Kauê Diniz e Luciana Morosini
economia@diariodepernambuco.com.br
Publicação: 07/09/2019 03:00
Privacidade é uma questão que cada vez mais ganha importância. Mas até que ponto nossos dados estão seguros? A Lei Geral de Proteção de Dados, que entra em vigor em agosto de 2020, promete ser um marco regulatório importante no Brasil, mas alguns pontos ainda deixam brechas para questionamentos em relação à segurança dos brasileiros. Além disso, as novas regras prometem impactar empresas não apenas do ramo de tecnologia, mas de diversos setores da economia nacional. A pernambucana In Loco, que trabalha com dados através da geolocalização, já está preparada para encarar essa nova fase de regulação e promete continuar crescendo a números exponenciais, principalmente porque toda a atuação é feita através do comportamento dos usuários, mesmo sem identificar gênero, número do CPF, e-mail ou outras informações pessoais. O trabalho é justamente o inverso: usar o comportamento das pessoas para protegê-las, como explica o CEO e confundador André Ferraz. Em entrevista ao Diario, ele falou sobre os pontos positivos e negativos da nova lei, como ela vai impactar a economia nacional e também a sua empresa, revelou que ele está protegido, mas a maioria das pessoas não têm os dados seguros e deu dicas de como elas podem proteger as suas informações pessoais. Além disso, contou um pouco da história da In Loco, promessa de virar um unicórnio, ou seja, uma empresa avaliada em US$ 1 bilhão, e o objetivo da empresa de conseguir resolver o que ele coloca como o que será um dos principais problemas da humanidade em um futuro breve: a privacidade de dados.
Entrevista - André Ferraz // CEO da In Loco
Como está a questão da Lei Geral de Proteção de Dados?
Na minha opinião, ela é um marco importante e acho que cria algumas regras básicas para pelo menos ter um mínimo de ordem nesse caos. Mas, sinceramente, acho que não resolve o problema ainda. A GDPR, que é o espelho europeu dessa lei brasileira, já teve algumas consequências não planejadas. Então, por exemplo, a GDPR e também a LGPD têm uma parte que é sobre os direitos do usuário, o direito à informação e ao esquecimento. O direito à informação é você poder chegar para qualquer aplicativo e dizer que quer ver todos os dados que pegou sobre mim. Por exemplo, tem aquelas caixinhas de som que coletam tudo que está sendo falado na sua casa e não tem um sistema de autenticação muito seguro, aí já tiveram mais de 1.700 ocorrências na Europa de pessoas que baixaram os áudios inteiros de outras pessoas porque esse direito acabou abrindo essa brecha sem atrelar esse direito a mecanismos de autenticação que sejam realmente muito seguros. Não existe um link entre essas duas coisas. Então, se o mecanismo de autenticação não é muito seguro, mas aquele produto dá o direito à informação, você tem grandes chances de ter seus áudios vazados por outra pessoa.
Em algum canto, em uma letra miúda, tem especificando isso de que você aceita?
Aí é outro problema dessa nova lei porque ela requisita que a política de privacidade seja simples, direta e objetiva, mas, na prática, como aplicativo ou plataforma, você continua podendo fazer uma política de privacidade com 15 páginas que ninguém vai ler. Então, por mais que esteja lá, você não vai chegar nesta sessão para dizer que autoriza. Por exemplo, teve um caso que aconteceu recentemente que descobriram que havia funcionários do Google escutando os áudios das pessoas. Acho que 0.2% dos usuários Google tinham pessoas escutando áudio. Então, os outros 99,8% eram máquinas escutando. Teve um outro caso que também descobriram que o Facebook estava contratando pessoas para escutar os áudios de outras pessoas. Se as políticas de privacidade fossem realmente transparentes, a maioria dessas empresas ia falar coisas bizarras do tipo: “Por mais que você desligue seu celular, vou continuar rastreando sua localização”. Se tivesse isso escrito de forma clara na sua frente, duvido que você iria aceitar.
Existe alguma forma de as pessoas se protegerem ou se entrei em uma rede social não tem mais jeito?
É complicado se você for entrar nessas principais plataformas e for navegar por essa parte de privacidade e segurança. Eles sempre tornam esse tipo de configuração mais complicado do que qualquer outro. Para você mudar o nome do seu perfil, é rapidinho, mas para você dizer que não quer que peguem o seu histórico de ligações telefônicas, aí tem que passar por um labirinto grande para chegar lá. As plataformas tornam isso difícil. Hoje, uma das formas de se proteger de fato é gastando tempo configurando as coisas. Do tipo: baixou um app de uma rede social, vai ter que navegar por todas as configurações, desligar um monte de coisas, ir nas configurações do celular, de privacidade, são coisas difíceis para um leigo. E a opção para um leigo é não usar, o que não vai acontecer.
André Ferraz está protegido?
Me considero protegido. Por exemplo, não uso o buscador mais popular, não tenho conta pessoal em redes sociais, tenho conta-empresa, mas não tenho com meus dados pessoais, os serviços que uso são bem configurados. Eu tenho um cuidado adicional, mas isso me faz gastar tempo, ter muito mais atenção para usar a internet e não deveria ser assim. Mas eu sei o que acontece e o que eles podem fazer com nossos dados.
As pessoas andam com tudo logado, redes sociais, aplicativos. Quais os cuidados que devem ter?
Alguns cuidados básicos são usar um sistema de autenticação de dois passos. A grande maioria das aplicações tem isso. Tem como você fazer tanto por SMS como fazer por algum aplicativo autenticador. SMS não é bom, não é nada seguro, é muito fácil de interceptar a mensagem. A maioria faz por SMS, inclusive os bancos, e não tem nada OK em SMS, é muito fácil de quebrar, de interceptar e ler a informação. Já teve broker de SMS no Brasil que passou mais de três meses exposto e nem soube e, basicamente, esse broker tinha boa parte dos bancos como clientes. Então, se eu soubesse o número do seu telefone, eu conseguiria pegar o seu acesso por essa plataforma e conseguiria entrar na sua conta bancária. É muito frágil. Ligação telefônica e SMS têm segurança baixíssima. Então, qualquer tipo de autenticação que use isso não é muito seguro. Recomedo usar um aplicativo de autenticação e tem alguns, inclusive um do próprio Google. Esse é um cuidado básico mais de segurança e de privacidade. Aquilo que falei: ou você não usa ou gasta tempo para configurar.
Já que não estamos seguros, existe alguma maneira de voltar atrás?
O dado que vazou, já vazou. Histórico não vai ter muito como apagar agora. A parte boa é que, quando entrar o direito ao esquecimento, você vai poder falar para aquela farmácia que pediu teu CPF para dar desconto para ela apagar todo o seu histórico e isso é uma boa aplicação desse direito. Mas, por enquanto, não dá. O grande ponto é que se tem uma farmácia te oferecendo R$ 15 para você dar o CPF para ela, alguém está pagando muito mais para você dar seu CPF. Ninguém é besta.
O Brasil está preparado para esse nova lei?
Vai ser uma bagunça, quase ninguém está preparado para isso. Quando você vai para farmácia são dados sensíveis, os de saúde, assim como hospitais. Os hotéis têm muitos dados de muita gente e eles não estão nem preocupados, não fazem nem ideia que essa lei está vindo. A questão é que muita gente acha que essa lei é para empresas de internet, mas não, ela é para tudo. Então acredito que os negócios tradicionais são os que mais vão sofrer, de longe. O Brasil não está preparado, mas nem a Europa, nenhum lugar. Só para se ter uma ideia, o impacto estimado de custo para adaptação na Europa está hoje em 150 bilhões de euros.
Informação é o petróleo deste século?
Sem dúvida. O que está vindo é que a gente está entrando em uma era de automação. Se você parar para pensar, a internet até então só revolucionou duas indústrias: mídia e varejo. Está começando a revolucionar a indústria financeira, a chegar na agricultura, a bater na indústria. Então se você pegar varejo e mídia, deve ser entre 7% e 8% da economia global, que é o que foi influenciado pela internet até então. Os outros 90% ainda vão ser completamente revolucionados por tecnologia. O espaço de tempo depende da indústria, mas olhando para o todo é coisa de 10 anos e vão passar muito rápido.
Muito se fala que a In Loco se tornará um unicórnio, vocês têm essa expectativa?
A gente não comenta sobre o valuation da empresa, mas não é um objetivo. Não é por isso que a gente está trabalhando, pode ser uma consequência. Até porque, a nossa ambição é muito maior. E, entrando na questão da privacidade, a gente acredita que ela vai ser um dos maiores problemas da humanidade nos próximos anos e, se você resolve um dos maiores problemas da humanidade, você constrói uma empresa muito grande. Nosso objetivo é resolver esse problema.
Mas você, como empresa, diria para as pessoas que ainda é vantajoso ter seus dados acessados?
A gente, de forma invisível, já gera muitos benefícios para as pessoas. Por exemplo, hoje a gente está fazendo muita coisa de segurança para os bancos, estamos protegendo sua conta bancária e protegendo o banco de ter um laranja abrindo uma conta para fazer lavagem de dinheiro. Milhões e milhões de contas bancárias são protegidas por nós. Por exemplo, a pessoa tem agência, conta, senha e, no cadastro do banco, tem o comprovante de residência, o endereço declarado. A gente tem a nossa tecnologia embarcada dentro do aplicativo do banco. Vamos supor que alguém roubou seu celular e sua senha e vai acessar sua conta. A gente consegue identificar que esse celular não dormiu na sua casa e a gente bloqueia esse acesso, essa é uma das formas. E a gente consegue fazer isso sem saber quem é você. O banco sabe quem você é, mas a gente só sabe que aquele número aleatório que está associado à sua conta, está associado ao seu endereço. Quando a gente vê que aquele mesmo número está em outro lugar, avisa ao banco. A gente traz muitos benefícios para a população que ela nem sabe. Milhões de usuários recebem cupons de desconto e benefícios e a inteligência que está por trás é a da In Loco.
Vocês (sócios da In Loco) passaram quatro anos sem faturamento. Como foi sobreviver a essa fase?
Os dois primeiros anos foram os mais difíceis porque a gente não tinha nenhuma remuneração. A gente largou a faculdade e tinha aquela coisa de que não estava ganhando nada, mas a gente tinha uma crença muito forte no problema e que seria capaz de resolver e isso ia demorar. Então, a gente persistiu muito. A parte bonita de empreender em tecnologia é que não precisa ter muito recurso. A gente não tinha espaço físico, ficávamos no quarto de um dos sócios, todo mundo já tinha computador porque fazia ciência da computação e é um item obrigatório para o curso. Então, tinha o material de trabalho. E tinha internet, que era o que a gente precisava. A gente levava uma vida supersimples, comendo miojo e gastando o mínimo possível. Eu tive muita sorte porque meus pais são da computação e isso ajudou a eles entenderem o que a gente estava fazendo e facilitou muito, mas, ao mesmo tempo, tinha pressão pela faculdade. Foi duro, quando a gente estava perto de receber o investimento, já estávamos chegando no limite.
Entrevista - André Ferraz // CEO da In Loco
Como está a questão da Lei Geral de Proteção de Dados?
Na minha opinião, ela é um marco importante e acho que cria algumas regras básicas para pelo menos ter um mínimo de ordem nesse caos. Mas, sinceramente, acho que não resolve o problema ainda. A GDPR, que é o espelho europeu dessa lei brasileira, já teve algumas consequências não planejadas. Então, por exemplo, a GDPR e também a LGPD têm uma parte que é sobre os direitos do usuário, o direito à informação e ao esquecimento. O direito à informação é você poder chegar para qualquer aplicativo e dizer que quer ver todos os dados que pegou sobre mim. Por exemplo, tem aquelas caixinhas de som que coletam tudo que está sendo falado na sua casa e não tem um sistema de autenticação muito seguro, aí já tiveram mais de 1.700 ocorrências na Europa de pessoas que baixaram os áudios inteiros de outras pessoas porque esse direito acabou abrindo essa brecha sem atrelar esse direito a mecanismos de autenticação que sejam realmente muito seguros. Não existe um link entre essas duas coisas. Então, se o mecanismo de autenticação não é muito seguro, mas aquele produto dá o direito à informação, você tem grandes chances de ter seus áudios vazados por outra pessoa.
Em algum canto, em uma letra miúda, tem especificando isso de que você aceita?
Aí é outro problema dessa nova lei porque ela requisita que a política de privacidade seja simples, direta e objetiva, mas, na prática, como aplicativo ou plataforma, você continua podendo fazer uma política de privacidade com 15 páginas que ninguém vai ler. Então, por mais que esteja lá, você não vai chegar nesta sessão para dizer que autoriza. Por exemplo, teve um caso que aconteceu recentemente que descobriram que havia funcionários do Google escutando os áudios das pessoas. Acho que 0.2% dos usuários Google tinham pessoas escutando áudio. Então, os outros 99,8% eram máquinas escutando. Teve um outro caso que também descobriram que o Facebook estava contratando pessoas para escutar os áudios de outras pessoas. Se as políticas de privacidade fossem realmente transparentes, a maioria dessas empresas ia falar coisas bizarras do tipo: “Por mais que você desligue seu celular, vou continuar rastreando sua localização”. Se tivesse isso escrito de forma clara na sua frente, duvido que você iria aceitar.
Existe alguma forma de as pessoas se protegerem ou se entrei em uma rede social não tem mais jeito?
É complicado se você for entrar nessas principais plataformas e for navegar por essa parte de privacidade e segurança. Eles sempre tornam esse tipo de configuração mais complicado do que qualquer outro. Para você mudar o nome do seu perfil, é rapidinho, mas para você dizer que não quer que peguem o seu histórico de ligações telefônicas, aí tem que passar por um labirinto grande para chegar lá. As plataformas tornam isso difícil. Hoje, uma das formas de se proteger de fato é gastando tempo configurando as coisas. Do tipo: baixou um app de uma rede social, vai ter que navegar por todas as configurações, desligar um monte de coisas, ir nas configurações do celular, de privacidade, são coisas difíceis para um leigo. E a opção para um leigo é não usar, o que não vai acontecer.
André Ferraz está protegido?
Me considero protegido. Por exemplo, não uso o buscador mais popular, não tenho conta pessoal em redes sociais, tenho conta-empresa, mas não tenho com meus dados pessoais, os serviços que uso são bem configurados. Eu tenho um cuidado adicional, mas isso me faz gastar tempo, ter muito mais atenção para usar a internet e não deveria ser assim. Mas eu sei o que acontece e o que eles podem fazer com nossos dados.
As pessoas andam com tudo logado, redes sociais, aplicativos. Quais os cuidados que devem ter?
Alguns cuidados básicos são usar um sistema de autenticação de dois passos. A grande maioria das aplicações tem isso. Tem como você fazer tanto por SMS como fazer por algum aplicativo autenticador. SMS não é bom, não é nada seguro, é muito fácil de interceptar a mensagem. A maioria faz por SMS, inclusive os bancos, e não tem nada OK em SMS, é muito fácil de quebrar, de interceptar e ler a informação. Já teve broker de SMS no Brasil que passou mais de três meses exposto e nem soube e, basicamente, esse broker tinha boa parte dos bancos como clientes. Então, se eu soubesse o número do seu telefone, eu conseguiria pegar o seu acesso por essa plataforma e conseguiria entrar na sua conta bancária. É muito frágil. Ligação telefônica e SMS têm segurança baixíssima. Então, qualquer tipo de autenticação que use isso não é muito seguro. Recomedo usar um aplicativo de autenticação e tem alguns, inclusive um do próprio Google. Esse é um cuidado básico mais de segurança e de privacidade. Aquilo que falei: ou você não usa ou gasta tempo para configurar.
Já que não estamos seguros, existe alguma maneira de voltar atrás?
O dado que vazou, já vazou. Histórico não vai ter muito como apagar agora. A parte boa é que, quando entrar o direito ao esquecimento, você vai poder falar para aquela farmácia que pediu teu CPF para dar desconto para ela apagar todo o seu histórico e isso é uma boa aplicação desse direito. Mas, por enquanto, não dá. O grande ponto é que se tem uma farmácia te oferecendo R$ 15 para você dar o CPF para ela, alguém está pagando muito mais para você dar seu CPF. Ninguém é besta.
O Brasil está preparado para esse nova lei?
Vai ser uma bagunça, quase ninguém está preparado para isso. Quando você vai para farmácia são dados sensíveis, os de saúde, assim como hospitais. Os hotéis têm muitos dados de muita gente e eles não estão nem preocupados, não fazem nem ideia que essa lei está vindo. A questão é que muita gente acha que essa lei é para empresas de internet, mas não, ela é para tudo. Então acredito que os negócios tradicionais são os que mais vão sofrer, de longe. O Brasil não está preparado, mas nem a Europa, nenhum lugar. Só para se ter uma ideia, o impacto estimado de custo para adaptação na Europa está hoje em 150 bilhões de euros.
Informação é o petróleo deste século?
Sem dúvida. O que está vindo é que a gente está entrando em uma era de automação. Se você parar para pensar, a internet até então só revolucionou duas indústrias: mídia e varejo. Está começando a revolucionar a indústria financeira, a chegar na agricultura, a bater na indústria. Então se você pegar varejo e mídia, deve ser entre 7% e 8% da economia global, que é o que foi influenciado pela internet até então. Os outros 90% ainda vão ser completamente revolucionados por tecnologia. O espaço de tempo depende da indústria, mas olhando para o todo é coisa de 10 anos e vão passar muito rápido.
Muito se fala que a In Loco se tornará um unicórnio, vocês têm essa expectativa?
A gente não comenta sobre o valuation da empresa, mas não é um objetivo. Não é por isso que a gente está trabalhando, pode ser uma consequência. Até porque, a nossa ambição é muito maior. E, entrando na questão da privacidade, a gente acredita que ela vai ser um dos maiores problemas da humanidade nos próximos anos e, se você resolve um dos maiores problemas da humanidade, você constrói uma empresa muito grande. Nosso objetivo é resolver esse problema.
Mas você, como empresa, diria para as pessoas que ainda é vantajoso ter seus dados acessados?
A gente, de forma invisível, já gera muitos benefícios para as pessoas. Por exemplo, hoje a gente está fazendo muita coisa de segurança para os bancos, estamos protegendo sua conta bancária e protegendo o banco de ter um laranja abrindo uma conta para fazer lavagem de dinheiro. Milhões e milhões de contas bancárias são protegidas por nós. Por exemplo, a pessoa tem agência, conta, senha e, no cadastro do banco, tem o comprovante de residência, o endereço declarado. A gente tem a nossa tecnologia embarcada dentro do aplicativo do banco. Vamos supor que alguém roubou seu celular e sua senha e vai acessar sua conta. A gente consegue identificar que esse celular não dormiu na sua casa e a gente bloqueia esse acesso, essa é uma das formas. E a gente consegue fazer isso sem saber quem é você. O banco sabe quem você é, mas a gente só sabe que aquele número aleatório que está associado à sua conta, está associado ao seu endereço. Quando a gente vê que aquele mesmo número está em outro lugar, avisa ao banco. A gente traz muitos benefícios para a população que ela nem sabe. Milhões de usuários recebem cupons de desconto e benefícios e a inteligência que está por trás é a da In Loco.
Vocês (sócios da In Loco) passaram quatro anos sem faturamento. Como foi sobreviver a essa fase?
Os dois primeiros anos foram os mais difíceis porque a gente não tinha nenhuma remuneração. A gente largou a faculdade e tinha aquela coisa de que não estava ganhando nada, mas a gente tinha uma crença muito forte no problema e que seria capaz de resolver e isso ia demorar. Então, a gente persistiu muito. A parte bonita de empreender em tecnologia é que não precisa ter muito recurso. A gente não tinha espaço físico, ficávamos no quarto de um dos sócios, todo mundo já tinha computador porque fazia ciência da computação e é um item obrigatório para o curso. Então, tinha o material de trabalho. E tinha internet, que era o que a gente precisava. A gente levava uma vida supersimples, comendo miojo e gastando o mínimo possível. Eu tive muita sorte porque meus pais são da computação e isso ajudou a eles entenderem o que a gente estava fazendo e facilitou muito, mas, ao mesmo tempo, tinha pressão pela faculdade. Foi duro, quando a gente estava perto de receber o investimento, já estávamos chegando no limite.