10/09/2021
O Reino Unido faz a rotação da reforma de dados, alegando que as regras "simplif**adas" conduzirão à partilha de dados "responsável".
Por: Natasha Lomas
O governo do Reino Unido anunciou uma consulta sobre planos para abalar o regime nacional de protecção de dados, uma vez que analisa a forma de divergir das regras da União Europeia na sequência de Brexit.
Passou também um ano desde que o Reino Unido publicou uma estratégia nacional de dados em que afirmava querer que os níveis pandémicos de partilha de dados se tornassem o novo normal da Grã-Bretanha.
O Department for Digital, Culture, Media and Sport (DCPS) seguiu hoje uma nova reforma do gabinete do comissário de informação - afirmando que pretende alargar o mandato do ICO para "defender sectores e empresas que utilizam dados pessoais de formas novas, inovadoras e responsáveis para beneficiar a vida das pessoas"; e prometer regras "simplif**adas" para encorajar a utilização de dados para investigação que "beneficiem a vida das pessoas", tais como no campo dos cuidados de saúde.
Também pretende uma nova estrutura para o regulador - incluindo a criação de um conselho independente e chefe executivo para o ICO, para espelhar as estruturas de governação de outros reguladores, tais como a Autoridade da Concorrência e Mercados, Autoridade de Conduta Financeira e Ofcom.
Além disso, afirmou que a consulta sobre a reforma de dados irá considerar como o novo regime pode ajudar a mitigar os riscos em torno do enviesamento algorítmico - algo sobre o qual a UE já está a avançar para legislar, estabelecendo uma proposta baseada no risco para a regulamentação de aplicações de AI já em Abril.
O que signif**a que o Reino Unido corre o risco de ser deixado para trás se apenas se preocupar com um enfoque restrito na "atenuação do enviesamento", em vez de considerar a generalização da forma como a IA está a cruzar-se com e a influenciar as vidas dos seus cidadãos.
Num comunicado de imprensa anunciando a consulta, o DCMS destaca uma parceria de inteligência artificial envolvendo o Moorfields Eye Hospital e o University College London Institute of Ophthalmology, que arrancou em 2016, como exemplo dos tipos de partilha de dados benéficos que pretende encorajar. No ano passado, os investigadores relataram que a sua IA tinha sido capaz de prever o desenvolvimento da degeneração macular relacionada com a idade húmida de forma mais precisa do que os clínicos.
A parceria também envolveu (propriedade da Google) o DeepMind e agora a Google Health - embora as relações públicas do governo não façam menção ao envolvimento do gigante da tecnologia. É uma omissão interessante, dado que o nome do DeepMind está também ligado a um notório escândalo de partilha de dados de pacientes no Reino Unido, que viu outro NHS Trust (o Royal Free) com sede em Londres ser sancionado pelo ICO, em 2017, por partilhar indevidamente dados de pacientes com a empresa propriedade da Google durante a fase de desenvolvimento de uma aplicação de apoio clínico (que a Google está agora em vias de descontinuar).
O DCMS pode estar interessado em evitar que o seu objectivo para as reformas de dados - também conhecido por "remover barreiras desnecessárias à utilização responsável dos dados" - possa acabar por facilitar a entidades comerciais como a Google a colocar as suas mãos nos registos médicos dos cidadãos do Reino Unido.
A grande repercussão pública sobre a mais recente tentativa do governo de requisitar os registos médicos dos utilizadores do SNS - para fins de "investigação" vagamente definidos (também conhecido por "General Practice Data for Planning and Research", ou GPDPR, esquema) - sugere que um grande número de dados de saúde gratuitos para todos, habilitado pelo governo, pode não ser tão popular entre os eleitores do Reino Unido.
"As reformas de dados do governo proporcionarão clareza em torno das regras de utilização de dados pessoais para fins de investigação, lançando as bases para mais descobertas científ**as e médicas", é como o DCMS's PR contorna o tópico sensível da partilha de dados de saúde.
Noutros lugares fala-se em "reforçar a responsabilidade das empresas em manter a informação pessoal segura, ao mesmo tempo que as capacita a crescer e a inovar" - para que soe como um sim à segurança dos dados, mas e quanto à privacidade individual e ao controlo sobre o que acontece à sua informação?
O governo parece estar a dizer que isso dependerá de outros objectivos - principalmente interesses económicos ligados à capacidade do Reino Unido de realizar investigação orientada para os dados ou acordos comerciais seguros com outros países que não têm os mesmos padrões (actuais) elevados de protecção de dados do Reino Unido.
Há aqui também algumas flores puramente populistas - com o DCMS a manifestar a sua ambição de um regime de dados "baseado no senso comum, e não no "box ticking"" - e a assinalar planos para aumentar as penalizações por chamadas e mensagens de texto incómodas. Porque, claro, quem não gosta do som de uma repressão contra o spam?
Excepto as mensagens de texto spam e as chamadas de texto incómodas são uma preocupação bastante pitoresca, que se tornava inexistente numa era de aplicações e de vigilância em massa, impulsionada pela democracia - o que foi algo que a comissária de informação cessante levantou como uma questão de grande preocupação durante o seu mandato no ICO.
A mesma mensagem populista anti-spam já foi enviada por ministros para atacar a necessidade de obter o consentimento dos utilizadores da Internet para a eliminação dos cookies de rastreio - que o ministro digital Oliver Dowden sugeriu recentemente que pretende eliminar - para todos os fins, excepto para fins de "alto risco".
Ter um sistema de direitos que envolve os dados das pessoas que lhes dá uma palavra a dizer (e uma participação) sobre a forma como podem ser utilizados parece estar a ser reenquadrado nas mensagens do governo como sendo irresponsável ou mesmo não-patriótico - com o DCMS a empurrar a noção de que tais direitos impedem a realização de objectivos económicos mais importantes ou objectivos "sociais" altamente generalizados.
Não que tenha apresentado qualquer prova disso - ou mesmo que o actual regime de protecção de dados do Reino Unido tenha impedido a partilha (muito ampla) de dados durante a COVID-19... Enquanto os usos negativos da informação das pessoas estão a ser condensados nas mensagens do DCMS para a definição mais restrita possível - de spam visível para um indivíduo - não importa como é que essa pessoa foi visada com as chamadas/ textos de spam incómodos em primeiro lugar.
O governo está a adoptar a sua habitual abordagem "bolo e comer" para girar o seu plano de reforma - afirmando que tanto "protegerá" os dados das pessoas, como truncará a importância de tornar realmente fácil a informação dos cidadãos ser entregue a quem a quiser, desde que possam afirmar que estão a fazer algum tipo de "inovação", ao mesmo tempo que também guarde as suas relações públicas com citações enlatadas, apelidando o plano de "arrojado" e "ambicioso".
Assim, embora o anúncio do DCMS diga que a reforma "manterá" as normas de protecção de dados do Reino Unido (actualmente) líderes mundiais, ela remete directamente para trás - dizendo que o novo regime irá (meramente) "desenvolver" alguns "elementos-chave" das regras actuais (especif**amente diz que manterá "princípios em torno do processamento de dados, direitos das pessoas sobre os dados e mecanismos de supervisão e aplicação").
É evidente que o diabo estará nos detalhes das propostas que deverão ser publicadas amanhã de manhã. Portanto, espera-se que em breve mais análises sejam mais aprofundadas.
Mas numa mudança específ**a, o DCMS diz que pretende afastar-se de uma abordagem de "tamanho único" à conformidade da protecção de dados - e "permitir às organizações demonstrar a conformidade de formas mais adequadas às suas circunstâncias, ao mesmo tempo que protege os dados pessoais dos cidadãos a um nível elevado".
Isto implica que operações de mineração de dados mais pequenas - as relações públicas do DCMS utilizam o exemplo de um cabeleireiro, mas uma grande quantidade de empresas em início de actividade pode empregar menos pessoal do que a barbearia média - podem esperar obter um passe para ignorar esses "padrões elevados" no futuro.
O que sugere que os "altos padrões" do Reino Unido podem, sob o olhar da Dowden, acabar mais parecidos com um queijo suíço...
A protecção de dados é um "como fazer, e não como não fazer".
O homem que provavelmente se tornará o próximo comissário de informação do Reino Unido, o comissário de privacidade da Nova Zelândia, John Edwards, estava a receber perguntas de uma comissão parlamentar no início do dia de hoje, uma vez que os deputados consideraram se deveriam apoiar a sua nomeação para o cargo.
Se ele for confirmado no cargo, Edwards será responsável pela implementação de qualquer novo regime de dados que o governo elabore.
Questionado, rejeitou a noção de que o actual regime de protecção de dados do Reino Unido apresenta uma barreira à partilha de dados - argumentando que leis como a GDPR devem ser vistas como um "como fazer" e um "estimulador" para a inovação.
"Eu discordaria da dicotomia que apresentou [sobre privacidade versus partilha de dados]", disse ele ao presidente da comissão. "Não acredito que os decisores políticos, as empresas e os governos sejam confrontados com a escolha de partilhar ou manter a confiança na protecção de dados. As leis de protecção de dados e de privacidade não seriam necessárias se não fosse necessário partilhar informação. Estas são duas faces da mesma moeda.
"A DPA [lei de protecção de dados] do Reino Unido e a GDPR do Reino Unido são um "como fazer" - não um "não fazer". E penso que o Reino Unido e muitas jurisdições aprenderam finalmente essa lição através da crise da COVID-19. Tem sido absolutamente necessário ter informação de boa qualidade disponível, minuto a minuto. E de se deslocar através de diferentes organizações para onde precisa de ir, sem fricção. E há alturas em que as leis de protecção de dados e leis de privacidade introduzem fricção e penso que o que se viu no Reino Unido é que quando é necessário, as coisas podem acontecer rapidamente".
Ele também sugeriu que muitos ganhos económicos poderiam ser alcançados para o Reino Unido com alguns pequenos ajustes às regras actuais, em vez de ser necessário um reinício mais radical. (Embora a definição clara das regras não dependa dele; o seu trabalho será fazer cumprir qualquer novo regime que venha a ser decidido).
"Se pudermos, na administração de uma lei que neste momento se parece muito com o PIBR do Reino Unido, isso dá grande latitude para diferentes abordagens regulamentares - se eu conseguir virar esse marcador apenas alguns pontos que podem fazer a diferença de milhares de milhões de libras para a economia do Reino Unido e milhares de postos de trabalho para não precisarmos de deitar fora o livro de estatutos e começar de novo - há muito espaço de manobra para fazer melhorias sob o actual regime", disse aos deputados. "Muito menos quando começamos com uma nova folha de papel, se é isso que o governo opta por fazer".
A TechCrunch pediu outro Edwards (sem relação) - Lilian Edwards, professora de direito, inovação e sociedade da Universidade de Newcastle - pela sua opinião sobre a direcção de viagem do governo, como assinalado pela rotação de pré-proposta-publicação do DCMS, e expressou preocupações semelhantes sobre a lógica que leva o governo a argumentar que é necessário rasgar os padrões existentes.
"Todo o esquema de protecção de dados é para equilibrar os direitos fundamentais com o livre fluxo de dados. As preocupações económicas nunca foram ignoradas, e o esquema actual, que temos tido na sua essência desde 1998, conseguiu um bom equilíbrio. As grandes coisas que fizemos com os dados durante a COVID-19 foram feitas completamente legalmente - e sem grandes dificuldades ao abrigo das normas existentes - pelo que isso não é razão para as alterar", disse-nos ela.
Ela também contestou o plano de remodelação do ICO "como um quango cuja principal função é 'impulsionar o crescimento económico'" - salientando que o DCMS PR não inclui qualquer menção à privacidade ou direitos fundamentais, e argumentando que "a criação de um regulador inteiramente novo não é susceptível de fazer muito pela 'confiança do público' que é vista como decrescente em quase todas as sondagens".
Ela também sugeriu que o governo está a ignorar os danos económicos reais que atingiriam o Reino Unido se a UE decidir que as suas normas "reformadas" já não são essencialmente equivalentes às do bloco. "[É] difícil ver aqui muita preocupação com a adequação; que será, com certeza, revista, em nosso detrimento - prejudicando 43% do nosso comércio por alguns negócios de baixo valor e algumas vendas esperançosas de dados do SNS (mais uma vez, provavelmente levará uma bola de demolição à confiança a julgar pelo escândalo do GPDPR)".
Ela descreveu o objectivo de regular o preconceito algorítmico como "aplaudível" - mas também assinalou o risco de o Reino Unido f**ar atrás de outras jurisdições que estão a olhar de forma mais ampla para a forma de regular a inteligência artificial.
Segundo o comunicado de imprensa do DCMS, o governo parece pretender que um órgão consultivo existente, chamado Centro de Ética e Inovação de Dados (CDEI), tenha um papel fundamental no apoio à sua política nesta área - dizendo que o órgão se concentrará em "permitir uma utilização fiável dos dados e da IA no mundo real". No entanto, ainda não nomeou um novo presidente do CDEI para substituir Roger Taylor - com apenas uma nomeação provisória (e alguns novos conselheiros) anunciada hoje.
"O mundo avançou desde o trabalho do CDEI nesta área", argumentou Edwards. "Compreendemos agora que a regulação dos efeitos nocivos da IA tem de ser considerada na ronda com outros instrumentos regulamentares e não apenas com a protecção de dados. A proposta de regulamento da UE sobre IA não é isenta de falhas, mas vai muito mais longe do que a protecção de dados ao exigir conjuntos de formação de melhor qualidade, e sistemas mais transparentes a serem construídos a partir do zero. Se o Reino Unido está seriamente empenhado em regulamentar, tem de olhar para os modelos globais que estão a ser lançados, mas neste momento parece que as suas principais preocupações são insulares, míopes e populistas".
O grupo de defesa da privacidade dos dados dos pacientes MedConfidential, que tem frequentemente bloqueado as buzinas com o governo sobre a sua abordagem à protecção de dados, também questionou a ligação contínua do DCMS ao CDEI para a elaboração de políticas numa área tão crucial - apontando para o escândalo de classif**ação de exames de algoritmos tendenciosos do ano passado, que aconteceu sob a vigilância de Taylor.
(NB: Taylor foi também a cadeira Ofqual, e a sua demissão desse posto em Dezembro citou um "Verão difícil", mesmo quando a sua saída do CDEI deixa agora um buraco incómodo... )
"A cultura e a liderança do CDEI levaram ao algoritmo dos níveis A, porque é que alguém no governo deveria ter alguma confiança no que diz a seguir" disse Sam Smith, da MedConfidential.
