Portabilidade de dados - Data portability
A portabilidade de dados é um conceito que protege os usuários de terem seus dados armazenados em "silos" ou "jardins murados" incompatíveis entre si, ou seja , plataformas fechadas , sujeitando-os ao lock-in do fornecedor e dificultando a criação de backups de dados .
A portabilidade de dados requer padrões técnicos comuns para facilitar a transferência de um controlador de dados para outro, como a capacidade de exportar dados do usuário para um arquivo local acessível ao usuário, promovendo assim a interoperabilidade , além de facilitar a pesquisa com ferramentas sofisticadas como grep.
A portabilidade de dados se aplica a dados pessoais. Envolve o acesso aos dados pessoais sem implicar a propriedade dos dados per se.
Desenvolvimento
Em nível global, existem proponentes que veem a proteção de dados digitais como um direito humano. Assim, em um projeto de declaração emergente da sociedade civil, encontra-se a menção dos seguintes conceitos e estatutos: Direito à Privacidade na Internet, Direito à Proteção de Dados Digitais, Direitos à Proteção do Consumidor na Internet - Diretrizes das Nações Unidas para a Proteção do Consumidor.
Em nível regional, existem pelo menos três jurisdições principais onde os direitos de dados são vistos de forma diferente: China e Índia, Estados Unidos e União Europeia. Neste último caso, os dados pessoais receberam proteção especial ao abrigo do Regulamento Geral de Proteção de Dados de 2018 (GDPR).
O RGPD tornou-se assim o quinto dos 24 tipos de legislação listados no Anexo 1, Tabela de Directivas e Regulamentos Europeus existentes e propostos em relação aos dados.
Os dados pessoais são a base da publicidade comportamental e, no início do século 21, seu valor começou a crescer exponencialmente, pelo menos medido pela capitalização de mercado das principais plataformas que mantêm dados pessoais de seus respectivos usuários. Os reguladores da União Europeia reagiram a este desequilíbrio de poder percebido entre plataformas e usuários, embora muito ainda dependa dos termos de consentimento dados pelos usuários às plataformas. O conceito de portabilidade de dados compreende uma tentativa de corrigir o desequilíbrio de poder percebido, introduzindo um elemento de competição que permite aos usuários escolher entre as plataformas.
Plataformas online
Com o advento dos Regulamentos Gerais de Proteção de Dados (GDPR), plataformas de mídia social como Twitter e Instagram adaptaram amplamente a capacidade de exportar e baixar dados do usuário em um arquivo ZIP . Outras plataformas, como Google e Facebook, já estavam equipadas com opções de exportação anteriormente.
No entanto, algumas plataformas restringem as exportações com atrasos entre cada uma, como uma vez a cada 30 dias no Twitter, e muitas plataformas não têm opções de exportação parciais.
Outros sites, como o Quora, não oferecem um formulário de solicitação automatizado, exigindo que o usuário solicite uma cópia de seus dados por meio de um e-mail de suporte pessoal .
Em eletrônicos de consumo
Dispositivos móveis
Alguns aplicativos móveis restringem a portabilidade de dados, armazenando dados do usuário em diretórios bloqueados , sem opções de exportação . Isso pode incluir arquivos de configuração , favoritos digitais , histórico de navegação e sessões (por exemplo, lista de guias abertas e históricos de navegação), assistir e pesquisar históricos em aplicativos de streaming de multimídia , listas de reprodução personalizadas em software reprodutor de multimídia , entradas em software de anotações e memorando , telefone digital livros ( listas de contatos ), registros de chamadas do aplicativo de telefone e conversas por meio de SMS e software de mensagens instantâneas .
Os diretórios bloqueados são inacessíveis para um usuário final sem medidas extraordinárias, como o chamado root (Android) ou jailbreak (iOS) .
O primeiro requer que o chamado boot loader do dispositivo esteja em um estado desbloqueado com antecedência, o que geralmente não é por padrão. Alternar esse estado envolve o apagamento total de todos os dados do usuário, conhecido como limpeza , tornando-se um ciclo vicioso se o objetivo do usuário fosse acessar seus dados bloqueados.
Outros aplicativos móveis permitem apenas a criação de backups de dados do usuário usando software proprietário fornecido pelo fornecedor, sem a capacidade de exportar diretamente os dados para um arquivo local no diretório comum de dados do usuário do dispositivo móvel. Tal software requer um computador host externo para funcionar.
Alguns fornecedores de dispositivos oferecem armazenamento em nuvem e serviços de sincronização para backup de dados. No entanto, esses serviços exigem registro e dependem de conexão à Internet e, de preferência, de alta velocidade da Internet e de limites de plano de dados, se usados regularmente. Alguns serviços podem permitir apenas a movimentação de partes dos dados, como mensagens de texto e catálogos telefônicos, entre diretórios bloqueados em dispositivos do mesmo fornecedor ( dependência do fornecedor ), sem a capacidade de exportar as informações para arquivos locais acessíveis diretamente pelo usuário final.
Restrições adicionadas em versões mais recentes de sistemas operacionais , como armazenamento com escopo , que alegam ter sido implementado com o objetivo de melhorar a privacidade do usuário, comprometem a compatibilidade com versões anteriores de software existente, como gerenciadores de arquivos e aplicativos de servidor FTP , bem como usos legítimos, como comunicação entre aplicativos e facilitação de grandes transferências de arquivos e criação de backups .
Outras possíveis restrições à portabilidade de dados são a baixa confiabilidade, estabilidade e desempenho dos meios existentes de transferência de dados, como descrito em Media Transfer Protocol § Performance .
Gravadores de vídeo digital
Alguns gravadores de vídeo digital (DVRs) que armazenam gravações em um disco rígido interno não têm a capacidade de fazer backup das gravações, forçando o usuário a excluir as gravações existentes após esgotar o espaço em disco, o que é um exemplo de portabilidade de dados insuficiente.
Alguns DVRs têm um sistema operacional que depende da conexão com a Internet para inicializar e operar, o que significa que as gravações armazenadas localmente ficam inacessíveis se nenhuma conexão com a Internet estiver disponível. Se o serviço para o dispositivo for descontinuado pelo provedor de serviços de televisão, as gravações existentes se tornarão inacessíveis e, portanto, consideravelmente perdidas.
Outros aparelhos
As unidades de telefone fixo sem fio , bem como suas estações base associadas, que possuem firmwares com lista telefônica e funcionalidade de mensagens SMS , geralmente carecem de uma interface para se conectar a um computador para fazer backup dos dados.
Em software
Alguns softwares, como o software Discourse forum, oferecem uma capacidade integrada para os usuários baixarem suas postagens em um arquivo morto.
Outro software pode operar localmente, mas armazenar dados do usuário em um formato proprietário , causando assim o bloqueio do fornecedor até que a engenharia reversa seja bem - sucedida por desenvolvedores terceirizados.
Por país
União Européia
O direito à portabilidade de dados foi estabelecido no Regulamento Geral de Proteção de Dados da União Europeia (GDPR), aprovado em abril de 2016. O regulamento se aplica a processadores de dados, dentro ou fora da UE, se eles processarem dados de indivíduos que estão fisicamente localizados em um Estado-membro da UE.
Os controladores devem disponibilizar os dados em um formato estruturado, comumente usado, legível por máquina e interoperável que permita ao indivíduo transferir os dados para outro controlador.
Anteriormente, a Autoridade Europeia para a Proteção de Dados declarou que a portabilidade dos dados poderia "permitir que os indivíduos beneficiem do valor criado pela utilização dos seus dados pessoais".
O Grupo de Trabalho de Proteção de Dados do Artigo 29 a nível europeu realizou uma consulta sobre o assunto em inglês até o final de janeiro de 2017.
Suas diretrizes e perguntas frequentes sobre o direito à portabilidade de dados contêm este apelo à ação:
O WP29 encoraja fortemente a cooperação entre as partes interessadas da indústria e associações comerciais para trabalharem juntos em um conjunto comum de padrões e formatos interoperáveis para fornecer os requisitos do direito à portabilidade de dados. Este desafio também foi abordado pelo Quadro Europeu de Interoperabilidade (EIF).
Em abril de 2017, novas diretrizes foram publicadas no site do Grupo de Trabalho do Artigo 29.
Em 2021, pesquisadores, muitos deles franceses e finlandeses, publicaram um relatório de 46 páginas cobrindo o estado da arte.
O supervisor de dados nacional francês CNIL organizou uma discussão em francês. Os participantes atuais opinam sobre como a legislação traz poucos benefícios para as empresas, mas muitos para os usuários.
Embora o Reino Unido tenha votado pela retirada da UE , pretende incorporar muito do GDPR em sua própria legislação, que incluirá a portabilidade de dados, já que "... o próprio GDPR contém algumas inovações dignas de nota - por exemplo ... a introdução de um novo direito à portabilidade de dados ". Em novembro, no Internet Governance Forum 2019 em Berlim, os membros do painel relataram que o Artigo 20 do GDPR não é acionável, nem legalmente nem tecnicamente. No Reino Unido - ironicamente pós-Brexit - pesquisadores estão monitorando os desenvolvimentos.
A Alemanha pediu o fortalecimento do direito da União Europeia à portabilidade de dados usando as leis de concorrência. Foi constituída uma comissão com o objetivo de propor melhorias.
Suíça
Da mesma forma, na Suíça, um Estado-nação que se relaciona com a UE apenas bilateralmente e como membro da EFTA , tem havido uma tendência no mesmo sentido. A visão suíça foi publicada oficialmente em março de 2018 (como um documento em PDF).
Uma associação propôs ter o direito à portabilidade de dados ancorado na constituição da Confederação Suíça. Foi aprovada uma lei que inclui a portabilidade de dados; conforme descrito aqui em alemão e aqui em francês. A associação tem parceria com uma cooperativa chamada MIDATA.coop, que oferecerá aos usuários um local para armazenar seus dados.
Uma segunda associação divulgou suas diretrizes sobre o assunto.
A longo prazo, os suíços podem ter de considerar que a portabilidade de dados está no GDPR. Dado que o GDPR aumentará os custos de conformidade para empresas sediadas na UE, é improvável que a UE toleraria uma situação com países terceiros em que as empresas suíças não obedecessem ao mesmo padrão para manter a concorrência justa. Os termos legais envolvidos são adequação e reciprocidade.
Estados Unidos, Califórnia
A Califórnia tem uma Lei de Privacidade do Consumidor (CCPA) de 2018, que introduz a portabilidade de dados para os EUA.
Canadá
O Canadá antecipa uma lei que mostra a Transparência, Portabilidade e Interoperabilidade como o Princípio nº 4 de sua Carta Digital.
Índia
A portabilidade de dados está incluída na Lei de Proteção de Dados Pessoais 2019, prestes a se tornar lei, conforme a seção 26 no capítulo VI.
Brasil
A portabilidade de dados está incluída na Privacy_law # Brazil como seu Artigo 18.
Austrália
Na Austrália, um direito de dados do consumidor foi proposto.
Tailândia
A portabilidade de dados está incluída na nova lei.
Quênia
O direito à portabilidade de dados está consagrado na nova lei de proteção de dados ao abrigo da cláusula 34. No entanto, as intenções por trás da nova lei, a sua aplicação e relação com o novo sistema de gestão de identidade do governo já foram contestadas.
Requisitos para interoperabilidade de dados eficaz
É sempre difícil para os legisladores regulamentar no nível certo de precisão, já que todos entendem que a tecnologia evoluirá mais rápido do que a lei. Até agora, apenas a União Europeia formalizou as expectativas em torno da portabilidade de dados, exigindo os dados "em um formato estruturado, comumente usado, legível por máquina e interoperável".
Isso diz respeito a pelo menos dois requisitos técnicos distintos para uma interoperabilidade eficaz:
- a necessidade de usar padrões de arquivo que permitam uma fácil reutilização (por exemplo, CSV ou JSON em vez de PDF ou mesmo papel impresso), englobados por um formato "estruturado, comumente usado, legível por máquina".
- a necessidade (dependendo da "interoperabilidade") de não apenas considerar a liberação de dados de um indivíduo por conta própria, mas também em conjunto com outros sistemas e liberação de dados de outros indivíduos da mesma empresa. Isso sugere requisitos relativos a esquemas de dados, controle de versão e especificação desses esquemas em caso de mudanças frequentes e, geralmente, a ausência de esforços por parte do controlador de dados de origem para complicar a interoperabilidade efetiva no downstream.
Da mesma forma, os investigadores europeus sublinham que existem lacunas práticas e jurídicas que a UE deve preencher.
Direitos dos titulares dos dados de acordo com o novo GDPR da União Europeia
A lista desses direitos cresceu.
Portabilidade de dados em relação ao direito de acesso
O direito de portabilidade de dados é ligeiramente diferente do direito de acesso a dados pessoais ; ver GDPR e o sétimo item da lista citada imediatamente acima. O direito de acesso apenas obriga o titular dos dados a ver os seus dados pessoais. A antiga Diretiva de Proteção de Dados da UE costumava exigir explicitamente, em tais casos, que os dados fossem fornecidos em forma "inteligível", que foi interpretada até agora como "legível por humanos". Este requisito ainda está um pouco presente no Regulamento Geral de Proteção de Dados da UE, mas apenas implicitamente em conjunto com o Considerando (lei) . Uma vez que o direito à portabilidade está principalmente relacionado à reutilização por outros serviços (ou seja, provavelmente automatizados), pode ser que tanto "legível por humanos" quanto "formato bruto" sejam inadequados para a portabilidade de dados efetiva. Pode ser necessário buscar algum nível intermediário.
Além disso, o GDPR limita o escopo da portabilidade de dados aos casos em que o processamento é feito com base no consentimento do titular dos dados ou na execução de um contrato.
Portabilidade de dados em relação ao direito de explicação
O direito de portabilidade de dados está relacionado com o " direito de explicação ", ou seja, quando são tomadas decisões automatizadas que têm efeito legal ou impacto significativo sobre os titulares dos dados individuais. Como exibir um algoritmo? Uma maneira é por meio de uma árvore de decisão . Este direito, entretanto, não foi considerado muito útil em um estudo empírico. O direito à explicação está relacionado ao "Direito de não ser avaliado com base em processamento automatizado" mostrado como o último item da lista apresentada em Gabel / Hickman. Isso inclui decisões baseadas em perfis . Esse direito foi incluído na Diretiva de Proteção de Dados da UE de 1995, mas não houve muita aplicação. Um artigo na Wired enfatizou a pungência da discussão. O assunto foi discutido por Bygrave e por Hildebrandt, que afirmou ser este um dos direitos de transparência mais importantes na era do aprendizado de máquina e big data . Ao contrário das grandes expectativas de Hildebrandt em 2012, quatro anos depois, após muitas revisões do GDPR, quando o texto foi finalizado, três outros autores conhecidos contestam se ainda existe um direito de explicação no GDPR (ver abaixo).
Nos Estados Unidos, houve uma descrição de desenvolvimentos relacionados em um livro seminal do professor de direito Frank Pasquale; as passagens relevantes foram revisadas pelo Electronic Privacy Information Center (EPIC). Até mesmo a Agência de Projetos de Pesquisa Avançada de Defesa dos EUA, DARPA, tem um programa Explainable AI (XAI) citado criticamente pelo blogueiro Artur Kiulian.
Vários artigos foram publicados sobre esses temas em 2016, o primeiro dos quais, por Goodman / Flaxman, descreve o desenvolvimento do direito à explicação. Pasquale não acha que a abordagem vai longe o suficiente, como ele declarou em um post de blog na London School of Economics (LSE). Na verdade, na LSE há uma série inteira sobre Responsabilidade Algorítmica da qual essa foi uma entrada em fevereiro de 2016, e outras notáveis foram por Joshua Kroll e Mireille Hildebrandt .
Outro artigo de 2016, este publicado por Katarinou et al., Inclui observações sobre o direito de apelação, de modo que "os indivíduos teriam o direito de apelar para uma máquina contra uma decisão tomada por um humano".
Um terceiro artigo de 2016, com coautoria de Mittelstadt et al., Mapeia a literatura e a relaciona ao GDPR em suas páginas 13–14.
Um quarto artigo, com co-autoria de Wachter, Mittelstadt e Floridi, refuta a ideia de que tal direito possa ser incluído no GDPR, propõe um "direito de ser informado" limitado e apela à criação de uma agência para implementar o exigência de transparência. Um outro artigo de Edwards e Veale afirma que esse direito é improvável de se aplicar nos casos de 'danos algorítmicos' atraindo a atenção da mídia recente e que atenção insuficiente foi dada à literatura de ciência da computação sobre explicação e como outras disposições do GDPR, como avaliações de impacto de proteção de dados e portabilidade de dados, podem ajudar. Quase dois anos depois, apareceu um artigo que desafia artigos anteriores, especialmente Wachter / Mittelstadt / Floridi.
Em ambos os lados do Atlântico, tem havido atividades recentes relacionadas com este debate em curso. No início de 2016, especialistas em inteligência artificial e funcionários do governo do Reino Unido se reuniram durante uma série de reuniões e desenvolveram uma estrutura ética de ciência de dados. Em 7 de novembro de 2016, foi realizado um evento em Bruxelas, organizado pela MEP Marietje Schaake no Parlamento Europeu e descrito por danah Boyd. Apenas onze dias depois, na Universidade de Nova York, houve uma conferência sobre "Justiça, responsabilidade e transparência no aprendizado de máquina", onde os Princípios para Algoritmos Responsáveis e uma Declaração de Impacto Social para Algoritmos foram articulados e colocados online para discussão. Em meados de dezembro, o IEEE lançou um documento cuja edição foi respaldada por comentários públicos que foram convidados até março de 2017 sobre "Design Ethically Aligned". Mais tarde, em 2017, a portabilidade de dados foi analisada por professores de proteção de dados como uma inovação central do novo GDPR.
Veja também
- Hub GDPR wiki externo mantido por Max Schrems et al.
- Projeto de transferência de dados
- Ética da inteligência artificial
- Regulamento geral de proteção de dados