Com todas as informações circulando pela Internet atualmente, consumidores e empresas, sem falar nos reguladores, estão cada vez mais preocupados com a privacidade on-line. As recentes controvérsias em torno da Double-Click e da Toysmart destacam claramente os grandes riscos comerciais envolvidos no tratamento arrogante das informações dos clientes. Reconhecendo esses riscos, algumas empresas nomearam um gerente de alto escalão — um diretor de privacidade — como autoridade central para tomar decisões sobre privacidade e proteger os interesses dos clientes. Roberta Fusaro, da HBR, conversou recentemente com um importante CPO — Richard Purcell, diretor de privacidade corporativa da Microsoft — sobre a ética da privacidade em uma era de fluxo livre de informações. Por que uma empresa precisa de um diretor de privacidade? É fundamental ter um único local onde resida o conhecimento sobre a forma como as informações do cliente são tratadas e onde as políticas sejam definidas para coletar e usar dados on-line e off-line. Caso contrário, você corre o risco de introduzir inconsistências que podem comprometer a segurança de sua empresa e de seus clientes. Normalmente, um diretor de tecnologia constrói as estratégias de uma empresa para sistemas de informação. O diretor de privacidade então trabalharia em estreita colaboração com o CTO para criar um programa de privacidade adequado a essas estratégias. Algumas empresas nomeiam uma pessoa para supervisionar a privacidade de forma ad hoc, sem o título. Mas dar a essas pessoas uma autoridade clara é importante porque elas precisam tomar e implementar decisões difíceis que afetam muitas partes da empresa. A formalização da função também envia a mensagem, interna e externamente, de que a privacidade é uma prioridade real. Dado o poder das novas tecnologias da informação, os clientes precisarão se acostumar a ter menos privacidade? Nunca houve privacidade total no comércio. Empresas e consumidores sempre trocaram informações, e sempre houve a suposição de que as empresas precisavam gerenciar as informações pessoais de forma responsável. Isso continua até hoje, mas o fluxo de informações foi acelerado e amplificado pela disseminação da Internet e de outras tecnologias. Por sua vez, a necessidade de confiança cresceu dramaticamente. Nunca houve privacidade total no comércio. Empresas e consumidores sempre trocaram informações. Mas, à medida que a Internet amplifica o fluxo de informações, a necessidade de confiança aumentou dramaticamente. É importante reconhecer que uma tecnologia raramente é boa ou ruim em si mesma; tudo se resume à forma como a tecnologia é usada. Por exemplo, “cookies” são um grande trunfo para empresas e consumidores. Eles facilitam as compras na Web e ajudam as empresas a personalizar as informações e ofertas para os clientes. Mas os cookies podem ser usados de forma abusiva; eles podem rastrear e disseminar informações de maneiras que os clientes não aprovaram. O potencial de abuso ocorre nos dois sentidos. Veja as tecnologias que permitem que as pessoas permaneçam anônimas. Algumas pessoas querem ficar invisíveis quando estão na Web, e existem tecnologias que possibilitam a navegação anônima. Mas com esse anonimato surge o potencial de falsificação de identidade e atividades ilegais, como fraude e roubo. A Microsoft lida com uma grande quantidade de informações de clientes. Como foi o desenvolvimento de políticas de privacidade? Começamos estabelecendo uma estrutura ética, um conjunto de valores fundamentais que poderiam orientar a implantação de qualquer nova tecnologia. Uma grande parte desse trabalho era pensar cuidadosamente no contexto social de nossos relacionamentos comerciais, não apenas em como nós interaja com os clientes, mas como todos os nossos parceiros interagem com os clientes. Insistimos, por exemplo, em que nossos parceiros de publicidade na Web publiquem políticas de privacidade abrangentes em seus sites. Tornamos esse requisito conhecido e garantimos a conformidade na fase de RFP de qualquer relacionamento publicitário. Um dos fatores complicadores que enfrentamos é que outras empresas — empresas sobre as quais não temos influência direta — usam nosso software para coletar informações. Prevenir o abuso nesses casos é, em grande parte, uma questão de capacitar o consumidor. Por exemplo, recentemente habilitamos nosso navegador Internet Explorer para alertar os consumidores sempre que um terceiro desconhecido estiver transmitindo um cookie na tentativa de coletar pequenas informações sobre eles — talvez inocentemente, talvez não. Os consumidores então têm a opção de aceitar ou recusar o cookie antes que qualquer coisa seja salva em seus discos rígidos. Eles podem até mesmo configurar seus navegadores para impedir que cookies sejam aceitos. É de suma importância que os consumidores saibam quem está coletando informações sobre eles e que sejam participantes dispostos. Se os consumidores entenderem claramente como e por que as empresas estão usando os cookies, os dois lados podem adaptar a experiência de acordo com as preferências dos usuários sem prejudicar as tecnologias empregadas e sem sacrificar a privacidade e a segurança. Quais são os componentes básicos de sua estrutura ética? Há cinco princípios básicos. O primeiro é aviso prévio: os clientes devem receber a divulgação completa de quem está coletando informações sobre eles, o que está sendo coletado e com que finalidade. O segundo é escolha: os indivíduos devem poder escolher como as informações serão usadas sobre eles, por quanto tempo essas informações serão retidas, sob quais circunstâncias essas informações serão transferidas para outras partes e assim por diante. O terceiro princípio é acesso: precisamos estabelecer transparência permitindo que os clientes visualizem e até editem as informações que temos para que possam garantir que sejam precisas e relevantes. O quarto é segurança: devemos garantir que os dados do cliente estejam protegidos contra acesso, distribuição, perda ou corrupção não autorizados. E, finalmente, deve haver algum tipo de cumprimento—algum mecanismo que nos responsabilizará pelo cumprimento de quaisquer políticas declaradas. Terceiros devem estar envolvidos na manutenção dessa conformidade. Pelo que você viu, você acha que as empresas passam tempo suficiente pensando em questões de privacidade? Eu gostaria de ver mais progressos mais rapidamente. Mas vimos um grande aumento no número de empresas que reconhecem a importância de ter um diretor de privacidade e de publicar boas políticas de privacidade. Quando uma declaração de privacidade é publicada no site de uma empresa, essa declaração vincula a empresa, como descobrimos quando a Toysmart tentou vender as informações de seus clientes após a falência, apesar de ter prometido que não o faria. A FTC tinha autoridade para abrir uma ação contra a Toysmart porque a empresa havia declarado claramente o que suas práticas incluiriam ou não. As empresas ignoram a questão da privacidade por sua própria conta e risco. Qual você acha que é o melhor papel do governo no debate sobre privacidade? A autorregulação robusta continua sendo nossa preferência neste momento. Ao avaliarmos a legislação proposta até o final deste ano e na próxima sessão do Congresso, veremos o quão rígida ela é, quanto custaria sua implementação, como funcionaria para diferentes tipos de negócios e como afirmaria e promoveria o controle do consumidor e a autorregulação do setor. Mas não importa qual legislação seja promulgada, é responsabilidade dos líderes do setor on-line fornecer e implementar tecnologias que ajudem os consumidores a se sentirem mais seguros e confortáveis on-line.
