Em BigIDeas em movimento, Mary Stone Ross, coautora do Lei de Privacidade do Consumidor da Califórnia (CCPA) e a ex-presidente da Californians for Consumer Privacy fala sobre como ela chegou ao espaço da privacidade vindo do "lado oposto", como analista de contrainteligência da CIA.
Um problema “aterrorizante” para resolver
Em um pré-Cambridge Analytica mundo, o sentimento popular em relação à privacidade de dados se resumia a: "Se você quer manter algo privado, então não o publique na internet".
Uma vez introduzido ao universo da privacidade — e munido de experiência em políticas e direito — Ross "começou a investigar e a tentar descobrir se há mesmo algum problema aqui. Existe algum problema que estamos tentando resolver?"
Como ex-membro do Comitê de Inteligência da Câmara que ajudou a supervisionar o programa de escutas telefônicas da NSA que Edward Snowden posteriormente vazou, Ross tinha uma visão única sobre o que esse problema poderia ser.
“Na verdade, não estávamos tão preocupados com isso”, diz Ross sobre o programa na época. “Havia vários mecanismos de supervisão em vigor para verificar o uso dessas informações e garantir que não fossem longe demais.”
Da perspectiva de Ross, muitas questões importantes se resumiam à supervisão. “Quando comecei a pesquisar e a ver quanta informação essas grandes empresas estavam coletando e granularidade de detalhes, isso realmente me apavorou. E quando comecei a ver quanta informação - coisas como informações de saúde e informações precisas de geolocalização — estavam disponíveis, e como ninguém tinha supervisão sobre elas ou como estavam sendo usadas, eu sabia que esse era o problema que precisávamos resolver.”
De defensor da privacidade a acionista da CCPA
Ross iniciou a pesquisa para CCPA em 2016. "Você ouve o tempo todo: 'Ah, foi aprovado em uma semana — foi escrito em uma semana!' E isso não poderia estar mais longe da verdade."
Trabalhando em conjunto com a ACLU, a EFF e diversas organizações de privacidade, "nós realmente tentamos ser atenciosos e abordar as coisas de uma maneira diferente".
A CCPA começou como uma Lei de Liberdade de Informação para empresas privadas. “A ideia era que você pudesse ir a qualquer empresa e perguntar: 'O que você sabe sobre mim?' e eles teriam que te contar.
“Mesmo para as pessoas que talvez não estejam interessadas ou não tenham tempo para fazer essas coisas, é um controlo sobre estes negócios…. Se tiverem de divulgar em linguagem simples o que eles estão coletando e o que estão fazendo com essas informações, torna-se uma verificação de energia suave. Talvez haja certos tipos de informação eles não querem coletar porque não gostariam que isso fosse divulgado publicamente.”
CCPA: O que funcionou?
Dos consumidores direitos sobre seus dados para requisitos de divulgação para empresas, a CCPA estabeleceu regulamentações importantes.
“O que você não vê nos bastidores é que há muitas empresas que pela primeira vez pensaram: 'Que informações estamos coletando sobre as pessoas?'” As organizações começaram mapeando seus dados e melhorar seus processos internos — não apenas para os reguladores, mas para sua imagem pública.
De acordo com a CCPA, as empresas tinham que considerar: Que informações temos? Precisamos delas? E, se não, deveríamos livre-se disso? “Foi um grande triunfo”, diz Ross.
CCPA: O que não funcionou?
Na opinião de Ross, a aplicação da CCPA sofreu com concessões legislativas que privaram indivíduos e autoridades do direito de mover ações legais contra organizações não conformes.
Na iniciativa, tínhamos uma aplicação muito robusta. Permitimos um direito privado de ação, o que significa que qualquer indivíduo que fosse prejudicado por uma violação da CCPA poderia entrar com uma ação judicial. Isso foi eliminado.
Promotores distritais, procuradores municipais e promotores municipais também não têm mais o direito de iniciar ações judiciais — apenas o Procurador-Geral da Califórnia. "Acredito que o mundo do Procurador-Geral [Xavier] Becerra e das pessoas em seu gabinete realmente enviaram sinais muito claros de que pretendem aplicar esta lei e pretendem aplicá-la seriamente", diz Ross.
O problema é que o Procurador-Geral tem recursos limitados. Muito limitados — suficientes para cerca de três ações de fiscalização por ano. O resultado é que muitas empresas fazem o mínimo necessário, apostando nas probabilidades e presumindo que não serão uma dessas três.
A CPRA resolverá o “problema da aplicação da lei”?
Embora a mais recente iniciativa de privacidade da Califórnia, a Lei de Direitos de Privacidade da Califórnia (CPRA), procure colocar “dentes de verdade” atrás do CCPA Ao estabelecer uma nova agência dedicada à execução, Ross tem reservas.
“Acho ótimo ter uma nova agência de proteção de dados na Califórnia”, diz Ross, “mas do jeito que a nova iniciativa está escrita, o orçamento está limitado a $10 milhões por ano”.
Em contrapartida, “o orçamento da FTC é superior a $300 milhões por ano, e todos concordam que não é dinheiro suficiente para que eles tomem todas as medidas de fiscalização necessárias. Portanto, $10 milhões é realmente uma quantia pequena. Talvez seja suficiente para criar uma agência, mas não entendo por que limitar o orçamento a um valor tão pequeno quando a extensão do problema é enorme.”
O Futuro da Regulamentação Federal
Tal como outras iniciativas que tiveram origem na Califórnia, como normas mais rigorosas para as emissões dos automóveis e notificação de violação requisitos — Ross previu o proliferação nacional e o impacto que o CCPA teria além das fronteiras da Califórnia.
Como ex-agente federal e defensora da privacidade, ela considera isso um sinal positivo para uma eventual legislação federal que substituiria as regulamentações estaduais.
Há um fluxo constante de legislação sobre privacidade que continua sendo introduzido em Washington... Acredito que, nos próximos anos, haverá uma legislação federal abrangente sobre privacidade. É mais do que apenas CCPA e CPRA. É o que outros estados estão fazendo. Acho que o setor teme uma colcha de retalhos de 50 estados. Do ponto de vista empresarial, isso torna muito mais difícil o cumprimento das normas.
Ross sustenta que os benefícios de práticas responsáveis de privacidade de dados residem na confiança pública, em processos comerciais mais fáceis e em uma vantagem competitiva definitiva. "Privacidade", diz ela, "é, na verdade, um ótimo negócio".
Ouça a entrevista completa para saber mais sobre como Ross ajuda as empresas a navegar pelas leis de privacidade e onde ela vê a mudança no estado da privacidade.
Autor
