It´s the management, stupid

A distorção de valores compromete a harmonia do todo. Hipervalorizar ou diminuir qualquer das três dimensões da proteção de dados (jurídica, tecnológica e gestão) compromete seriamente o resultado final.

Ficou celebre o slogan “It’s the economy, stupid” utilizado por Bill Clinton na campanha presidencial de 1992, que pretendia sublinhar a importância da economia e o que isso significava em termos de emprego, segurança, poder de compra e qualidade de vida. Isto é, apelava ao voto prometendo uma mudança na economia.

Quando digo “It´s the management, stupid” é para enfatizar a importância da “gestão” que por vezes é indevidamente subvalorizada. Exemplifico essa subvalorização com um post do jurista Stewart Room no blog da PwC do UK (aqui) em que defende a tese de que tudo se resume à questão tecnológica. Nesse mesmo sentido, outro exemplo é o meu post (aqui) sobre  a tese de Woodrow Hartzog (Professor of Law and Computer Science) de que a tecnologia não é neutra e tudo se acaba por reduzir ao modelo de negócio e à tecnologia.

É bom lembrar que a Gestão é a área das ciências sociais e humanas que se dedica à administração de organizações visando fazer com que alcancem os seus objectivos de forma efectiva, eficaz e eficiente. Gestão é: Promover resultados, perseguir metas, resolver problemas, promover mudanças.

Parece um contra-senso, mas é um facto que muitos juristas tendem a sobrevalorizar a questão tecnológica. Vejamos a argumentação de Stewart Room.

Stewart Room começa por subscrever o entendimento corrente de que a proteção de dados é uma questão ampla e profunda. É ampla no sentido de que abrange assuntos variados, como a óbvia conformidade legislativa, e assuntos menos óbvios, desde o “Adverse Scrutiny”, até aos novos modelos de negócio. É profunda na medida que obriga a densidade e detalhe na dimensão normativa (como políticas, avisos e planos de actividades), na dimensão das pessoas (como processos e responsabilidades, formação e monitorização) e na dimensão tecnológica (que abrange hardware e software).

Journey to Code

Tal como Woodrow Hartzog, mas por razões diversas, Stewart Room afirma que o modelo aplicado à realidade não funciona. Hartzog diz que é o controlo do titular dos dados que falha, porque irrealista, porque os titulares dos dados não têm formação nem tempo para exercerem o controlo. Stewart Room sustenta que os modelos enfrentam limites naturais, afirmando que os contratos existem para serem quebrados, as normas e políticas existem para serem ignoradas e a monitorização existe para ser mal interpretada.

Para Steward Room a pratica tem demonstrado que as soluções com efectividade são as de natureza tecnológica e mais nenhuma. O problema da proteção de dados reside na tecnologia e a solução do problema só pode ser encontrado na tecnologia. O próprio processo de desenvolvimento tecnológico impulsiona para a solução tecnológica, no que chama de “Journey to Code”. A lei, as normas e a adequação operacional exigem o foco na adopção de soluções tecnológicas. Portanto, torna-se necessário desenvolver estratégias tecnológicas para a proteção de dados.

Journey of Ethics

A Journey to Code também deve ser acompanhada por uma Journey of Ethics. Uma Journey of Ethics democratizará a proteção de dados de uma forma que a lei, pura e simplesmente, não pode alcançar.

Existem dois problemas fulcrais com a lei. Primeiro, a lei é um modelo directivo de cima para baixo. Segundo, por isso, é politizado, no sentido de que emana do Estado e das funções do Estado (por exemplo, juízes). Isso coloca um travão natural na capacidade de criar princípios jurídicos universais. Basicamente, para se alcançar princípios universais são precisos Tratados, o que significa que os políticos têm que chegar a acordos. Esse é um processo difícil e lento. O GDPR levou quatro anos do início ao fim e isto dentro de uma estrutura jurídica delimitada e estabelecida.

Portanto, embora o Estado de Direito seja essencial para a saúde das democracias em funcionamento, as leis não são necessariamente os melhores veículos para a obtenção de resultados universais. Estranhamente, as leis não “democratizam” o tema que regulam, no sentido de darem a iniciativa às pessoas.

Os códigos de ética funcionam de maneira diferente. Em contraste com as leis, elas têm um efeito “de baixo para cima”, removendo imediatamente a conotação política. Têm um potencial efeito universal e consequentemente um efeito consideravelmente maior que as leis. O enorme sucesso dos Códigos de Ética é factual. Pense-se no Juramento de Hipócrates, ou no segredo profissional na advocacia, que são antigos e universais. Naturalmente, não se nega os aspetos associados ao valor, ao modelo de negócio e à cultura que afectam as escolhas de concepção e design da proteção de dados.

Devido ao papel da tecnologia nos processos e procedimentos da organização, só pela tecnologia se dá efectividade à proteção de dados, mas são os Códigos de Ética que podem, com flexibilidade, orientar a aplicação da tecnologia. O rápido desenvolvimento da Inteligência Artificial, robótica e comunicações máquina-a-máquina dão mais impacto e urgência a esta necessidade. E é bom ter presente que a Inteligência Artificial gera o seu próprio código, gera a sua própria tecnologia. A sociedade precisa ter a certeza que a inovação tecnológica respeita e apoia a proteção de dados tal como ela é valorizada pelas pessoas.

A lei por si só não garante estes resultados, mas os códigos de ética podem dirigir com flexibilidade a dinâmica tecnológica.

A Journey to Code e uma Journey of Ethics estarão no coração das próximas fases de desenvolvimento dos princípios de proteção de dados.

Traduzindo isto em termos operacionais, conclui Steward Room, as organizações terão que desenvolver estratégias tecnológicas e códigos de ética para, no longo prazo, cumprirem com sucesso o RGPD.

It’s the management, stupid

Face a este argumentário de Steward Room apetece-me dizer, “it’s the management, stupid”.

A verdade básica é que as organizações que ambicionem uma boa governança e gestão adequada têm que ter uma clara definição da atividade (onde actuar), missão (razão de existir), visão (aonde se quer chegar), legislação e valores (princípios norteadores da condução da atividade). Será nesse quadro vasto e complexo que as organizações têm que considerar os seus activos e designadamente, o activo dados pessoais.

Do ponto de vista da gestão qual a diferença entre lei e ética? Steward Room afirma que as regras existem para serem quebradas. Nesse entendimento, tanto a lei como a ética existem para serem violadas, pouco acrescentado as considerações sobre a superioridade da ética para acompanhar a tecnologia e dar universalidades à proteção de dados. A ética faz referência a um “conjunto de hábitos e costumes, efectivamente vivenciados por um grupo humano”, e a lei faz referências a “acordos de carácter obrigatório, estabelecidos entre pessoas de um grupo, para garantir justiça mínima, ou direitos mínimos, mas tanto a ética como a lei têm a mesma vulnerabilidade se não estiverem embutidas na tecnologia. Sendo que o que é relevante nas tecnologias da informação é que ao automatizarem, uniformizam procedimentos, aperfeiçoam a comunicação, melhoram a interacção com a informação (integridade, disponibilidade e confidencialidade) e servem determinado modelo de negócio com mais rigor e eficácia. São um auxiliar de gestão. Nesta perspetiva Steward Room tem razão, a tecnologia pode forçar o efectivo cumprimento da proteção de dados, mas tal só se verifica se a gestão da organização seguir essa orientação e instrumentalizar a tecnologia nesse sentido.

Claro que não podemos dizer que as tecnologias sejam neutras porque é óbvio que as tecnologias condicionam de tal forma as organizações que alteram os seus procedimentos e por vezes os próprios objectivos.

Mas, não nos afastemos dos factos:

A tecnologia trouxe-nos o problema da proteção de dados

A legislação veio salvaguardar os direitos dos titulares dos dados

Os Estados estão incumbidos de proteger os direitos dos titulares dos dados

Cabe às organizações demonstrar responsabilidade e cumprir a lei, códigos de conduta e demais normativos. Com mais ou menos tecnologia, esse é um dos objectivos da gestão.

O corolário é a afirmação de que é através de uma gestão responsável e accountable que acontece a proteção de dados.

A tecnologia é uma condicionante da gestão quer em termos de avaliação do risco quer na mitigação do risco. Em determinados casos, pode até ser uma condicionante do próprio modelo de negócio. A tecnologia pode até vir a ter vontade própria, mas é bom que a direcção e controlo caibam aos humanos. Esperemos que o enorme poder da tecnologia seja dirigido e controlado por sistemas de gestão com os devidos “checks and balances” e accountability. Esperemos que o poder da tecnologia nunca fuja do escrutínio estando sempre sujeito a uma efectiva accountability.

Responsabilizem devidamente as organizações e as pessoas e verão como tudo funcionará lindamente. Façam as matrizes de responsabilidades (RACI ou outra mais adequada à situação concreta) como deve ser, imponham uma cultura de accountability nas organizações e uma cultura de exigência nas autoridades de controlo e, certamente que teremos uma efectiva proteção de dados.

Ainda é cedo para futurologia e para avaliações fundamentadas da aplicação do RGPD. Para já acreditemos no princípio da accountability e aguardemos por um histórico que nos permita tirar conclusões alicerçadas em evidências incontestáveis.

Até lá, direi simplesmente: It´s the management, stupid.

José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)