Em Grandes ideias em movimentoMary Stone Ross, coautora de Lei de Privacidade do Consumidor da Califórnia (CCPA) A ex-presidente da Californians for Consumer Privacy fala sobre como entrou no campo da privacidade "do lado oposto", como analista de contrainteligência da CIA.
Um problema “aterrorizante” para resolver
Em um pré-Cambridge Analytica Em todo o mundo, o sentimento popular em relação à privacidade de dados se resumia a: "Se você quer manter algo privado, simplesmente não o publique na internet."
Após ser apresentado ao universo da privacidade — e munido de experiência em políticas públicas e direito — Ross “começou a se aprofundar e tentar descobrir: será que existe mesmo um problema aqui? Será que estamos tentando resolver algum problema?”
Como ex-membro do Comitê de Inteligência da Câmara dos Representantes, que ajudou a supervisionar o programa de grampos telefônicos da NSA posteriormente revelado por Edward Snowden, Ross tinha uma visão privilegiada sobre qual poderia ser o problema.
“Sinceramente, não estávamos muito preocupados com isso”, diz Ross sobre o programa na época. “Havia vários mecanismos de supervisão em vigor para verificar o uso dessas informações e garantir que não fossem longe demais.”
Na perspectiva de Ross, muitos problemas graves se resumiam à supervisão. “Quando comecei a pesquisar e a observar… quanta informação Essas grandes empresas estavam coletando e o granularidade de detalhesIsso realmente me apavorou. E quando comecei a ver quanta informação — coisas como informações de saúde e informações precisas de geolocalização — estavam disponíveis, e como ninguém supervisionava isso ou como estavam sendo usadas, eu sabia que esse era o problema que precisávamos resolver.”
De defensor da privacidade a acionista da CCPA
Ross iniciou a pesquisa para CCPA Em 2016. "Você ouve o tempo todo: 'Ah, foi aprovado em uma semana — foi escrito em uma semana!' E isso não poderia estar mais longe da verdade."
Trabalhando em conjunto com a ACLU, a EFF e diversas organizações de defesa da privacidade, "estávamos realmente tentando ser ponderados e abordar as coisas de uma maneira diferente".
A CCPA começou como uma Lei de Liberdade de Informação para empresas privadas. "A ideia era que você pudesse ir a qualquer empresa e perguntar: 'O que vocês sabem sobre mim?' e eles teriam que te dizer.
“Mesmo para pessoas que talvez não estejam interessadas ou não tenham tempo para fazer essas coisas, é uma forma de fiscalizar esses negócios… Se eles tiverem que divulgar em linguagem simples O que eles estão coletando e o que estão fazendo com essas informações se torna uma forma sutil de controle. Talvez haja certos tipos de informação Eles não querem coletar porque não querem que isso se torne público.”
CCPA: O que funcionou?
Dos consumidores direitos sobre seus dados Em relação aos requisitos de divulgação para empresas, a CCPA estabeleceu regulamentações importantes.
“O que vocês não veem nos bastidores é que muitas empresas estão, pela primeira vez, pensando: 'Que informações estamos coletando sobre as pessoas?'” Organizações começaram mapeando seus dados e aprimorando seus processos internos — não apenas para os órgãos reguladores, mas também para sua imagem pública.
De acordo com a CCPA, as empresas tiveram que considerar: Que informações temos? Precisamos delas? E, se não, devemos? livre-se disso“Foi um grande triunfo”, diz Ross.
CCPA: O que não funcionou?
Na visão de Ross, a aplicação da lei sob a CCPA sofreu com concessões legislativas que privaram indivíduos e autoridades do direito de mover ações judiciais contra organizações que não cumpriam as normas.
“Na iniciativa, tínhamos uma aplicação muito rigorosa. Permitíamos o direito de ação privada, o que significa que qualquer indivíduo prejudicado por uma violação da CCPA poderia entrar com um processo. Isso foi eliminado.”
Promotores distritais, procuradores municipais e procuradores distritais também não têm mais o direito de iniciar ações judiciais — somente o Procurador-Geral da Califórnia. "Tenho a maior admiração pelo Procurador-Geral [Xavier] Becerra e pelas pessoas em seu gabinete, que enviaram sinais muito claros de que pretendem aplicar esta lei e aplicá-la com seriedade", diz Ross.
O problema é que o Procurador-Geral tem recursos limitados. Muito limitados — suficientes para cerca de três ações de fiscalização por ano. O resultado é que muitas empresas fazem o mínimo necessário, apostando na sorte e presumindo que não serão uma dessas três.
Será que a CPRA resolverá o "problema de fiscalização"?
Embora a mais recente iniciativa de privacidade da Califórnia, a Lei de Direitos de Privacidade da Califórnia (CPRA), busque Dar “dentes de verdade” à CCPA Ross tem reservas quanto à criação de uma nova agência dedicada à aplicação da lei.
“Acho ótimo ter uma nova agência de proteção de dados na Califórnia”, diz Ross, “mas, da forma como a nova iniciativa está redigida, o orçamento está limitado a 1,4 trilhão de dólares por ano.”
Em contrapartida, “o orçamento da FTC é superior a 1.430 milhões de dólares por ano, e todos concordam que esse valor não é suficiente para que eles tomem todas as medidas coercitivas necessárias. Portanto, 1.410 milhões de dólares é uma quantia realmente pequena. Talvez seja suficiente para criar uma agência, mas não entendo por que limitar o orçamento a um valor tão baixo quando a dimensão do problema é enorme.”
O futuro da regulamentação federal
Assim como outras iniciativas que se originaram na Califórnia — como padrões mais rigorosos de emissões de carros e notificação de violação requisitos—Ros previu o proliferação em todo o país e o impacto que a CCPA teria além das fronteiras da Califórnia.
Como ex-agente federal e defensora da privacidade, ela considera isso um sinal positivo para uma futura legislação federal que substituiria as regulamentações estaduais.
“Há um fluxo constante de projetos de lei sobre privacidade sendo apresentados em Washington… Acredito que, nos próximos anos, haverá uma legislação federal abrangente sobre privacidade. É mais do que apenas a CCPA e a CPRA. É o que outros estados estão fazendo. Acho que o setor teme uma colcha de retalhos com leis de 50 estados diferentes. Do ponto de vista empresarial, isso torna muito mais difícil a conformidade.”
Ross defende que os benefícios das práticas responsáveis de privacidade de dados residem na confiança pública, na simplificação dos processos de negócios e, em última análise, numa vantagem competitiva. "Privacidade", afirma ela, "é, na verdade, um ótimo negócio."
Ouça a entrevista completa. Para saber mais sobre como Ross ajuda as empresas a lidar com a legislação de privacidade e para onde ela prevê que o cenário da privacidade esteja caminhando, clique aqui.
Autor
