Miguel Silva: “As ‘big techs’ sempre abusaram no sentido de recolher informação porque a vida delas é vender publicidade”

A Datatekin é uma empresa portuguesa que se foca na governação de dados e consultoria sobre esta temática a várias empresas, desde a banca ao setor da saúde. O CEO da instituição, Miguel Silva, sentou-se à conversa com o Jornal PT50 para conversar sobre a gestão dos dados pelas empresas e os riscos e falhas associados.

Entre críticas ao desleixo e uma relato positivo sobre o andamento do negócio, Miguel Silva acredita que as regras são essenciais neste mundo digital, devido aos riscos para a privacidade e segurança que acarreta o menosprezo pela área.

Começando pelo princípio, pedia para me falar um pouco da origem da empresa, o número de pessoas e o volume de negócios neste momento.

Nós, no ano passado, faturámos ali na casa do meio milhão. E estamos agora em processo de recrutamentos, portanto diria que no final do próximo mês devemos estar com 10 pessoas.

No que diz respeito à origem da empresa… Eu venho da parte da mídia, da área de mídia digital. Estive aqui como diretor de digital no grupo IPG, na iniciativa e no Universal McCann, e depois ainda passei uma temporada fora, num papel regional. Estive sempre muito ligado à parte de ‘data’, depois saí, estive a trabalhar uns tempos na Turquia, depois saí e montei esta consultora, que eu achei que era uma área mais focada na ‘data’ e mais focado num outro tipo de abordagem com os clientes a nível de trabalho em equipa, que eu acho não tanto… O push de determinados objetivos a nível das empresas de mídia estavam muito focadas em muita coisa. E, para mim, tinha ali um certo ‘clash’ de acreditar que aquilo era, de facto, uma boa aposta.

Como por exemplo?

Programático. Era contra programático.

Falou há pouco na faturação de meio milhão. Quantos clientes é que tem a empresa?

Tenho que os contar… Ora bem, nós trabalhamos quase exclusivamente 3 verticais. ‘Finance’, ‘Healthcare’ e ‘Utility’.

Portanto, estamos muito focados em clientes que tratam verticais de dados sensíveis. E essa componente da governação de dados é um tema importante. A nível de clientes, nós temos dois tipos de clientes: o de consultoria contínua, que temos de estar constantemente a trabalhar, e depois projetos. Números não consigo dizer de cor, mas são para cima de 10. Em continuidade, eu diria que à volta de 10 clientes.

Estamos agora a acabar o primeiro trimestre e, nesse sentido, perguntava se o ano começou bem e quais os objetivos para 2026?

O ano começou bem, tivemos aqui a entrada de mais dois clientes.

O que é que nós estamos a sentir neste momento em termos de mercado, nomeadamente no caso da banca, mais no ‘finance’? Estamos a começar a sentir algo que nós andávamos a fazer o ‘push’: o tema da otimização no comportamento do consumidor. Portanto, começar a olhar o ‘analytics’ como uma ferramenta de levantamento de dados quantitativos e, de alguma forma, já começar a haver abertura para começar a criar investigação e ‘research’ qualitativo e começar na componente de geração de hipóteses para aumentar taxas de conversão.

As ‘fintechs’ procuram muito este tipo de serviços?

As fintechs, eu diria, nascem num ambiente digital, não é? Portanto, de alguma maneira, estes trabalhos estão na sua génese, quase. Isto é, a dinâmica de tudo o que é tecnologias e todas estas comunidades já está na génese das empresas. Procuram menos pareceres externos.

Está internalizado?

Sim, está. Mas nesta parte da governação… Não vou comentar.

Porquê?

Porque aí têm um trabalho muito grande a fazer.

Em termos de tudo o que diz respeito à governação de dados, o que é que aconteceu? Foi feito um trabalho muito grande ao nível das organizações nesta componente quando foi o RGPD. Houve uma área que ficou um bocadinho para trás, que foi o que diz respeito à coleta de dados destes ambientes digitais. Não teve esse nível de intervenção e sofisticação a nível de controlo. E aí eu diria que ainda há algum trabalho a fazer nessa componente da governação.

E o que é que falta nessa parte?

‘Frameworks’ que definam políticas. Controlo de cookies, controlo das tecnologias, tudo o que são processos. Quando há comportamentos que saem fora do que é esperado de uma tecnologia, o que é que se faz? Ou seja, como é que se define?

Geralmente, o que está definido é sempre na entrada e na saída. Depois no meio, que tipologia de situações é que podem surgir aqui?

Aí há depois uma questão técnica. Geralmente, a introdução de uma tecnologia dentro de um site ou de uma aplicação é um ‘snippet’ de código, são linhas de código. O que é que aquilo vai permitir? Vai permitir que essa tecnologia fique ligada ao servidor e corre dentro do website, corre código próprio. E a partir do momento em que essa ‘tag’ é colocada nós podemos auditá-la antes de passar à produção, mas a partir do momento em que ela lá está, eles podem fazer o que quiserem dentro da plataforma. Ou seja, eu posso fazer ‘hijack’, posso recolher dados de formulários, posso meter a fotografia do Luís na homepage, posso fazer o que bem entender.

E as ‘cookies’ são também uma forma de alojar dados que essas ‘tags’ usam, escrevem e acedem a essa informação. O ponto está aqui todo, no risco. O risco está todo nesta componente destas soluções. Portanto, se não houver controlo sobre o que é que elas vão fazer, temos aqui riscos não só de privacidade, como até potencialmente riscos a nível de segurança.

Então, e agora passando para a parte dos riscos, em que é que se materializam esses riscos? Ou como é que se materializam e quais são os danos concretos que pode haver?

Há os temas de privacidade, que têm a ver com informação que, de alguma maneira é recolhida, sem consentimento. Ou seja, não há uma base legal para deixar essas tecnologias recolherem esses casos. A nível da privacidade, os riscos são mais ou menos controlados, no sentido em que não há um risco operacional de pôr em risco a empresa em si ou a segurança dos dados. Geralmente, os problemas de segurança ocorrem…

Vou dar um caso concreto que aconteceu com a British Airways, por exemplo, em 2018. A British Airways tinha um fornecedor de tecnologia que basicamente fez uma alteração à ‘tag’, sem dizer nada ao cliente. Houve um developer júnior que foi copiar o código de uma fonte ‘open source’ e o código estava comprometido. Passado uns tempos, surgiram na ‘dark web’ 400 mil registros de clientes da British Airways com cartões de crédito. A British Airways foi multada. E isto é uma situação que era possível antecipar. Se houvesse um controlo sobre o comportamento dessas tecnologias dentro do site, tinham soado os alarmes e poderia agir-se em tempo útil para não deixar que aquilo acontecesse. Basicamente esteve ali a recolher dados dos clientes.

Há situações que já aconteceram aqui no mercado nacional que foram… As pessoas não retiram as tecnologias do site quando deixam de trabalhar com elas. Conheço um caso em que a tecnologia faliu e basicamente alguém comprou aquilo, teve acesso a todos os sites que ainda tinham aquelas ‘tags’ e bloquearam basicamente um site aqui em Portugal que eu não vou mencionar.

Certo. Agora, por exemplo, nas falhas de controlo interno, lembro-me de uma notícia ontem sobre uma multa que foi aplicada em Intesa Sanpaolo, que é o maior banco de Itália, devido a um colaborador que teve acesso a dados de cerca de 3500 pessoas, entre os quais clientes de elevado risco e pessoas com cargos públicos. O banco foi multado em 30 milhões de euros. Isso é o tipo de casos que a Datatekin tenta contrariar?

Não, isso aí…

É erro humano, mas é controlo interno.

Nós o que estamos a falar é: tenho um site ou tenho uma aplicação e tenho uma tecnologia aqui dentro e eu tenho que controlar o que é que esta tecnologia está a fazer no meu site.

Quando montamos a governança estamos a ir ao detalhe e temos de perceber o que é que aquela tecnologia faz e compartilhar isso. Isto é política: compartilhar com o cliente. É dizer: a ‘tag’ do Facebook está a coletar este ‘data point’, este e este. É dizer o que é que são dados pessoais e o que não são. E depois os clientes tomam decisões em função disso.

Quando isto altera, sem aviso, há um risco, não é? Imaginemos que eles começam a coletar dados que os utilizadores estão a introduzir num formulário e estão a retirar dados pessoais. Sejam IBAN ou o que for. É possível fazer. O ponto aqui não é se o Facebook ou a Google fazem isso ou não. É perceber se o controlador de dados está em cima do que é que se está a passar e se está em controlo do que é que os seus processadores estão a fazer. Esse é o ponto crítico aqui.

Eu tenho um exemplo concreto. Por exemplo, o Facebook, em abril de 2025 ou 2024, já não me lembro, tinha uma ‘tag’ de Facebook ads e, de repente, começou a aparecer uma segunda ‘tag’. Ou seja, a ‘tag’ que lá está pode chamar outras, que não estão autorizadas. E tudo isto, no ambiente digital, o que é que vem de background?

É que nunca houve regras para nada. As ‘big techs’ sempre abusaram no sentido de recolher informação porque a vida delas é vender publicidade. E no final do dia, quando se começa a querer impor algumas regras no jogo… Isto vai aos poucos, a verdade é que isto tem estado a melhorar, mesmo da parte das ‘big techs’ tem estado a melhorar. Mas antes era o texas completo, não havia qualquer regulamento, e coletava-se muita coisa sem consentimento nenhum.

Agora, pegando nesse tópico, e as ‘big techs’ falam nisso, bem como a banca, quando se fala em excesso de regulação, faz sentido falar em excesso de regulação, tendo em conta isso?

O que eu sinto, às vezes, é que quem regula, do lado da União Europeia, está um bocadinho desfasado da realidade. Eu não diria que há excesso de regulação.

Temos de ser mais consequentes quando pomos legislação na rua. Quando se questionava a transferência de dados para os EUA, o que é que isto queria dizer? Quer dizer que o nosso nível de vida caía. Não se pode ter Netflix, Spotify… Não são só os softwares empresariais, mas muitos dos dados acabam lá. Ou seja, fazer para depois pôr tudo em causa… Se calhar tinha de ser pensado de forma diferente. Não digo que o fim não tenha mérito, mas acho que tem de haver alternativa na Europa para substituir aquilo que os americanos têm.

Se há regulação a mais? Eu acredito nos valores com que nos conduzimos, mas o ponto é como é que as instituições constroem isso. No caso da Inteligência Artificial, é ainda mais complexo. É bar aberto? Posso pegar em quaisquer dados e simplesmente fazer tratamento sobre eles? Acho que tem de haver alguma ordem no processo.

Agora, se eu tenho a receita para isso? Não tenho.

Pensando na oferta que a Datatekin tem para o cliente, seja no setor financeiro ou não, mas, mais especificamente, no setor financeiro, estes já têm, por norma, equipas de ‘compliance’ robustas. Mesmo nessas situações, sente que a empresa tem sempre algo a acrescentar?

É assim, o ponto fundamental para mim, e isto tem a ver com uma orientação nossa, achamos que o sistema de privacidade acaba por ser uma função operacional contínua.

O que é que eu quero dizer com isto? Ao contrário do que aconteceu um bocado no mercado. Veio o RGPD, as pessoas fizeram as políticas de privacidade, as políticas de ‘cookies’, meteram os ‘consent managers’ nos sites e ficou tudo tratado. Passados seis meses… Os resultados estão presentes no estudo que fizemos.

Nós olhamos o tema da privacidade tal como olhamos o tema da cibersegurança ou o risco financeiro. Ou seja, é um trabalho operacional contínuo. Não dá para dizer que fizemos e está feito. Não está. Numa semana, num mês, já nada daquilo bate a bota com a perdigota. Isso é um dos pontos.

Diria que podemos em certa altura passar do campo do ‘compliance’ para o da cibersegurança? E nesse aspeto, que tipo de riscos é que vêm ao de cima mais recorrentemente?

Eu ligo isto muito ao tema quer do DORA, quer do NIS2. Essencialmente, tu tens de ter controlo sobre o código que ocorre nos teus sites. Portanto, quando estás numa ótica de controlar a tua cadeia de abastecimento, estas tecnologias fazem parte dessa cadeia.

Eu não diria que isto é o ponto de maior risco a nível de cibersegurança. Não é, seguramente. Mas, de facto, existe este risco em que, a partir do momento em que metes a tecnologia, tu deixas de ter controlo sobre o código que corre dentro do teu perímetro digital. E aí começas a entrar nos temas de cyber.

Ou seja, pode até essa mudança não representar um risco de cibersegurança, mas o facto de não controlares que há essas mudanças expõe-te a nível de controlo e, portanto, obviamente, tens aqui associado um nível de risco muito superior. E acaba por, de alguma forma, haver quase uma sobreposição da privacidade com o cyber nesta perspetiva. Assim, com uma ação de controle único, eu consigo basicamente responder a necessidades de conformidade na parte de privacidade e também de redução do risco na parte operacional.

Eu reparei que, no site da Datatech, uma das coisas em que fazem muita ênfase é a questão da ética. E eu queria perguntar se acha que é isso que está em falta no mercado.

É muito difícil julgar isso… Eu não acho que seja um problema ético. Nós temos uma abordagem ética por um sentido… O que é que eu chamo de uma abordagem ética? Essencialmente estamos a falar de como é que nós tratamos tudo o que são dados de marketing. Ninguém na Datatekin tem formação jurídica.

Portanto, nós assentamos as nossas recomendações aos clientes em função de um determinado tipo de valores que nós incutimos às pessoas que vêm trabalhar connosco. Portanto, o que nós tentamos sempre com o cliente é pôr-lhe à vista todos os temas para que ele possa tomar uma decisão. A decisão depois é dele.

Agora, o que eu vejo no mercado é a privacidade ainda olhada muito, para já, como um custo. E depois, para as equipas de marketing, agora acho que menos, mas no início estava tudo muito em negação. Estava tudo em rejeição total do tema da privacidade. Porquê?
Porque tinha implicações nas formas como estavam habituados a fazer as coisas, que a certa altura era um problema. O que eu acho, sinceramente, é que quando nós nos movemos para um dito ‘data-driven enterprise’ – que toda a gente agora gosta de dizer que é – e se, de facto, queremos ter perfis suficientemente fortes, construídos dos nossos clientes e dos nossos utilizadores, para conseguir montar estratégias e critérios de segmentação altamente eficientes para vender ou comunicar ou o que quer que seja, tem de haver aqui um estabelecimento de confiança.

Quanto mais nós criarmos um pilar de confiança a nível da ‘equity’ das marcas em si que operam no mercado, eu diria que a probabilidade de esses seus clientes estarem dispostos a partilhar mais informação com eles aumenta proporcionalmente. Portanto, eu acredito que a privacidade é claramente um pilar de diferenciação e que pode ser tão diferenciado no sentido em que se eu conseguir ter mais informação sobre o meu cliente e utilizar essa informação de uma forma ética… No final do dia, a ética está na execução.

Os dados em si fazem parte do negócio e acho que se consegue ser mais eficaz se conseguimos estabelecer essa relação, porque as pessoas vão ter menos resistência a dar dados quando sabem que vão ser usados de determinadas maneiras que não ferem os princípios dessas pessoas.

Mencionou agora que não há pessoas com formação jurídica. Eu perguntava, tendo em conta que trabalham tanto com ‘compliance’, essa parte vem se calhar das equipas do cliente?

Nós não damos aconselhamento jurídico, nós descodificamos tudo para que um advogado consiga tomar decisões. O problema muitas vezes é que põem as questões aos advogados ou aos ‘data protection officers’ (DPO) de uma forma muito abstrata. E eles, como não têm conhecimentos técnicos, não têm informação suficiente para tomar decisões. E podem muitas vezes decidir na defensiva, não é?

Por exemplo, vão solicitar uma ‘tag’ nova de uma tecnologia qualquer. O que nós fazemos imediatamente é auditoria à ‘tag’. O que é que a ‘tag’ recolhe? Dizemos o que é que cada dado é, porque aquilo vem, obviamente, em coisas como underscore GA, underscore não sei o que mais… Alguém vai ter de dizer o que é que aquilo é. O que fazemos é descodificar o que é que aquela variável é, dar exemplos de coisas que são recolhidas, se aquilo são dados pessoais ou não. Isto é a construção da política das ‘tags’. Quando um DPO vê esta informação toda, já consegue ver o que é dado pessoal e o que não é. Portanto, já tem toda a informação preparada para aplicar a camada jurídica sobre a informação e é isso que nós fazemos.

Podemos obviamente fazer recomendações no sentido que é a nossa interpretação, mas a última palavra é sempre do jurídico e do cliente.

Então, na verdade, trabalham muito mais diretamente com os DPO?

Mais do que o marketing, até. Mas, por exemplo, na banca eu tenho clientes em que nós temos linha aberta com os DPO. Só para agilizar as coisas. O marketing manda-nos diretamente e temos uma reunião com os DPO e apresentamos as auditorias.

Acaba por ser um complemento àquilo de que o DPO precisa para tomar as suas decisões.

E para, no final do dia, não entrar em modo defensivo e, no caso de risco, dizer que não.