by Paulo Almeida , José Reis and Joana Gonçalves de Sá
O acesso aos dados e as inferências que esse acesso permite apresentam grandes oportunidades para resolver problemas sociais complexos, mas também implicam riscos para a privacidade e a liberdade. Reconhecendo este facto, tanto os investigadores como os governos afastaram-se do ideal original de "dados abertos" e foram envidados esforços importantes para melhorar a proteção e o controlo dos dados analíticos, com a UE a liderar o processo, através do RGPD e da Lei dos Serviços Digitais.
No entanto, estas preocupações necessárias e a legislação não devem conduzir a encargos burocráticos desnecessários, dificultando a investigação e a inovação. Por exemplo, Portugal tem estado na vanguarda da promoção da colaboração entre o meio académico e as instituições públicas, oferecendo bolsas a investigadores que trabalham com dados para ajudar na administração pública e na conceção de políticas; no entanto, os investigadores consideram frequentemente que o acesso aos dados públicos é demasiado limitado ou lento para permitir interacções produtivas ou contribuir para a tomada de decisões. Pelo contrário, é comum que as empresas privadas que trabalham em projectos públicos tenham um acesso quase ilimitado aos dados dos cidadãos, uma vez que ajudam a construir bases de dados ou oferecem serviços de consultoria estratégica. Por conseguinte, é importante desenvolver novos sistemas que facilitem o acesso aos dados, garantindo simultaneamente um tratamento ético e a privacidade.
Neste post, apresentamos o projeto de um desses sistemas e abrimo-lo à discussão. Inspira-se no que outras áreas da ciência adoptaram, desde a experimentação biológica até à manipulação de produtos químicos perigosos ou materiais nucleares.
Em termos gerais, o acesso deve ser concedido a pessoas certificadas para a prossecução de objectivos específicos e limitados, sujeitos a análise por comités de ética, mas uma vez emitidas estas certificações, estas têm uma duração definida durante a qual o acesso aos dados é facilitado. Além disso, ao contrário dos exemplos anteriores, estão em causa os direitos dos cidadãos relativamente à propriedade dos seus dados e ao seu livre arbítrio, pelo que estes também devem ter uma palavra a dizer, quer individualmente, quer através de organizações dedicadas à proteção dos direitos digitais do público, dando origem a legislação que regule a matéria.
O esquema simplificado sugerido seria o seguinte:
- Etapa 1: Classificação dos dados. Os diferentes tipos de dados serão classificados de acordo com os níveis de risco. Esta medida está em conformidade com o RGPD e os proprietários e os responsáveis pelo tratamento dos dados podem desenvolver classificações mais pormenorizadas, envolvendo os cidadãos, se necessário;
- Etapa 2: Autorização para investigadores. Os investigadores (tanto do sector público como do privado) que pretendam trabalhar com qualquer tipo de dados humanos devem frequentar cursos de tratamento de dados. Estes cursos podem incluir ética, conformidade com o RGPD e gestão de dados. Diferentes cursos ofereceriam diferentes certificações que conduziriam a diferentes níveis de "autorização". Por exemplo, deveria haver cursos diferentes para investigadores que lidam com dados pessoais ou sensíveis (como dados de saúde ou informações não anónimas) ou dados considerados não preocupantes pelo RGPD. À semelhança do que acontece nos cursos sobre experimentação animal ou manuseamento de materiais radioactivos, estes cursos deveriam ser certificados a nível institucional, nacional ou europeu, gratuitos e em linha, através de MOOCs ou similares;
- Etapa 3: Autorização do projeto. Os projectos de investigação (tanto do sector público como do privado) seriam avaliados de forma independente por comités de ética e de proteção de dados. Tal como já acontece com toda a investigação científica, esta avaliação deve ser efectuada pelas instituições de acolhimento do investigador. Esta etapa já é normalmente exigida para aceder a financiamento público e a alguns dados, mas deve ser generalizada para incluir todos os projectos que envolvam dados humanos;
- Etapa 4: Acesso às infra-estruturas de investigação. Uma vez estabelecidas as autoridades de certificação, tanto para projectos como para cientistas individuais, podem ser integrados sistemas de controlo do acesso nas fontes de dados. Estes sistemas estipulariam quem tem acesso (os cientistas/projectos certificados de nível A só teriam acesso aos dados de nível A, e assim por diante), quando e com que finalidade, incluindo o registo e o acompanhamento desse acesso. Além disso, esse sistema de certificação poderia ser facilmente integrado nas infra-estruturas de investigação de megadados existentes.
Esta é uma versão básica de um possível sistema vertical para facilitar o acesso a dados de investigação relevantes, e salientamos que os esforços recentes no desenvolvimento de infraestruturas de investigação tornaram as preocupações éticas e de privacidade centrais na sua conceção. Por exemplo, as RI recentemente desenvolvidas, como a SoBigData ou a Infraestrutura de Dados Integrados da Nova Zelândia, propõem plataformas de extração de dados sociais sensíveis à privacidade e à ética, em que os investigadores podem efetuar as suas análises em ambientes virtuais protegidos, embora com acesso restrito aos dados sensíveis originais. Os sistemas de controlo do acesso poderiam ser facilmente integrados nesse sistema, condicionando o acesso aos ambientes virtuais a uma autorização prévia que poderia, por exemplo, depender de os investigadores frequentarem uma formação obrigatória sobre ética e riscos para a privacidade na investigação, como sugerido acima.
De um modo geral, estamos convencidos de que um sistema vertical deste tipo tornaria o acesso aos dados muito mais rápido, seguro e responsável.