Home / Artigo / Compreendendo a política de privacidade

Compreendendo a política de privacidade

A gestão de dados pessoais exige atualização, transparência e comprometimento para que haja comunicação e pleno entendimento a todos os envolvidos.

Você baixa um arquivo, um programa e se vê obrigado a concordar o quanto antes para efetivar o processo. Um texto, geralmente longo, é “lido” em poucos segundos e a opção “concordar” é, ao que parece, o melhor a fazer. Eis as políticas de privacidade, um conjunto de regras que são amplamente utilizadas por provedores de serviços online para regular o uso de dados coletados.

O conteúdo está lá, mas os usuários costumam “pular” a leitura e não compreendem, de fato, tudo o que é autorizado na operação. Muito menos como esses valiosos dados serão tratados, controlados, armazenados ou compartilhados. A política de privacidade, incorporada no item “Termos de Serviço”, é um documento que regula a relação entre a ferramenta e o usuário. O conteúdo é, geralmente, elaborado por advogados e destinado a limitar a responsabilidade legal das empresas.

EUA x UE

Em muitos casos, a política de privacidade é legalmente exigida ou normativamente esperada pelos prestadores de serviços. Nos EUA, por exemplo, organizações engajadas em comércio eletrônico são obrigadas a seguir as diretrizes de Fair Information Practices, um conjunto de princípios resumidos pela Comissão Federal de Comércio. Diz respeito à coleta, uso e disseminação de informações pessoais (Federal Trade Commission, 2000). A maioria dos sites utiliza um documento de termos e condições para essa abordagem.

Na União Europeia, as Organizações estão sujeitas à Diretiva de Proteção de Dados, que é mais restritiva do que a lei americana. Já no Brasil, entrou em vigor em setembro deste ano a Lei Geral de Proteção de Dados Pessoais – LGPD. Assim, muitas organizações passam por um momento crucial de mudanças. Entre elas, a necessidade em atualizar padrões de privacidade e proteção de dados para atender requisitos legais – novos e aprimorados. A LGPD amplia as expectativas das empresas na forma de gerenciamento, uso, armazenamento, proteção e processamento de todos os dados pessoais.

Trata-se da principal ferramenta para usuários e grupos de proteção de dados analisarem e supervisionarem a conduta de uma companhia. Em variados casos, as empresas são acusadas e processadas com base na violação de políticas de privacidade ou pelas leis de privacidade de dados.

Tais itens mantêm informações que podem capacitar os usuários, deixando claro direitos e opções disponíveis para melhorar o controle do uso das informações pessoais. Por exemplo, a possibilidade de cancelamento de compartilhamento de dados a terceiros.

Limites

As informações fornecidas neste processo definem os limites para o uso de dados pessoais das empresas. Além disso, em muitos casos, a política explica as maneiras pelas quais os usuários podem controlar as informações coletadas e armazenadas. No Google, por exemplo, o documento fornece links para serviços que permitem aos usuários identificar ou obter uma cópia dos dados. No Facebook, o documento oferece conteúdos referentes ao controle das configurações de privacidade. Ou seja, baixar as informações armazenadas de um usuário, desativar ou excluir uma conta. A maioria dos usuários, porém, não observa devidamente o material.

Embora as próprias políticas não possam levar os usuários a evitarem um serviço, uma série de estudos recentes do Pew Research Center indicou que um grupo, formado por adultos e adolescentes, evitou o uso de aplicativos móveis ou optou pela desinstalação de serviços e aplicativos online devido à preocupação e incertezas do uso de informações pessoais (Pew, 2012, 2013 e 2015). Ao serem questionados sobre não ler as políticas de privacidade, os internautas ofereceram alguns motivos. Entre eles, complexidade, linguagem jurídica, linguagem vaga, uso de termos nebulosos, formato e tamanho da fonte ou o conhecimento prévio dos usuários da empresa ou marca.

O fato de que muitas políticas incluem o direito de uma empresa de alterar a política a qualquer momento, sem exigir o consentimento dos usuários, torna quase impossível acompanhar essas mudanças empresariais.

Qual o valor do tempo gasto na leitura de políticas?

E parece praticamente impossível ler todas as políticas dos sites com os quais interagimos. McDonald, Aleecia M. e Cranor, Lorrie Faith (2008) calcularam o tempo médio para um americano adulto ler todos os itens e atualizações que encontrar em um ano. O custo de oportunidade nacional (ou seja, o valor do tempo gasto na leitura de políticas em comparação entre diferentes sites, às custas de manufatura e mão de obra) foi de aproximadamente US$781 bilhões por ano. Os pesquisadores afirmam que a nação gastaria cerca de US$54 bilhões de horas por ano (média de 40 minutos diários por cidadão), caso todos os internautas americanos concluíssem a leitura de todas as políticas de privacidade de cada novo site visitado.

No entanto, não ler este conteúdo pode trazer implicações sérias. Quando um usuário desconhece os termos alinhados com uma empresa, ele pode, sem saber, consentir certos usos de informações pessoais que ela não aprovaria. Várias recomendações para esclarecer as políticas de privacidade para torná-las mais fáceis de compreender foram propostas por estudiosos. Isso inclui apresentar a política em um formato de camada, agentes de privacidade que resumem os pontos principais de uma política, uso de visualizações ou rótulos de privacidade semelhantes aos rótulos nutricionais. É preciso tornar este processo mais compreensivo e saber simplificá-lo, isso ajudaria os usuários a entendê-las melhor, mas o desafio, pelo visto, permanece.

Questões de pesquisa

Parece haver uma lacuna entre as evidências que mostram o desejo dos usuários de serem informados sobre o uso de suas informações e suas próprias declarações sobre não ler as políticas privacidade. Como, então, podemos explicar essa relação? Uma possível razão para a lacuna está relacionada à complexidade das políticas de leitura ou a forma como as informações são coletadas/tratadas pelo provedor de serviços. No geral, os usuários sentem que, embora gostariam de proteger sua privacidade online, a princípio, isso é uma tarefa complicada na prática. E, assim, desistem de tentar manter o controle. Ler todas as políticas parece uma missão impossível.

Experiências de um grupo seleto de sites

Como base para a elaboração de uma política usada como experiência, um estudo preliminar foi realizado para codificar as políticas de privacidade e registro de processos dos 100 sites mais populares do mundo, com base na relação de logins da Alexa em dezembro de 2012. Entre eles, páginas de pesquisa (Google, Bing), redes sociais (Facebook, Twitter, LinkedIn, Tumblr, Pinterest, Instagram), de notícias (BBC Online, HuffingtonPost, CNN), grupos de discussão (Stackoverflow), de informações (Wikipedia, Sobre) etc. Sites sem política de privacidade foram excluídos da codificação. No total, 45 itens foram codificados.

Os resultados mostram que o comprimento médio da política é de 2,4 mil palavras. Apenas sete (15,6%) das políticas incluíam um parágrafo proibitivo sobre qualquer modificação sem aviso aos registrados, enquanto 18 (40%) afirmavam que mudanças futuras na política pela empresa seriam informadas aos usuários. Um pouco mais da metade (23 ou 51,1%,) liberava a empresa para compartilhar informações coletadas com terceiros para publicidade, 18 (40%) concediam a divulgação de informações de terceiros para fins de pesquisa e 35 (77,8%) compartilhavam informações com terceiros para “melhoria de serviço”. Apenas 7 políticas (15,6%) informavam sobre a opção de se opor à divulgação de informações pessoais a terceiros. Nove (20%) não ofereciam essa opção, enquanto as 29 políticas restantes (64,4%) não fizeram menção à tal opção. Os 13 sites restantes (28,9%) não mencionavam nada sobre termos de serviço em cadastro.

Nesses casos, os usuários interessados devem buscar as informações no site das empresas – o que torna ainda mais difícil.

Depois dessa codificação, uma política de privacidade foi projetada para o experimento para corresponder ao estilo geral do tema no estudo preliminar. Isso inclui cláusulas, termos e frases de políticas comuns. Dos 64 participantes do grupo solicitados a concordar com os termos e condições do estudo sem apresentação da política por padrão, apenas 20,3% clicaram no link para ler a apólice, enquanto 79,7% concordaram com os termos sem qualquer clique.

Os 64 participantes atribuídos ao grupo padrão foram apresentados a uma cópia dos termos e condições, além de um pedido para indicar concordância por marcar a caixa de seleção. Este resultado impressionante de quase um minuto em média dedicado à leitura de um documento de 451 palavras é encorajador. Isso indica que a política foi relativamente lida com cuidado quando apresentada por padrão.

Compreender as restrições ao uso de dados pessoais

No questionário pós-sessão, os participantes responderam a seis perguntas destinadas aos usos autorizados e proibidos de dados pessoais descritos na política de privacidade. As perguntas eram simples (sim ou não) e apresentadas aos participantes (porcentagens de respostas corretas entre parênteses):

  1. A política de privacidade permite que os pesquisadores usem os dados do estudo para fins de pesquisa? (Sim – 70%)
  2. Permite que os pesquisadores vendam dados por uso comercial? (Não – 53%)
  3. Permite que os pesquisadores compartilhem os dados do estudo com outras entidades para fins de pesquisa? (Sim – 43%)
  4. Permite que os pesquisadores compartilhem os dados do estudo com outras entidades para outros fins que não a pesquisa? (Não – 41%)
  5. Permite que os pesquisadores entrem em contato com você após o estudo, usando as informações que você forneceu? (Não – 27%)
  6. Permite que os pesquisadores alterem a política de privacidade no futuro? (Não – 54%)

Note a importância desta leitura. Lendo a política no questionário pós-sessão, os participantes completaram itens destinados a obterem informações sobre a importância que atribuem à privacidade e à disponibilidade de políticas de privacidade em sites que visitam, a fim de testar as correlações entre importância ou políticas de privacidade e tempo dedicado à leitura da política.

Conclusões

Os resultados deste estudo indicaram que quando uma política de privacidade de um site é apresentada aos usuários por padrão, eles tendem a dedicar tempo e esforço significativos para leitura. Porém, quando existe a opção de aceitar os termos e condições do site sem qualquer leitura, eles, geralmente, desistem. Mesmo quando há a decisão pelo clique obrigatório para ler a política, eles gastam muito menos tempo e esforço para compreender o documento. Aumentar a conscientização do usuário sobre os potenciais usos de dados pessoais pelo prestador de serviço é de interesse social, mas também pode ser de interesse do prestador de serviço. Quanto maior o envolvimento, mais chances de decisões embasadas em relação às interações online.

Usuários informados são membros capacitados para controlar melhor os compromissos online. São consumidores com mais chances de influenciar a conduta de empresas que dependem da divulgação de informações pessoais de clientes. Quanto mais usuários ­­lerem as políticas e estiverem cientes da forma como os dados serão usados, mais transparência e controle. Quanto maior o envolvimento, maiores as chances de mudança no serviço e consideração das demandas dos usuários. No entanto, com a forma atual, não é razoável esperar que os usuários fiquem realmente informados.

Este contexto, porém, pode ser melhorado. Testemunhamos, na verdade, um crescimento recente em projetos que promovem a padronização de políticas de privacidade, criação de medidas universais para “justiça de uso” ou projetos concebidos para ajudar os usuários a entender os princípios das políticas de uso de dados do site. Em paralelo, temos inovações tecnológicas destinadas a fornecer ferramentas para gerenciar e proteger informações de abuso por terceiros. A solução não pode se limitar apenas a fazer tais políticas acessíveis, é necessário atentar quando as políticas são elaboradas de uma maneira que as tornam longas e incompreensíveis, quando o usuário não tem como afetar a forma como seus dados são tratados, quando as políticas mudam constantemente, ler a política não resolverá o problema.

Necessidade de informar os direitos

Por enquanto, as políticas de privacidade representam o método comum empregado por serviços para regular a utilização de dados pessoais. Uma recomendação feita em um relatório da FTC (Federal Trade Comissão, 2013) para tornar as políticas de privacidade padrão para aplicativos móveis, além da pequena lista de permissões atualmente exibida em instalação, sugere que este sistema não mudaria no futuro próximo. A informação deve ser acessível e compreensível para facilitar a compreensão dos usuários.

Ao contrário da abordagem pessimista que vê comprometimento e perda de controle sobre as informações pessoais como um mal necessário da era da informação, este artigo fortalece a alegação de que outras condutas possam ser cultivadas. Os usuários necessitam de informações sobre seus direitos. E, embora as empresas geralmente não tenham incentivo para encorajá-los a lerem as políticas, demandas feitas por usuários, governo e demais grupos podem levá-las a cumprirem e tomarem medidas compatíveis para o conceito atual. E, como resultado, as implicações deste descumprimento podem representar multas e punições por violação de leis de privacidade ou boicote dos usuários a determinado serviço.

Dados recentes apontam que as regulamentações em torno das políticas de privacidade não terminam apenas nos sites das companhias. É válido para qualquer ferramenta que coleta informações do site, como análise da página, formulários online ou widgets de bate-papo. Todos, sem exceção exigem políticas sobre o tema. O Google Analytics, a ferramenta de análise da web mais popular que existe, possui, inclusive, um requisito de política de privacidade nos termos de uso compartilhados.

Enfim, caso você planeje executar qualquer campanha publicitária online e necessitar coletar informações do usuário, fique alerta, pois Google e Facebook, por exemplo, mantêm e exigem políticas de privacidade em vigor. Isso vale também para anúncios de leads, que exigem um link de URL de privacidade em cada anúncio criado.

Basicamente, uma política de privacidade permite que os clientes saibam sobre a forma com que os dados são coletados – formulário ou cookies na página, a finalidade envolvida e o prazo de armazenamento.

As políticas de privacidade também podem incluir informações sobre quem tem acesso aos dados do cliente. Isso pode significar dar aos clientes o direito de solicitar dados, se desejarem, e um processo para atender esta demanda. Geralmente, envolve o fornecimento de informações de contato se houver alguma dúvida sobre a política de privacidade. Você também pode fornecer um aviso de desativação para usuários que não concordam com a política.

Finalmente, as políticas de privacidade costumam incluir a política de segurança que você usa para proteger os dados coletados. Isso representa um esboço das medidas de segurança tomadas para proteger os dados do cliente. Esse conjunto de normas propicia uma proteção a todos os envolvidos. Ou seja, ao escrever uma política, ela deve ser clara, atender todos os requisitos citados e explícita para que qualquer usuário possa entendê-la.

Sobre Aline Inácio

mm
Aline Inácio atua há mais de 17 anos nas áreas de Gestão de Riscos, Continuidade de Negócios e Administração de Seguros. Possui MBA Internacional em Gestão de Empresas e Negócios pela FGV, especialização em Governança Corporativa e Empreendedorismo na Babson Executive Education (Boston-EUA), especialização em Corporate Finance e Risk Management pela Columbia University (Nova Iorque –EUA), certificada pela AIRM - ALARYS International Risk Manager - e pelo DRI International. Atualmente, é business developer na Daryus Consultoria.

Confira tambem

O que é realmente necessário ao executar uma avaliação de riscos com base na ISO 27001?

O que é realmente necessário ao executar uma avaliação de riscos com base na ISO 27001?

A realização de uma avaliação de risco é uma parte central do processo da ISO …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *