As empresas são piores do que as entidades de administração pública, a facultar aos cidadãos, dados pessoais que recolheram sobre os mesmos.
Um estudo da Universidade de Sheffield revela que mais de 40% das organizações impedem que as pessoas acedam a dados pessoais, que as entidades recolhem. Perto de 62% das empresas privadas envolveu-se em procedimentos restritivos, diz o trabalho.
As leis europeias e nacionais dão aos cidadãos o direito de saber como os seus dados pessoais são usados, partilhados e processados por organizações privadas e do sector público. Mas o estudo descobriu que um processo teoricamente simples, acabou por ser “complexo, confuso, frustrante e, no fim, em grande parte, sem sucesso”.
Entre as principais constatações, considera que o espírito da Directiva de Protecção de Dados Europeia tem sido “frequentemente prejudicado”, conforme tem sido transposta para quadros jurídicos nacionais, e, em seguida, “ainda mais comprometida” pela evolução da jurisprudência nacional.
“Na nossa opinião, há uma necessidade urgente de os decisores políticos lidarem com o fracasso da lei [Directiva Europeia de Protecção de Dados] à escala europeia e da sua transposição para o direito nacional”, diz professor Clive Norris, especialista em sociologia da vigilância e do controlo social da Universidade de Sheffield. “As organizações devem garantir a sua conformidade com a lei. Em particular, precisam de deixar claro quem é o responsável pela gestão dos pedidos dos cidadãos, e precisam de treinar os seus funcionários para estes estarem cientes das suas responsabilidades perante a lei”.
Segundo o docente, as empresas e entidades de administração pública têm de implementar procedimentos claros e inequívocos para facilitar aos cidadãos o endereçamento de pedidos de acesso.
O trabalho investigou 327 organizações na Áustria, Bélgica, Alemanha, Hungria, Itália, Luxemburgo, Noruega, Eslováquia, Espanha e Reino Unido, fazendo parte do projecto Increasing Resilience in Surveillance Societies (IRISS), financiado pela União Europeia.
Acabou por revelar “más práticas em série e ofuscação” por parte de organizações do sector público e privado, quando os cidadãos pedem esclarecimentos sobre o que as organizações sabem sobre eles. “Separamo-nos dos nossos dados pessoais numa base diária, criando enormes e invisíveis repositórios de informações pessoais com valor. Fazemos isso de forma activa e passiva, e nossa experiência do mundo é reformulada de formas que não apreciamos”.
O responsável lembra que “somos alvo de marketing selectivo, os nossos locais são monitorizados por [câmaras] CCTV e sistemas automatizados de reconhecimento de matrículas e o nosso comportamento online é monitorizado, analisado, armazenado”. Na visão de Norris, o problema para todos é que a nossa informação é muitas vezes mantida fora do nosso acesso, apesar da lei e, não obstante os nossos melhores esforços para aceder a ela.
“Pontos de partida” escondidos
O direito de acesso aos dados é geralmente exercido através da apresentação de um pedido de acesso a um controlador de dados. Mas, antes de se iniciar o processo, o responsável pelo tratamento dos dados tem de ser localizado.
Resultados da investigação indicam que em 20% dos casos simplesmente não era possível localizar esse gestor. Quando os controladores de dados podiam ser localizados, a qualidade da informação sobre o procedimento para os pedidos de acesso variavam enormemente.
No melhor dos casos, a informação era completa e seguiam as orientações legislativas. No pior dos casos, a informação era muito básica, muitas vezes não explicavam como fazer um pedido de acesso ou mesmo nem o que um pedido de acesso realmente é.
Outras conclusões do estudo:
‒ A maneira mais fiável e eficiente de localizar os responsáveis pelo tratamento acabou por ser online: em quase dois terços (63 por cento) dos casos.
‒ Observaram-se variações na forma como os diferentes tipos de organizações responderam aos pedidos. Em geral, as organizações do sector público procederam menos mal, com 43% a adoptarem práticas de restrição. No privado foi a maioria a optar por esse caminho (62%).
‒ Os pedidos de imagens do circuito interno de monitorização por vídeo foram “particularmente problemáticos”. Sete em cada dez pedidos enfrentaram “práticas restritivas” de controladores de dados ou dos seus representantes.
‒ Os operadores de programas de fidelização (por cartões) procuram geralmente facilitar a divulgação de dados pessoais (86%), mas são menos prestáveis na facultação de informações sobre os inerentes processos de tomada de decisão automatizados (apenas 50% dos casos).
‒ Os pedidos feitos aos bancos não deram muitas informações sobre a partilha de dados com terceiras entidades, com apenas 30 % a responderem sobre isso.
‒ No caso dos dados de imagens de vigilância, onde os investigadores participaram pessoalmente, quase um em cada cinco sítios (18%) não exibir qualquer sinalização de que havia monitorização. Onde havia sinais, em 43% das situações foram classificados como “pobres” em termos de visibilidade e conteúdo.