A protecção de dados pessoais está na agenda das empresas face à proximidade da aplicabilidade do novo Regulamento Geral de Protecção de Dados. O RGPD visa aumentar a protecção das pessoas face às potencialidades dos novos meios tecnológicos, procurando-se igualmente aumentar a confiança na circulação de dados pessoais e no comércio electrónico em geral. Para esse efeito, impõem-se novas obrigações à generalidade dos agentes económicos e incorpora-se um regime de responsabilidade mais exigente
POR JOSÉ PEDRO ANACORETA CORREIA

A importância e urgência do tema decorre do facto de a informação ter uma importância crescente para qualquer organização. A informação é vista como o novo petróleo, ou como a matéria-prima da nova revolução industrial. Tal como o petróleo, a informação tem de ser extraída, refinada e distribuída. Mas ao contrário de muitas outras matérias-primas, não é um produto escasso. O seu valor pode ser exponencial, dependendo da forma como é utilizado, sendo o custo marginal irrisório.

José Pedro Anacoreta Correia é Strategic Project Management Director for HR and Data Protection na Sonae

No passado, as questões éticas relacionadas com a informação centravam-se essencialmente no uso da informação e respectivas consequências. Porém, actualmente, o aumento da capacidade de tratamento de dados, e a potencialidade associada à utilização, aumentam exponencialmente o risco de consequências negativas em relação aos titulares da informação. Por um lado, a forma como a informação é detida já pode levantar questões éticas e, por outro lado, as consequências da sua utilização nem sempre são visíveis. A utilização de dados pessoais pode conduzir a danos à escala dos desastres ambientais provocados pelas explorações petrolíferas.

Para muitas pessoais, a protecção de dados é ainda vista como uma questão de segurança de informação, ou seja, de assegurar a integridade, disponibilidade e confidencialidade dos dados. No entanto, as questões mais problemáticas têm sobretudo a ver com a utilização oculta dos dados.

As novas questões éticas prendem-se, sobretudo, com a utilização de algoritmos, inseridos em sistemas de tratamento automatizado, desde as simples fórmulas que facilitam processos de tomada de decisão, passando por mecanismos de data mining, identificação de perfis e segmentação, análises preditivas, até sistemas complexos de inteligência artificial e robótica que produzem resultados de forma autónoma. Estes sistemas podem ser de tal forma sofisticados que podem conduzir a efeitos indesejados. Tais sistemas podem ser usados para a manipulação de pessoas, para fins comerciais e até políticos, colocando em risco a liberdade e a própria democracia.

Independentemente das soluções concretas que as empresas venham a adoptar em cada processo, há dois aspectos que deveriam ser inegociáveis nas organizações.

A informação é vista como o novo petróleo, ou como a matéria-prima da nova revolução industrial

Por um lado, as empresas devem ser transparentes na informação prestada aos titulares de dados, respondendo de forma clara às seguintes questões: (i) quem utiliza os dados pessoais; (ii) que dados pessoais são utilizados; (iii) para que é que os dados são utilizados; (iv) como é que os dados são utilizados; (v) que direitos tem o titular dos dados. A informação pode ser prestada de qualquer forma, seja em formulários, na página da internet, ou em vídeos. Um exemplo conhecido é o da Easyjet.

A segunda questão tem a ver com o controlo dos processos de negócio. A conciliação entre os princípios e regras da protecção de dados com a potencialidade da exploração da informação será determinante para o desenvolvimento e sustentabilidade dos negócios. Essa conciliação passa pela revisão dos processos de negócio, no sentido de garantir um tratamento de dados pessoais mais controlado, evitando riscos de incumprimento. Aqui ficam apenas três exemplos práticos de como se pode reduzir o risco de violação de dados pessoais sem comprometer os objectivos de negócio.

As novas questões éticas prendem-se, sobretudo, com a utilização de algoritmos, inseridos em sistemas de tratamento automatizado, que podem ser usados para a manipulação de pessoas, para fins comerciais e até políticos, colocando em risco a liberdade e a própria democracia

Em primeiro lugar, deve haver uma relação exaustiva dos processos em que são utilizados dados pessoais, respectivas fontes de legitimidade e prazos de retenção. Sempre que estes deixem de ser necessários para os processos e mantenham apenas para efeitos analíticos, os dados podem ser anonimizados. Desta forma, os dados mantêm e até aumentam o seu valor económico, minimizando-se o risco para as pessoas. É certo que o conceito de anonimização não é linear, devendo aqui ser adoptado um critério de razoabilidade relativamente à possibilidade de identificar os indivíduos em função do tempo, custo e da tecnologia disponível.

Em segundo lugar, os processos devem ser desenhados procurando ter fontes únicas de informação, evitando-se ao máximo a proliferação da informação que eterniza a conservação em diferentes repositórios.

Pode igualmente ser implementado um sistema de gestão de acessos aos diversos processos com base numa matriz de acessos com base nos cargos exercidos pelas pessoas. Desta forma, evita-se uma gestão de acessos demasiado complexa e personalizada, podendo conduzir a que num determinado momento deixe de haver controlo sobre os dados a que cada pessoa tem acesso.