiduciárias de informações” — entidades que têm a obrigação legal de se comportar de maneira confiável com nossos dados. Intervenções como essas dariam às empresas um interesse sincero em usar os dados de forma responsável e em antecipar abusos e falhas no sistema de coleta e compartilhamento de dados (porque, do contrário, enfrentariam penalidades financeiras).

Com certeza, muitas questões difíceis precisam ser respondidas primeiro. Por exemplo, como os danos seriam aferidos? Embora o dano causado pela divulgação não possa ser calculado com precisão, ele pode ser estimado. Terry Bollea (também conhecido como “Hulk Hogan”) recebeu US$ 115 milhões em danos compensatórios quando Gawker violou sua privacidade, postando uma fita de sexo sua onde milhões podiam visualizá-la. (Para fins informativos: trabalhei como consultor da equipe de Bollea neste caso.)

Outro desafio é demonstrar o dano. Alguns defendem, de forma convincente, que é difícil fazer isso na esfera privada, então os tribunais teriam de aceitar a noção de danos probabilísticos. Além disso, o que constitui o uso “sensato” versus “insensato” de dados? É difícil de explicar, mas, muitas vezes, é o tipo de coisa que você reconhece quando vê. E um dos principais objetivos da regulamentação, em primeiro lugar, seria servir como dissuasor e evitar o uso irresponsável de dados.

Uma preocupação comum com a regulamentação é que ela pode reduzir a concorrência. O custo da conformidade é desproporcionalmente oneroso para os pequenos atores, de modo que o efeito líquido da regulação pode
ser maior poder de mercado para empresas grandes e estabelecidas. Mas há razões para acreditar que essa armadilha seria menos provável se as empresas tivessem interesse em se comportar de maneira confiável. Primeiro, empresas com muito dinheiro seriam mais visadas por aqueles que buscam indenização. Em segundo lugar, talvez essa abordagem seja menos restritiva aos estreantes, porque não exige um grande investimento inicial em conformidade, como nas abordagens diretas.

A regulamentação não é uma panaceia para a economia da vigilância. Certamente introduzirá novos problemas. É possível fazer mais para conquistar a confiança dos consumidores do que apenas seguir a lei. Mas se nos basearmos em insights da ciência comportamental e aceitarmos que os consumidores tomam decisões imperfeitas e não são atores econômicos perfeitamente racionais, poderemos elaborar uma regulamentação melhor que ajude a perceber os benefícios da coleta de dados e mitigar suas armadilhas — para empresas e consumidores.


Leslie K. John é professora associada na Harvard Business School.

Compartilhe nas redes sociais!