Data privacy: What every manager needs to know

Privacidade de dados: o que todo gerente precisa saber

À medida que as empresas começam a obedecer aos princípios do GDPR, a diretiva da União Europeia sobre proteção de dados, elas precisam entender melhor o que são informações pessoais e como gerenciá-las de forma adequada.

Neste episódio do McKinsey Podcast, Kayvaun Rowshankish, sócio da McKinsey, e a sócia associada Alexis Trittipo conversam com Simon London sobre o recém-implementado Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, seu significado, quem é afetado por ele e como as empresas podem fazer um melhor gerenciamento dos dados pessoais.

Transcrição do podcast

Olá e sejam bem-vindos a esta edição do McKinsey Podcast apresentado por mim, Simon London. Seja qual for o seu negócio, quer você goste ou não, você está envolvido com privacidade de dados. Os dados que você coleta sobre clientes, funcionários, potenciais clientes, até mesmo pessoas que visitaram seus prédios ou seus sites na internet estão cada vez mais sujeitos a regras e regulamentações. A nova diretiva europeia de proteção de dados, conhecida como GDPR, é parte dessa história, mas não é a história completa.  Estão comigo aqui hoje para discutir essas questões dois consultores da McKinsey que trabalham com clientes exatamente nesses assuntos relacionados a dados, análises, tecnologia, privacidade e riscos. Eles são Kayvaun Rowshankish, que é um sócio baseado no escritório de Nova York, e Alexis Trittipo, que é sócia associada, também em Nova York. Kayvaun e Alexis, muito obrigado por estarem conosco.

Alexis Trittipo: Eu é que agradeço. Estou muito feliz em participar.

Kayvaun Rowshankish: É um prazer estar aqui.

Simon London: Privacidade de dados: parece que está se tornando um tema geral de gestão. Dados de forma geral, mas a privacidade dos dados especificamente. Se você é um gerente geral em áreas como marketing, vendas, tecnologia e provavelmente também em várias outras áreas, definitivamente você tem que conhecer o assunto.

Alexis Trittipo: Ao olharmos para as organizações, em todos os setores, os dados pessoais são gerenciados em todos os níveis da organização. Não é mais um problema somente para o diretor executivo de dados ou para o diretor de segurança da informação.

Agora esse é um problema também para o RH. É um problema para seus representantes de atendimento ao cliente. O tema realmente abrange a organização em termos de quem entra em contato com os dados pessoais e de quem irá precisar, honestamente, entender os regulamentos que estão sendo implementados.

Kayvaun Rowshankish: Cada vez mais, as instituições estão se inclinando a um modo centrado em dados. Veja a Amazon, por exemplo. É claro que eles enviam alguns produtos físicos pelo correio, mas 90% dos negócios da Amazon hoje giram em torno de dados, dados de pessoas físicas e dados que representam os produtos que eles gerenciam. Isso está acontecendo com a maioria dos setores no momento. E outro fator que que está levando isso para o nível gerencial é o fato de que o escopo das PII [Personally Identifiable Information ou Informações de Identificação Pessoal] é bastante ambíguo. Antes, podíamos pensar nessas informações apenas como o nome de um cliente, talvez o número de inscrição na previdência social e alguns outros dados sobre localização.

Mas agora, como estão sendo capturados muitos tipos de dados comportamentais, transações e outras operações, e várias formas de usar advanced analytics para derivar essas informações, a questão das informações de identificação pessoal acabou se tornando muito mais complexa e obscura.

Simon London: Um dos grandes pontos de discussão no momento é que o Regulamento Europeu de Proteção de Dados, a diretiva GDPR, entrou em vigor no final de maio. Acredito que muitos gerentes estão apenas começando a lidar com as implicações operacionais disso. Provavelmente muitas instituições ainda estão se debatendo para estar em conformidade. Então, Kayvaun, você poderia nos dar uma visão geral dos principais aspectos da GDPR?

Kayvaun Rowshankish: Em termos simples, a diretiva visa proteger os indivíduos. E por "indivíduos", eu quero dizer europeus. Mas isso não significa que instituições fora da Europa estejam dispensadas de cumprir a diretiva.  Os cidadãos europeus viajam, têm relações com instituições fora da Europa e há relacionamentos de terceiros com instituições que lidam com dados de indivíduos europeus que também levam a próxima camada de instituições para o escopo. Há um conjunto bastante amplo de empresas afetadas.

O que a diretiva pretende fazer,  em termos bastante simples, é forçar essas instituições a montar uma estrutura e disciplinar o significado real de Informações de Identificação Pessoal, onde elas estão, colocar mais opções nas mãos dos indivíduos a quem as PII referem-se, de forma que eles possam decidir se querem que você tenha esses dados ou como administrá-los (ver sidebar, “GDPR: Principais fatos”).

Isso força essas instituições a minimizar o volume de dados que realmente armazenam (e processam), a estabelecer controles em relação às PII que armazenam e processam e impõe um conjunto de normas de governança e processos em torno desses dados, o que inclui modelos de responsabilização, como a nomeação  de um diretor de privacidade e o estabelecimento de um conjunto de processos para interagir com órgãos reguladores e indivíduos, seja no gerenciamento de seus direitos, seja na resposta a violações e outros tipos de incidentes nesse espaço.

Então, finalmente, a outra coisa que este regulamento faz é impor algumas multas bem pesadas em caso de descumprimento. Está bem claro que as empresas estão sujeitas a uma multa de até 4% de sua receita global se violarem as regras. Mas também coloca em prática - porque isso vai se tornar uma exigência legal - a oportunidade para que as pessoas afetadas por violações ao regulamento ajuízem um processo civil contra essas instituições.

Alexis Trittipo: O GDPR é o primeiro regulamento em grande escala que realmente visa proteger os direitos individuais em relação a dados pessoais. Ele pretende dar às pessoas um controle sem precedentes sobre seus dados em diferentes aspectos. Por exemplo, posso apagar informações, posso pedir para ver quais dados uma empresa tem a meu respeito, etc. Será muito interessante ver como as empresas reagirão. Com o decorrer do tempo, poderemos observar como isso irá funcionar na Europa e também no resto do mundo.

Simon London: É correto dizer que, embora o GDPR seja uma norma europeia, certamente ele pode se tornar o padrão global de fato para qualquer grande organização?

Alexis Trittipo: É difícil dizer que se tornará o padrão global porque o que estamos vendo agora, enquanto as pessoas estão procurando maneiras de implementar a diretiva, é que ela está sendo implementada principalmente nas operações baseadas na Europa e nas quais há contato com consumidores e clientes baseados na União Europeia.

Mas a maioria das organizações está pensando: “Se eu precisar desse nível de controle, desse nível de proteção, desse nível de processamento para lidar com dados pessoais na Europa, como posso pensar sobre isso de maneira mais ampla? E como expandir isso? " E eu acho que as organizações ainda não chegaram a esse ponto. Mas quando pensamos nisso, esse será, globalmente, o mais alto padrão relativo a controle e manutenção segura de dados pessoais.

Kayvaun Rowshankish: Existem algumas discussões sobre se os Estados Unidos devem adotar padrões consistentes e apenas implementá-los no país ou ainda se as necessidades do mercado norte-americano são suficientemente diferentes para que algo diferente surja. Acho que acontece o mesmo com outras regiões.

Prevemos que outras regulamentações sejam implementadas abrangendo regiões que o GDPR não cobre hoje, visando abordar problemas semelhantes. Se você olhar para a história e regulamentações que surgiram na Europa, perceberá que os Estados Unidos escolheram agir de forma diferente.

Se a mesma coisa acontecer aqui, vai causar todos os tipos de problemas. Porque os sistemas que as instituições globais usam para gerenciar dados de cidadãos europeus são os mesmos sistemas usados para gerenciar informações de pessoas dos Estados Unidos. Se você tiver que começar a aplicar padrões e controles diferentes a esses sistemas e processos, isso causará muita fragmentação, redundância e ineficiência, além de possíveis vazamentos de informações e perda de foco, porque existem muitos padrões diferentes tentando abordar a mesma coisa.

Acho que seria ideal se houvesse alguma consistência e isso se tornasse um padrão ao qual outras empresas tentassem aderir e estender para demais regiões. Mas, como sempre digo, se o passado é alguma indicação do futuro, no fundo, eu sabia que isso iria acontecer.

Simon London: Uma das coisas que li sobre o GDPR é que ele é uma diretiva baseada em princípios [Quadro]. Analisando alguns princípios, é possível perceber que são bastante amplos. Você poderia nos dar alguns exemplos do que o GDPR realmente exige das empresas?

Alexis Trittipo: Quando pensamos em um regulamento baseado em princípios, como o GDPR, ele deixa muitos pontos abertos para interpretação. Os princípios têm um nível bem elevado. Cada empresa terá que descobrir por si só como interpretar esses princípios, qual é o escopo e o que isso significa para elas. E com o tempo, veremos como os órgãos reguladores reagirão a tais interpretações.

Um dos princípios diz respeito à limitação de armazenamento de dados. Ele basicamente determina: "Não mantenha os dados por mais tempo do que o necessário por um motivo ativo que você tenha explicitado ao titular dos dados". E quando digo "titular dos dados", pode ser um cliente ou um funcionário - é uma pessoa como você ou eu.

Isso é diferente da forma como as empresas gerenciam dados hoje. Normalmente, eu penso: “Quero coletar os dados, vou mantê-los pelo tempo que eu quiser e vou usá-los em um monte de análises diferentes". Eu não penso que - a menos que exista um motivo regulatório - devo excluir esses dados em algum momento. Apenas mantenho as informações em minha central de armazenamento de dados ou, mais provavelmente, em várias centrais.

The General Data Protection Regulation sets out guiding principles for data protection.

As empresas precisarão acompanhar atenciosamente por quanto tempo elas estão retendo dados e realizar um processo ativo de exclusão de dados. Uma coisa muito desafiadora é como vou conciliar onde tenho que guardar algo por um motivo jurídico, fiscal ou de compliance ou se preciso excluir uma informação devido a esse princípio de limitação de tempo de armazenamento de dados. Isso é uma questão que as empresas terão que enfrentar.

Outro exemplo é a limitação dos objetivos. O regulamento exige que você diga ao titular o motivo pelo qual os dados estão sendo coletados. E essa coleta tem que ser justificada por um objetivo específico e legítimo. Então, depois de usar os dados com esses fins legítimos, você não poderá usá-los para mais nada, de acordo com o regulamento. Portanto, se eu disser: "Ei, estou coletando essas informações para que abrir uma conta bancária para você", por exemplo, não posso usar essas informações em campanhas de marketing ou outras coisas. À medida que as empresas pensam sobre isso, os tipos de divulgação de informações que eles têm que fazer para os titulares dos dados se tornarão importantes, de forma que possam usar os dados para fins comerciais, como desejam.

Kayvaun Rowshankish: Também acho que a maioria das instituições está apenas tentando lidar com a definição de escopo. Estão simplesmente tentando entender o ponto de partida: “OK, quem são os indivíduos cobertos pelo regulamento? E como defino quais são as PIIs relacionadas a esses indivíduos?”

Então, obviamente, os clientes estão cobertos. Os funcionários estão cobertos. Mas, à medida que você tem que ordenar os visitantes de um prédio, numa situação na qual é preciso inserir algumas informações para ter acesso a esse prédio, as pessoas podem estar deixando um rastro de PII. E pessoas que não são seus clientes podem fazer consultas. Em que ponto passa a ser sua responsabilidade a proteção das informações que estão sendo inseridas em seu site, por exemplo?

E o que são as Informações de Identificação Pessoal (PII)? Obviamente, elas incluem nome, endereço e número de inscrição na previdência social. Mas quando você chega a coisas como endereço IP ou informações sobre o fluxo de clicagem, não está claro se seriam necessariamente abrangidas. Além disso, seria extremamente difícil estabelecer os tipos de controles exigidos pelo regulamento sobre esses aspectos.

Simon London: Embora o GDPR seja baseado em princípios, ele conta com alguns direitos muito específicos, não é mesmo? Os residentes na União Europeia desfrutam de algumas prerrogativas bem específicas de acordo com o GDPR. Você pode falar um pouco sobre isso?

Alexis Trittipo: Isso mesmo. E, mais uma vez, quando pensamos sobre o propósito desse regulamento, grande parte dele tem a intenção de dar às pessoas mais controle sobre seus dados pessoais. Entre eles, está o direito de acesso à informação. Um residente da União Europeia teria o direito de ligar para uma empresa e dizer: "Quero ver todos os dados pessoais que vocês têm a meu respeito."

Outro é o direito de excluir dados, também chamado de ‘direito de ser esquecido’, segundo o qual eu posso entrar em contato com uma empresa e dizer: "Quero que vocês apaguem todos os dados pessoais que têm sobre mim." Há também coisas como o direito à portabilidade, ou seja, posso pedir que meus dados sejam transferidos para outra pessoa.

Há também o direito de que seus dados não sejam processados de forma totalmente automatizada, que diz: “Quero uma pessoa envolvida na tomada de decisões sobre mim. Não quero que decisões a meu respeito sejam baseadas em análises, máquinas ou robôs.”

Todos esses direitos são essenciais para o GDPR. Enquanto as empresas ainda pensam em como vão obedecer ao regulamento, é muito importante que sejam capazes de garantir o cumprimento de todos esses direitos dos titulares dos dados, dentro do prazo estipulado - que para muitas delas é de 30 dias.

Kayvaun Rowshankish: Outra solução provável é que as empresas determinem algum benefício de custo de ter essa pessoa como cliente. E para muitos daqueles que dizem: "Não, eu não concordo que você automatize as decisões sobre mim. Eu não concordo que você armazene esse tipo de informação sobre mim", muitas instituições vão apenas responder: "Tudo bem. Mas, desculpe, não podemos ter você como cliente.”

Para fazer o GDPR funcionar da forma correta e para lidar com a privacidade da forma correta, é preciso que toda a organização esteja se movendo na mesma direção.

Simon London: Você mencionou a exigência (de certas empresas) de nomear um Diretor Executivo de Proteção de Dados como parte do novo regulamento. Qual é o trabalho dos Executivos de Proteção de Dados? Parece uma função muito importante, podendo responder a muitas dessas questões em aberto.

Alexis Trittipo: O Executivo de Proteção de Dados, ou DPO (Data Protection Officer, em inglês) é o elemento central no que diz respeito à conformidade com o GDPR, e é um profissional que deve ter uma atuação fundamental quanto à privacidade de dados em geral para ajudar quando os titulares dos dados dizem: “ Quero exercer um dos meus direitos”. O DPO deve ajudar a facilitar os trâmites quando há uma violação de dados e assegurar que os órgãos reguladores recebam as notificações corretas. Também deve garantir que haja consistência de padrões de dados nas políticas e nos procedimentos. Essa pessoa é a parte responsável pelo GDPR.

Kayvaun Rowshankish: Um aspecto bem interessante e que se tornou uma questão espinhosa sobre essa função é que o DPO é considerado responsável perante as agências e as autoridades, mas não para a instituição que o emprega. Além disso, os regulamentos estabelecem que esses executivos precisam responder a posições hierárquicas muito superiores, ou seja, devem se reportar ao presidente executivo ou ao conselho de administração da empresa.

O que isso realmente significa, e acho que a maioria das pessoas está interpretando assim, é que eles também precisam de acesso à informação. E, como disse a Alexis, eles são responsáveis - mas em termos legais. Se houver uma violação, uma multa e alguém se envolver em problemas, normalmente o DPO é que será considerado juridicamente responsável antes de qualquer outra pessoa.

Essa situação criou muitos problemas no setor, com tentativas de descobrir onde colocar esse profissional na organização, quais responsabilidades atribuir a ele e dúvidas sobre sua localização geográfica, especialmente para instituições não-europeias com presença global. O Executivo de Proteção de Dados deveria ficar nos Estados Unidos? Ou seria mais relevante estar posicionado em uma pessoa jurídica europeia, o que poderia deixá-lo mais longe do conselho? Existem todos esses tipos de complicações.

Alexis Trittipo: Vemos isso em diferentes níveis da organização. Às vezes, o DPO está sob a supervisão de um Diretor de Segurança da Informação (CISO, de Chief Information Security Officer, em inglês). Outras vezes, esse profissional está no mesmo nível que os diretores executivos ou apenas um nível abaixo.

Conforme as empresas refletem sobre o assunto, vão seguindo diferentes caminhos. E, mais uma vez, essa é uma daquelas coisas que, com o tempo, comprovaremos o que funciona melhor e o que não funciona. E acho que veremos também algumas mudanças até chegarmos a um modo mais padronizado para que os DPOs sejam tratados de forma semelhante pelas diferentes empresas.

Outro ponto importante a ser ponderado é que não é apenas o DPO, a pessoa em si, que conduz o trabalho. Para fazer o GDPR funcionar da forma correta e para lidar com a privacidade da forma correta, é preciso que toda a organização esteja se movendo na mesma direção.

É trabalho do DPO e da equipe que cuida de privacidade de dados, mas também é tarefa do departamento jurídico e de toda a organização de dados. O mais importante é dispor dessas pessoas, da equipe certa e colaborativa em toda a organização. O trabalho não pode ser feito por uma pessoa sozinha.

Estamos vendo todos os tipos de recursos de Inteligência Artificial que podem trabalhar em colaboração, tais como identificação de PII, limpeza e preparação de dados utilizando o processo de resolução de entidades.

Simon London: Isso acontece em um momento no qual instituições de todos os tipos estão se esforçando muito para coletar e processar dados, para aproveitar as tecnologias de machine learning e de Inteligência Artificial [AI]. Muitas coisas estão acontecendo apenas para correr na direção oposta, certamente em relação ao GDPR. Parece uma má notícia para as empresas, levando em conta seus esforços para aproveitar os dados ao máximo e encontrar neles alguma vantagem competitiva.

Kayvaun Rowshankish: Isso é a pura verdade, especialmente quando falamos com comunidades de ciência de dados que tiveram o prazer de reunir massas de dados em ambientes de big data apenas para fins de estudo. Percebemos que eles estão particularmente preocupados sobre as restrições que provavelmente afetarão a sua criatividade. Eles terão que estabelecer mais controles em relação aos modelos de inteligência artificial que estão desenvolvendo.

Alexis Trittipo: Se você ainda quiser utilizar os dados, existe uma forma fácil de contornar as exigências do GDPR. Se os dados forem mascarados e anonimizados, você poderá usá-los sem ter que antes informar o objetivo ao titular dos dados.
O importante é fazer as perguntas: “Em qual situação realmente preciso saber quem é o indivíduo?” e “Em qual situação eu só preciso ter dados anônimos que possam ser usados em minhas análises?” As respostas serão fundamentais na solução desses impasses.

Kayvaun Rowshankish: Ironicamente, se você olhar para esse tipo de ponto de vista contrário, de como o GDPR estaria obstruindo a Inteligência Artificial, você pode olhar para como a Inteligência Artificial está na verdade facilitando o GDPR. Há muitas oportunidades para que as duas áreas se unam nesse sentido. Estamos vendo todos os tipos de recursos de AI que podem trabalhar em conjunto, por exemplo, identificação de PII, limpeza e preparação de dados utilizando o processo de “resolução de entidades” e outros tipos de recursos provenientes da AI, por meio da autolimpeza, da exclusão ou do mascaramento de PII.

A ideia é que você mantém várias interações diferentes com clientes que estão atualmente migrando seus sistemas de trabalho. Por exemplo, equipes de vendas ou call centers com atendimento pessoal estão se tornando interfaces baseadas em Inteligência Artificial, como chatbots ou call centers automatizados nos quais, francamente, você não controla o que os clientes estão dizendo. Você pode capturar PIIs inadvertidamente porque essas informações estão sendo compartilhadas pelos clientes, então outra questão suscitada nesse caso é se você pode usar a AI para detectar quando os clientes estão compartilhando PII e se esses dados devem ser mascarados imediatamente ou excluídos, ou ainda se é preciso encontrar outra forma de bloqueá-los para que a empresa não corra risco de compliance.

Simon London: Só gostaria de insistir neste ponto sobre big data e machine learning. Para um leigo, parece a criação de um imenso repositório de dados combinando informações sobre seus clientes extraídas de várias fontes e, em seguida, executar algoritmos nesses dados com a intenção de fazer ofertas diferentes a diferentes clientes. Dessa forma, Simon receberia um tipo de oferta e Alexis receberia outra. Parece-me que isso poderia ser uma violação do GDPR.

Alexis Trittipo: Acho que você está se referindo ao motivo pelo qual os dados são coletados. A finalidade da coleta dos dados deve ser explícita e comercialmente legítima. Uma finalidade comercial legítima pode fornecer os melhores e mais adequados produtos aos nossos clientes.

Então, se você coletou esses dados com o cliente ou o cliente entendeu isso, acho que esse tipo de análise é permitido. Voltando ao que estou autorizando, na posição de titular dos dados, quando você coleta minhas informações e deixa bem claro que elas serão usadas para fins de entendimento e comercialização de produtos.

Kayvaun Rowshankish: Se você observar o quanto muitos desses aplicativos online estão sendo usados atualmente e muitos deles colocam janelas de pop-ups quando você acessa o site solicitando sua autorização. Tenho certeza de que a maioria das pessoas não lê o que está escrito, elas apenas clicam em "OK". O texto basicamente diz que você concorda, que a empresa pode realmente usar essas informações para ajustar melhor o processo de vendas.

É necessário que haja uma fase dois e uma fase três, nas quais você consulta os backups e os arquivos de papel e apaga totalmente aquela pessoa.

Simon London: Isso me parece bom para dados coletados agora ou recentemente. A questão é: tudo o que entra no seu repositório de dados foi coletado sob esses tipos de condições? Ou são dados históricos e as autorizações em vigor naquele momento não eram compatíveis com o GDPR? Você não foi muito claro quanto aos possíveis usos dos dados.

Kayvaun Rowshankish: Esta questão é interessante porque, como eu estava contando, essas autorizações que estão sendo pedidas, se redigidas corretamente, abrangem dados capturados no passado. A empresa pode ter esses dados em backup e pode estar fazendo uso deles para uma grande variedade de fins. E, como você está pedindo para que as pessoas autorizem o uso de suas informações pessoais, a maioria das instituições está criando essa declaração de consentimento em termos muito amplos. A questão é, e se os clientes disserem ‘não’? E alguns realmente dizem: "Não, não queremos que você armazene nosso PII; nós queremos que você exclua tudo o que você tem sobre nós". Não acho que eu tenha conhecido uma única empresa que realmente tenha descoberto como lidar com isso.

Elas estão lidando com isso por meio da criação de limites falsos. Elas dizem, por exemplo:  "Tudo bem, encontraremos uma maneira de excluir os dados dos clientes em qualquer coisa que esteja em um sistema de transmissão ao vivo. Mas se os dados estiverem no backup ou se estiverem registrados no papel, eles não terão como saber, então não vamos mexer com isso.”

Não está completamente claro se isso está de acordo com a forma como os órgãos reguladores idealizaram o tema.  Tudo ainda está um pouco ambíguo.

Alexis Trittipo: Complementando o que você disse, Kayvaun, acho que isso terá que ser um processo gradual em todos os setores. A maioria das empresas diz: “Nos nossos sistemas ao vivo, sem problema - podemos excluir todas as suas informações”. Acho que é necessário que haja uma fase dois e uma fase três, nas quais você consulta os backups e os arquivos de papel e apaga totalmente aquela pessoa. Será interessante ver como as organizações adotam essa medida desde as informações mais imediatas "em meus sistemas ativos hoje" até chegar aos arquivos em papel de 20 anos atrás.

Kayvaun Rowshankish: E é interessante porque atualmente já é feita muita digitalização usando OCR (Reconhecimento Ótico de Caracteres) e processamento de linguagem natural para extrair dados de arquivos em formato PDF e documentos físicos, e provavelmente não demorará muito para que o armazenamento de cópias de papel se torne uma prática obsoleta.

O armazenamento está ficando tão barato que até mesmo os backups estão se tornando relativamente acessíveis. Então, nos próximos anos deverá ficar muito mais fácil para quem quiser tomar alguma medida quanto ao direito de exclusão de dados.

Simon London: Bem, creio que nosso tempo se esgotou por hoje. Muito obrigado à Alexis e ao Kayvaun. E agradeço ao público por nos ouvir. Para saber mais sobre privacidade de dados, GDPR, riscos e regulamentações, acesse McKinsey.com.

Sobre o(s) autor(es)

Kayvaun Rowshankish é sócio da McKinsey no escritório de Nova York, no qual Alexis Trittipo é sócia associada; Simon London é membro do McKinsey Publishing no escritório no Vale do Silício.

Related Articles