Luciana Coen

Há 10 anos, Larry Ponemon, então sócio da empresa de consultoria PriceWaterhouseCoopers, achou que companhias precisavam de diretrizes para estabelecer políticas de privacidade com dados de clientes e funcionários. De lá para cá, novas tecnologias surgiram no mercado, como RFID (do inglês, radio frequency identification, ou identificação por radiofreqüência), capazes de registrar não só dados para controle de cadeia de suprimentos, como informações sobre hábitos de consumo de pessoas. Para o especialista em privacidade e ética Larry Ponemon, fundador do Ponemon Institute, sócio da consultoria em CRM Peppers and Rogers e integrante da International Association of Privacy Professionals (IAPP), este problema vêm aumentando. Segundo estudos conduzidos pela associação, mais de 76% das empresas não respeitam suas próprias políticas de privacidade. O resultado disso pode ser catastrófico. Cidadãos podem conseguir menos crédito para financiamentos de casa própria e carro, podem ter seus seguros de vida aleatoriamente aumentados, se empresas privadas continuarem trocando informações sobre as pessoas. Em entrevista exclusiva para o COMPUTERWORLD, Ponemon dá sua opinião sobre a maneira como empresas e governo deveriam proceder em relação à privacidade.

COMPUTERWORLD - Qual é a importância da privacidade de dados hoje? Qual é o seu papel nesta área?
LARRY PONEMON - Trabalho com grandes empresas dando consultoria em privacidade e ética de dados. O conceito de privacidade e a importância disto para a população são muito diferentes no mundo todo. Para empresas multinacionais pode ser muito complicado lidar com diferentes culturas e leis ao redor do mundo. O que eu faço é prestar consultoria para estas empresas. E, cada vez mais, empresas que fizerem um bom trabalho tentado entender quem são seus clientes, terão maior sucesso.

Infelizmente nós, como americanos, temos a tendência de achar que todas as regras se aplicam para todos os países e empresas, generalizando as coisas não só nas leis, como também na percepção que as pessoas têm da importância da privacidade. Um americano pensa em privacidade de um jeito. Um brasileiro, que vive no Rio, por exemplo, pensa de outro jeito. Mas a realidade é que as coisas não são assim.
Empresas estão gerenciando a privacidade muito mal. Estas companhias correm o risco de expor seus clientes.

Por outro lado, aquelas que têm uma boa política de privacidade, parecem ter mais sucesso no mercado.Um bom exemplo disso é uma grande empresa de telecomunicações canadense, chamada Bell Canadá, que tem uma política de privacidade que permeia toda a estratégia de CRM da companhia. Seus clientes conseguem escolher a política de privacidade que eles querem da empresa, por meio de seus telefones. A qualquer momento eles podem desligar a opção para receber mensagens de marketing e mudar opções de privacidade pelos celulares deles mesmos. Este é um exemplo de empresa que faz isso corretamente e que, por isso, vão correr menos riscos, não só legais, como de perder clientes por falta de confiança.

CW - Você disse que há diferenças fundamentais na maneira como Estados Unidos, Europa e América Latina lidam com a privacidade. Quais são estas diferenças?
PONEMON - Em diferentes partes do mundo, privacidade é mais ou menos importante, de acordo com a condição social do país. Por exemplo, em lugares em que há muita pobreza, a questão da privacidade torna-se menos importante do que em países como a Alemanha, por exemplo, que tem uma economia mais forte e estável. Mas acho que há outras questões sócio-culturais, como a fase pós-Segunda Guerra Mundial, na Europa. Naquela época, muitas leis de privacidade foram criadas, porque a perspectiva geral era de que o governo poderia ser muito ruim e não protetor. Portanto, decidiu-se criar leis de privacidade para proteger o cidadão de estruturas governamentais como as da Alemanha durante a Segunda Guerra.

Nos Estados Unidos, por outro lado, nunca tivemos isso. Há uma questão cultural muito importante, que é a propriedade da nossa informação. Em geral, a percepção é de que a minha informação é de minha propriedade, mas a partir do momento em que eu dou informações a meu respeito para uma empresa, esta informação continua sendo minha ou é da empresa? Em diferentes partes do mundo, incluindo Brasil e até Argentina, as informações que uma empresa possui de seus clientes é tida como um valioso ativo.  E quem tem a informação é considerado o dono da informação. Mas nada é realmente regulamentado.

Na Alemanha, por exemplo, informações pessoais são consideradas de propriedade da pessoa. E, tal como em investimento em um banco, em que se você tem algum dinheiro lá, pode retirar os lucros do banco, se a empresa tem informações tuas com ela, você tem direito aos lucros obtidos com esta informação. Mas nos Estados Unidos e na América Latina, se uma empresa recolhe informações de alguém ela tem o direito sobre essas informações. Mas isto está mudando.

CW - Que tipo de abuso pode acontecer por causa da falta de regulamentação em geral?
PONEMON - Coisas muito sérias podem acontecer. Por exemplo, uma empresa pode ter uma informação errada sobre uma pessoa e, por causa disso, esta pessoa pode perder crédito para comprar uma casa, ou um carro, por exemplo.
A tendência é pior, com o aumento na utilização de novas tecnologias. Atualmente, no Ponemon Institute, uma organização cujo foco é pesquisa e educação em privacidade, está realizando um estudo e discutindo as implicações da tecnologia RFID, uma tecnologia que pode controlar a cadeia de suprimentos de uma empresa.
Mas também, por meio dela, é possível saber que eu, por exemplo, compro biscoitos (cookies). Isto pode ser abuso de privacidade. A tecnologia ainda não é tão sofisticada. Mas em dois ou três anos, pode tornar-se perigosa.

Em pouco tempo, uma empresa pode saber que determinada pessoa está
comprando muito vinho. Se não houver uma política de privacidade, ela pode vender ou entregar estas informações à companhias de seguro, por exemplo. O seguro do seu carro pode aumentar, com base na suposição de que a pessoa compra tanto vinho que provavelmente pode estar dirigindo bêbada.

Se tiver comprando muito cigarro e comidas não muito saudáveis, pode-se estabelecer um perfil perigoso para o plano de saúde também.

CW - O senhor conhece exemplos concretos de abuso de privacidade?
PONEMON - Uma grande cadeia de supermercados nos Estados Unidos, que não posso dizer o nome, estava passando informações de clientes que possuem o cartão de fidelidade da rede, para o governo. Na verdade, por não haver uma política clara, um gerente achou, por  puro patriotismo, depois do atentado de 11 de setembro, que seria bom mandar informações para o governo para que fosse possível rastrear prováveis terroristas.

Com estes cartões, é possível rastrear suas compras. Estas informações são vendidas a empresas de varejo, para que façam pesquisas para novos produtos. No entanto, com estas informações, seria possível rastrear pessoas que comem determinados tipos de alimentos.

No caso específico desta rede, rastreavam hábitos de compra de alimentos típicos do oriente médio, e poderiam colocar as pessoas em determinadas categorias.
Também depois do 11 de setembro, muitas companhias aéreas decidiram abrir informações para o governo, e em muitos casos isto seria ilegal.

CW – Em uma empresa privada, quem, em sua opinião, deveria ser a pessoa responsável pela política de privacidade?
PONEMON - Temos políticas de melhores práticas que recomendamos. Achamos que o CIO deve ter a responsabilidade nas informações, políticas de privacidade e proteção de dados.

CW - E qual seria o primeiro passo para um CIO?
PONEMON – O primeiro passo é fazer um inventório de dados. Ou seja, informações precisam estar separadas por categorias, como informações financeiras, pessoais, de hábitos de consumo, sobre familiares. E, é claro, tudo isto tem de estar absolutamente seguro.

O segundo passo é saber o que clientes e funcionários esperam e permitem que você faça com estes dados. Chamamos isto de estudo de alinhamento, para estabelecer a expectativa de privacidade dos envolvidos.

Com estes dois procedimentos realizados, é preciso estabelecer uma boa política de privacidade e fazer com que seja respeitada.

Cerca de 98% de problemas com privacidade no mundo acontecem não porque não há uma política, mas porque ela não é respeitada, porque as pessoas não estão bem instruídas a este respeito.

Um último e importante ponto é o monitoramento desta política. Mais do que isso, é preciso ter a certeza de que as pessoas tenham um canal para reclamar. Eu mesmo já tive um problema como este. Uma empresa de cartão de crédito mandou uma proposta pra mim, no meu endereço, com número de cartão de outra pessoa. Eu imediatamente pensei em telefonar para a empresa e avisar. No entanto, não havia nenhum número impresso na carta.

CW - O CIO poderia contar com um funcionário ou estrutura específicos para este tarefa?
PONEMON – Sim. A situação ideal seria ele ter um funcionário que respondesse diretamente para ele. Seria o Responsible Information Manager (Gerente para Responsabilidade da Informação). Seria uma pessoa que faria o gerenciamento das informações sobre pessoas, sejam elas funcionários ou clientes. Esta pessoa teria de ter contato direto com a área de segurança. É possível ter ótima segurança de dados, e uma política de privacidade péssima. Mas não se pode ter uma ótima política de privacidade, sem ter uma ótima segurança.

CW - Falamos até agora sobre empresas privadas. Mas há também governos, que possuem volumes enormes de informação sobre as pessoas. De que forma eles deveríam agir?
PONEMON - A maneira como empresas e governo guardam e cuidam de seus dados deveria ser bastante similar. Mas há uma grande diferença: em uma organização de negócios, o CIO precisa provar que, investindo em uma política de privacidade, a empresa terá maior lucro, com bons fluxos de dados. E com isto, eles ganham a confiança dos consumidores.

Governos têm posturas diferentes. Acredite ou não, nos Estados Unidos, ao contrário do que se ouve, a população tem maior confiança no governo do que em empresas privadas. Mas em muitos países, isto não é uma realidade. Nestes lugares, CIOs de governo precisam estabelecer mecanismos de transparência.

CW - A International Association of Privacy Professionals, organização da qual o senhor faz parte, tem uma certificação chamada CPP (Certified Privacy Professional, profissional de privacidade certificado). Como funciona esta certificação? Que instituição é essa?
PONEMON - Esta certificação é um sonho que eu tenho a 10 anos. Eu era sócio da empresa de consultoria PriceWaterhouseCoopers e sentia a necessidade de educar empresas para o tema da privacidade. Queríamos poder instruir executivos e oferecer a eles o que precisam saber sobre o tema, para tornarem-se mais eficientes.

A demanda foi aumentando e agora temos uma certificação internacional, com treinamento em diversas culturas de privacidade. Acabamos de começar o processo de certificação. O primeiro exame será feito em outurbro, em Nova Orleans, nos Estados Unidos. Além do exame, outros critérios serão adotados, como trabalhos executados e cartas de recomendação. Mas esta primeira certificação não é para experts, é uma certificação básica. Se quiserem mais informações, basta acessar o site www.privacyassociation.org. Neste site há muitas informações sobre privacidade e sobre a organização (IAPP).

CW – Em que ponto o senhor acredita estarem as empresas neste momento?PONEMON – Há quatro anos estudamos a política de privacidade em grandes companhias. Em média, 76% delas não estão adequadas às políticas de privacidade criadas internamente. Infelizmente, não houve melhora nestes anos. Acredito que isto aconteça por causa da impunidade. As pessoas acham que não serão pegas. Que nada acontecerá com elas se utilizarem dados de terceiros impropriamente. E com novas tecnologias chegando, a tendência é piorar ainda mais se não começarmos a regulamentar isso tudo.

|Computerworld - Edição 410 - 09/06/2004|