Não, eu não autorizo o uso dos meus dados

Uma análise sobre o mercado de software no Agronegócio, no qual a onipresença da internet nos deu a falsa impressão de domínio e poder sobre os nossos dados. Quando na verdade eles estão em poder de terceiros e não necessariamente servem aos nossos interesses.

Eu costumo dizer que as empresas do agronegócio ligadas à produção no campo foram fortemente impulsionadas na adoção das tecnologias digitais pela agricultura de precisão. Mas em outras áreas do setor foi diferente, as agroindústrias por sua vez tiveram um processo mais encadeado de implantação de redes de computadores, sistemas de folha de pagamento, sistemas de controle de produção, de qualidade, de logística e finalmente os ERPs. Na pecuária de corte os sistemas de controle hereditário/genético do rebanho bem como os de gestão do pasto ou confinamento foram a grosso modo a sequência de uso de ferramentas computacionais. Na pecuária leiteira os sistemas de automação/controle da ordenha e controle da qualidade do leite estabeleceram um caminho consistente do uso das tecnologias da informação. Houveram também os sistemas de irrigação, controle de estufas e granjas, que incorporaram o uso de programas de computador em toda uma gama de produções, como HF, galináceos, etc. 

Todos esses casos ocorreram principalmente nos últimos 20 anos e foram marcados por diversas mudanças arquiteturais de computação, bem como de interconexão de dados. No início falávamos de computadores pessoais, que faziam o papel de cliente e servidor. Os dados eram armazenados neles mesmo, e na grande maioria dos casos, nasciam e morriam dentro das fazendas ou plantas industriais. Basicamente, os benefícios que tais tecnologias traziam estavam ligados com o aumento da eficiência operacional, ao diminuir o tempo e número de funcionários. Mas em 2007 a Apple lançou o iPhone e mudou o conceito de smartphones que já existiam anos antes, através de um modelo comercial de aplicativos. Esse modelo foi então massificado com o Android a partir de 2008. E mais do que isso, esses smartphones mudaram a forma com que as pessoas se relacionavam com a computação, antes essa relação só se iniciava por um computador e na maioria dos casos de forma offline, e agora ela poderia ser “mobile-first” e conectado à internet. Como nunca acontecera antes, um dispositivo computacional se tornou um símbolo de status. E sua estética presente valia mais que sua funcionalidade. Nessa época o 3G já existia e para se ter um smartphone funcional era necessário um email. Estávamos online. E não importa se o smartphone era ou não utilizado como ferramenta de trabalho, nos anos que se seguiram os usuários se acostumaram a ver seus dados lá. Eles estavam disponíveis, e ninguém se perguntava onde realmente estavam, pois funcionava. Sem saber, as pessoas confiaram seus dados à internet.

Logo os sistemas que comentei no início se transformaram, na esteira das evoluções trazidas pelos smartphones e pela internet. Deixaram primeiro de serem programas instalados nos PCs e passaram a funcionar nos browsers, subitamente os dados foram movidos para outros destinos, mas por continuarem disponíveis, novamente, ninguém se perguntava onde realmente estavam, pois funcionava. Mas uma coisa não mudou, os dados iniciais que alimentavam tais sistemas eram da fazenda ou da agroindústria, não eram do fornecedor. Com o avanço dos recursos de telemetria, os dados dos maquinários se tornaram outros que vinham do campo e eram injetados nesses sistemas, mas armazenados em servidores fora do alcance do cliente. 

Apenas para ilustrar, hoje usinas de cana-de-açúcar tem seus dados de talhões, plantio, colheita, variedade, ambiente de solo, produtividade, consumo de combustível, máquinas e equipamentos em operação, armazenados e sob o domínio de empresas de tecnologia que oferecem sistemas de telemetria, logística etc, ou mesmo de fabricantes de máquinas agrícolas. E estes dados, na vasta maioria dos casos, não estão segregados, estão nas mesmas bases com todos os dados de todos os outros clientes. E isto necessariamente não quer dizer que é um problema, mas se os dados destas usinas representam vantagem competitiva para o mercado, eles têm muito valor, ainda mais se estiverem junto com os dados similares de seus concorrentes ou de um setor específico. Uma forma de validar esse argumento é se colocar na posição de investidor do fornecedor que possui os tais dados, e verificar se na tese de investimento dele existe algo como “detemos grande conhecimento sobre o mercado”, isso indicaria que a posse de dados de clientes tem muito valor para o negócio. Ou seja, o que aconteceria se uma gigante do agro for investidora de uma empresa que possui dados sobre a maior parte da produção de uma cultura? Dados que vieram de clientes desta empresa.

Porém o exemplo que eu dei relacionado às empresas de açúcar e álcool, pode não esclarecer o teor completo da mensagem. Veja sob a ótica do consumidor final, membro do agronegócio, no modelo chamado de B2F (business to farmer), no qual o fornecedor oferece SaaS diretamente ao produtor. Quando houve a evolução das tecnologias como disse anteriormente, os consumidores rapidamente saíram dos PCs e foram para os dispositivos móveis, aliás muitos são, como disse “mobile-first”, suas primeiras entradas no mercado foram através dos smartphones, e também pela maior conectividade, mas além disso os custos da tecnologia caíram, tanto do computador de 400 dólares que se tornou o celular de 100 dólares, quanto das licenças de software, que em muitos casos se tornaram pacotes “freemium”. Nesse cenário, o tipo de aplicação mais comum é a dos sistemas de gestão da fazenda, ou FMS (Farm Management Systems), neles os dados que importam são as técnicas de manejo do produtor, as safras, as características e dimensões de suas áreas, quais máquinas ele possui e como as usa, qual sua produtividade, quem trabalha na fazenda, qual é a incidência de pragas e doenças, qual o tamanho do rebanho, etc. Aqui também se repete o caso da agroindústria: não se sabe onde e como esses dados estão armazenados. Mas e se esses dados forem roubados ou se tornarem indisponíveis? Como é a segurança da informação do fornecedor? O que acontece se o produtor perder seu histórico de dados que estava em um sistema na internet? É bom lembrar que em abril de 2021 uma grande fabricante de tratores corrigiu uma falha séria em seus sistemas que permitia que cibercriminosos roubassem dados de tratores de clientes, e dados de como e onde esses equipamentos eram usados. Este problema só foi corrigido depois que os pesquisadores autônomos que descobriram essas falhas de segurança publicaram tanto para o fabricante quanto para a Agência de Segurança Cibernética e Infraestrutura do Governo dos Estados Unidos (CISA) as falhas e então a empresa fez a correção. 

Talvez o produtor rural não entenda o valor dos seus dados, mesmo porque eles só começaram a ser visíveis agora, em função da tecnologia. Mas uma coisa que me preocupa a respeito dos FMSs é como estes dados privados serão usados. Pois algumas empresas por trás destes sistemas já começam a sinalizar para seus investidores que pretendem usar estes dados para nutrir modelos de crédito para os fazendeiros, o que obviamente é mais lucrativo do que a receita gerada via SaaS. Eventualmente eu poderia dizer que isso também não é um problema, desde que o produtor saiba e concorde com o uso dos seus dados para este fim, em função de uma licença de uso barata ou até “gratuita”. Mas mesmo assim é difícil ter clareza de como um fornecedor pode usar dados proprietários de clientes para modelagem de crédito. Invariavelmente isso me lembra o conceito de e-scores apresentado no livro Weapons of Math Destruction de 2016 escrito por Cathy O’Neil. Em determinada parte do livro ela descreve os e-scores como: “arbitrários, inexplicáveis, não regulamentados e muitas vezes injustos – em resumo, são armas de destruição matemáticas”. Além disso, não fica claro como, por quem e por quanto tempo estes dados serão usados.

Outros mercados tem evoluído com novas regulamentações, que mitigam problemas similares, nos EUA existe para crédito o Fair Credit Reporting Act, para área de saúde o Health Insurance Portability and Accountability Act, já de uma forma mais geral na Comunidade Européia existe a GPDR e no Brasil a LGPD que é bem completa e deve ser seguida, contudo não é simples validar as ações dos fornecedores, e portanto a regulamentação tem que andar junto das medidas de diminuição de riscos. Essas medidas começam com contratos com os fornecedores, mais claros quanto a governança de dados e SLAs desta governança. Eu sinto falta de ver itens contratuais que descrevem que todos os dados dos clientes estão em estruturas segregadas por contêineres, que os dados de operações são armazenados apenas por períodos de tempo definidos, em locais/zonas específicas e como eles são criptografados, etc. Atualmente todas estas rotinas técnicas que exemplifiquei, quando realizadas, são registradas automaticamente em ambientes de nuvem, portanto seria simples (como regras de SLA) o fornecedor enviar cópias de tais registros que autenticam a situação dos dados do cliente. Somado a isso o cliente deveria ter recursos descritos em contrato para medir a qualquer tempo qual o volume de seus dados estão no fornecedor e quando deletados sob regra ou solicitação, como isso pode ser minimamente verificado. Também seria importante existir um recurso de coleta dos dados crus. Uma vez que os dados nasceram sob posse do cliente e foram ao fornecedor, não é apenas o resultado do uso destes dados que deve estar disponível ao cliente, mas uma forma do cliente recuperar integralmente todos os dados que uma vez foram enviados ao fornecedor. Já, sobre a proteção de dados contra vazamentos, os contratos com fornecedores deveriam também incluir relatórios periódicos de testes de vulnerabilidade. A criptografia deveria também ser fomentada, e o cliente deveria também evoluir, principalmente as empresas, elas teriam que solicitar que seus dados fossem encriptados por seus certificados públicos, assim mesmo que além da vontade e esforços do fornecedor, os dados vazassem, eles estariam encriptados. Finalmente sobre o compartilhamento dos dados, entendo que ele pode ocorrer, mas os clientes deveriam possuir claramente as formas de opt-in e opt-out, sob os prazos que fizerem sentido às partes, e quando os dados fossem anonimizados, sob anuência do cliente, para estatísticas globais ou qualquer outro fim legítimo, o fornecedor deveria apresentar em contrato quais técnicas de anonimização e eventualmente hashes ele usa.

Para estas idéias de soluções não existem grandes restrições técnicas, mas com certeza elas interferem na arquitetura dos sistemas dos fornecedores, e em seus modelos de negócio, assim uma adequação que traga maior segurança e transparência ao cliente, com certeza trará aumento nos custos para os fornecedores. Então se estas alterações não forem conciliadas em tempo hábil, uma recomendação, aderente mais a grandes empresas, é a realização de vistorias técnicas remotas da arquitetura de nuvem do fornecedor, focadas na aderência a LGPD, através das quais o cliente tenha maior segurança. E junto destas vistorias, acho fundamental que todo cliente tenha um espelhamento de todos os seus dados, que são extraídos de sua infraestrutura e vão para o fornecedor, mesmo que essa extração de dados seja justamente um dos serviços entregues pelo fornecedor.

Colunista:

José Ricardo Damico

CEO & Founder da SciCrop