Documento do Facebook destaca necessidade de mudança de cultura na empresa
O recente episódio decorrente da decisão do Facebook em impor aos usuários do WhatsApp, empresa pertencente ao grupo, a obrigação de permitir o compartilhamento dos dados pessoais sob pena de não poderem continuar a usar o aplicativo ainda não teve um final e, mesmo que o Facebook tenha adiado a vigência da decisão, é passível de observações mais aprofundadas.
Em 22 de dezembro de 2020, um documento (The big shift – a grande mudança) recentemente divulgado, mostra a preocupação do vice-presidente do Facebook, Andres Bosworth, com o comportamento que a empresa vem adotando desde o início de suas operações no desenvolvimento de produtos sem respeitar a privacidade dos usuários.
Para Bosworth, a maneira como o Facebook vinha atuando não seria mais a “melhor forma de atender aqueles que usam nossos produtos”, pois há a clara percepção de que as pessoas estão mudando o modo de como escolhem os serviços ao optarem por aqueles que possuem políticas e comportamentos que protejam a privacidade.
Ou, como Bosworth escreveu: “Precisamos considerar a experiência do consumidor de maneira holística, em vez de otimizar cada recurso individual”.
No documento, o vice-presidente orienta os funcionários para que desenvolvam os produtos dando prioridade à privacidade das pessoas, mesmo que a experiência até então demonstre condição diferente.
É o claro princípio do Privacy by Design, conceito criado pela canadense Ann Cavoukian, que foi Comissária de Privacidade e Informações de Ontário, no Canadá, para promover a visão de que o futuro da privacidade não se assegura pelo cumprimento de estruturas regulatórias e sim, de forma ideal, tornando-se o modo de operação padrão de uma organização.
O conceito de Cavoukian contempla o respeito à privacidade do usuário acima dos interesses da organização; defende que é possível conciliar segurança do produto com a privacidade; submete a possibilidade de verificação para comprovar que a tecnologia está de acordo com as promessas e objetivos declarados pela empresa; valoriza o uso de medidas proativas ao invés de reativas; impõe a segurança de ponta a ponta (proteção total do ciclo de vida dos dados pessoais envolvidos no fornecimento de um produto); estabelece a proteção de dados como configuração padrão (a privacidade do cidadão se incorpora ao sistema); o projeto dos produtos incorporam a privacidade em seus aspectos de design e arquitetura de sistemas de TI e de práticas de negócio (a privacidade é parte integrante do sistema sem que ocorra redução das funcionalidades).
Priorizar a privacidade é efetivamente algo necessário ao Facebook para demonstrar vontade de exercer práticas mais éticas e respeitosas. O comportamento da empresa vem sendo objeto de contestação em várias oportunidades.
Uma delas é oriunda do Federal Trade Comission (FTC), órgão americano de proteção aos consumidores, que processou o Facebook por práticas ilegais ao eliminar concorrentes com a aquisição do Instagram e do WhatsApp (ação reforçada por processos iguais, movidos por cerca de 40 procuradores estaduais). Em relação à proteção de dados, registre-se, o órgão multou o Facebook em 5 bilhões de dólares em 2019.
Comunicações semelhantes à de Andrew Bosworth já circularam anteriormente dentro da empresa. Porém, o memorando de agora traz o vigor de atingir a cultura do Facebook, entendida como a maneira exclusiva de promover progresso real para a organização. A mensagem deixa evidente a necessidade em desenvolver medidas internas de privacidade para que haja eficácia, ao contrário de se manter a cultura atual.
O princípio do Privacy by Design está evidente neste documento: “Em vez de imaginar um produto e ajustá-lo para se adequar aos padrões modernos de privacidade e segurança de dados, vamos inverter nosso processo. Começaremos assumindo que não podemos coletar, usar ou armazenar quaisquer dados. Cabe a nós demonstrar porque certos dados são realmente necessários para que o produto funcione. Mesmo assim, quero que façamos o escopo o mais agressivamente possível, mantendo uma barreira mais alta para o envio de dados ao servidor do que para o processamento local. Não tenho problema em darmos aos usuários opções para compartilhar mais, se eles desejarem (opt-in), mas por padrão não devemos esperar isso. Não quero apenas atender às expectativas dos consumidores em relação à privacidade hoje. Quero diferenciar nossos produtos com base na privacidade. Deixe outras empresas se esforçarem para nos acompanhar”, escreveu Bosworth.
Esses dizeres mostram o quanto é necessário mudar a cultura do Facebook enquanto empresa.
Memorando interno destaca privacidade dos usuários
O Privacy by Design está presente no artigo 5º do Regulamento Europeu de Proteção de Dados (GDPR), com a descrição dos princípios relacionados ao processamento de dados pessoais desde a sua criação, reforçado pelo artigo 32º que indica a necessidade da adoção de medidas técnicas e administrativas suficientes para propiciar segurança à proteção dos dados pessoais.
Na Lei Geral de Proteção de Dados (LGPD), em vigência no Brasil desde 18 de setembro de 2020, o princípio está contemplado nos artigos 46, 47, 49 e 50:
– 46: dever dos agentes de tratamento de dados (controlador e operador) em adotarem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais.
– 47: todos os que se envolverem em qualquer fase do tratamento de dados pessoais fica obrigado a garantir a segurança da informação prevista na LGPD;
– 49: os sistemas para tratamento de dados pessoais devem possuir estrutura que atenda aos requisitos de segurança, os padrões de boas práticas e de governança e aos princípios gerais da lei;
– 50, inciso I: implementar programa de governança em privacidade que demonstre o comprometimento com processos e políticas para assegurar o cumprimento de normas e boas práticas relativas à proteção de dados pessoais.
A decisão do Facebook que obriga os usuários do Whatsapp a permitirem o compartilhamento de dados é controversa ao extremo. Se de um lado é direito da empresa condicionar o uso à cessão dos dados pessoais dos usuários do aplicativo, é também uma afronta à LGPD em seu artigo 8º, especificamente sobre o requisito legal de tratamento de dados pessoais no que se refere ao consentimento: o consentimento tem que demonstrar a vontade do titular, referir-se a finalidade determinada (generalização será nula), possível de ser revogado a qualquer tempo a critério exclusivo do titular, alterações exigem que o controlador informe ao titular, para que decida se mantém ou revoga este consentimento.
A prática, entretanto, nos induz a acreditar que os dados que declaramos ao WhatsApp são inevitavelmente compartilhados com as outras empresas do grupo, mesmo sem a nossa permissão ou até conhecimento.
Talvez seja esse o motivo que determinou o adiamento da imposição do Facebook (o prazo inicial era 8 de fevereiro). Seja para respeitar a lei brasileira, como fez com o regulamento europeu, seja para atentar ao “The big shift” elaborado por seu vice-presidente.
O que importa em tudo isso é que a privacidade e a proteção de dados ganham espaço na cultura mundial com as leis e a atitude do Facebook é um entre milhares de casos possíveis de desrespeito à privacidade dos cidadãos.
Por isso, a recomendação de Andrew Bosworth chama a atenção e deveria servir de alerta para todos: empresas, organizações em geral, titulares de dados, órgãos públicos, ou seja, qualquer um que realize tratamento de dados pessoais.
Acima de qualquer punição pelo descumprimento da lei está uma grande mudança cultural que fala do direito das pessoas à privacidade, o que nos leva à 1890 quando Louis Bandeis e Samuel Warren publicaram o artigo “O direito à privacidade” (Harward Law Review), considerado um dos ensaios mais influentes na história dos direitos nos Estados Unidos e reconhecido como a primeira publicação a defender o direito à privacidade.
Por isso, defender a Lei Geral de Proteção de Dados em nosso país é um dever cidadão, além de ser um desafio por ensejar o equilíbrio entre a proteção das liberdades pessoais e as atividades econômicas.