Iniciativa privada: regular o uso de dados pessoais é bom para vocês, confiem em mim

data-driven

Iniciativa privada: regular o uso de dados pessoais é bom para vocês, confiem em mim

Renato Leite Monteiro[1]

Bruno Bioni[2]

Uma Lei Geral de Proteção de Dados Pessoais tem por objetivo não só garantir a privacidade e outros direitos fundamentais dos cidadãos, mas, também fomentar a economia. Ao mesmo tempo em que se reduz a assimetria de informação entre entidades privadas e indivíduos, franqueando-lhes controle sobre suas informações pessoais, estabelece-se, também, alicerces claros para a monetização dessas informações, o que garante segurança jurídica às mais diferentes relações comerciais.

Diversas empresas já consideram a proteção à privacidade um elemento essencial dos seus modelos de negócio, considerando-o um elemento competitivo que os destaca no gigantesco universo de soluções baseadas no uso de dados pessoais. A adoção de serviços como Snapchat no lugar do Instagram; Telegram no lugar do Whatsapp, antes da criptografia ponta-a-ponta; práticas como dupla autenticação e senhas mais robustas são pequenos exemplos de como as pessoas ainda se preocupam com a sua privacidade e proteção dos seus dados, diferentemente do cenário verbalizado por muitos.

Este breve ensaio pretende mostrar como a iniciativa privada pode se valer da proteção de dados pessoais como diferencial competitivo em um mercado altamente baseado no uso, quase que irrestrito, de dados. Para tanto, os seguintes pontos serão analisados:

  • Segurança jurídica;
  • Consentimento;
  • Fluxo internacional de dados;
  • Qualidade dos dados;
  • Privacy by Design;

1. Segurança jurídica: 

Com relação a proteção de dados pessoais, apesar da vasta proteção setorial e a possibilidade de inferir diversos dos princípios gerais do ordenamento jurídico vigente no Brasil, ainda vivemos em um terreno pantanoso e movediço, que carece de regras claras, transparentes, harmônicas e permissivas que ao mesmo tempo em que visam garantir segurança jurídica às relações, não serão um entrave à livre iniciativa e à inovação. A começar, hoje não existe nem uma definição clara do conceito de dados pessoais, diferentes leis e decretos trazem conceitos únicos, díspares e de aplicação setorial. A segurança jurídica no tratamento de dados pessoais é extremamente necessária, principalmente, numa época de mineração de dados através de sistemas baseados em Big Data e Internet das Coisas.

Plataforma e serviços baseados em Big Data têm por características a utilização de dados pessoais para finalidades diferentes daquelas que foram originalmente informadas ao titular dos dados quando este forneceu o seu consentimento para o tratamento de seus dados. O cenário atual da necessidade de consentimento expresso para finalidades específicas, principalmente em se falando de serviços de Internet, veda o uso dos dados para essas novas finalidades. Essa proibição pode, na prática, inviabilizar o uso de Big Data, e desta forma brecar ferozmente a inovação e o desenvolvimento econômico e tecnológico.

Todavia, o atual projeto de lei geral traz em seu texto a hipótese do tratamento dos dados pessoais para finalidades diferentes, que não foram nem antevistas no momento da coleta, desde que este seja baseado nos legítimos interesses do responsável pelo processamento e nas legítimas expectativas do titular. Todavia, este não pode se tornar um cheque em branco que autorize o uso dos dados para qualquer outra finalidade. Para evitar tal cenário, o projeto implementará um efetivo teste de proporcionalidade que deverá balancear os diferentes interesses em jogo. Os legítimos interesses, podem, desta forma, ser uma real resposta para o cenário de incerteza que hoje permeia os mais inovadores serviços baseados no tratamento automatizado de dados.

2. Consentimento adequado aos modelos de negócio:

 A pedra basilar para o tratamento de dados pessoais ainda é o consentimento do titular, que deve ser, pelo menos, livre, informado e para finalidades determinadas. Todavia, a adjetivação do consentimento varia entre diferentes regulações, o que pode ocasionar um grande impacto nos mais diferentes modelos de negócio. Por exemplo, o Marco Civil da Internet determina que o consentimento deve ser livre, expresso, informado e para finalidades específicas. Entretanto, a obrigatoriedade de um consentimento tão rígido pode, na verdade, ter efeitos contrários, seja para que o usuário simplesmente aceite tudo que aparece na sua frente (o famoso aceite dos termos de uso sem ter conhecimento do conteúdo, na clássica teoria do overload informacional) ou para que haja um engessamento na forma de obtenção deste, o que na prática pode levar a um desrespeito das normas, prevendo autorizações genéricas como “compartilhamento com parceiros comerciais”.

Diferentemente do Marco Civil da Internet, o Projeto de Lei Geral traz em seu texto nove hipóteses autorizativas e legítimas para o tratamento de dados pessoais, sendo o consentimento apenas uma delas. Ainda, a adjetivação do consentimento é mais fluída, aceitando que este seja inequívoco e para finalidades determinadas, a exceção caso o tratamento seja de dados pessoais sensíveis ou para fins de transferência internacional.

A maleabilidade dada ao consentimento não retirará o controle por parte do titular, uma vez que o ônus para provar a obtenção deste continuará com o responsável pelo processamento dos dados, mas permitirá uma melhor experiência do usuário (apesar deste ser um argumento clássico para justificar coletas massivas de dados pessoais), a criação de diferentes modelos de negócio, sem que necessariamente haja uma limitação de direitos.

3. Fluxo internacional de dados:

É necessário ver o livre fluxo internacional de dados como um diferencial competitivo entre diferentes mercados. Um dos princípios basilares no tratamento de dados pessoais na sociedade em que o fluxo destes não respeita fronteira geográficas é a necessidades dos diferentes países onde os dados serão tratamentos oferecem níveis adequados de proteção dos dados pessoais, para que os direitos garantidos aos cidadãos em uma jurisdição não sejam mitigados em outra com um sistema protetivo inferior.

Neste contexto, o Brasil, ainda, não oferece um nível de proteção adequado, principalmente quando comparado com arcabouço legal europeu. Países vizinhos como Argentina e Uruguai, que há anos dispõem de leis gerais, já receberam a chancela da autoridade central europeia, o que na prática autoriza que estes recebem dados pessoais de cidadãos europeus ou originalmente tratados na união europeia. Os impactos econômicos e comerciais dessas decisões de adequação são enormes. Por exemplo, uma empresa europeia que oferece serviços através da Internet pode escolher utilizar datacenters instalados em Montevideo por estes terem um custo operacional bem inferior ao praticados no velho continente. Todavia, esta mesma empresa não poderia alugar servidores no Brasil para receber dados pessoais de seus clientes, mesmo que o serviço nas terras tupininquins fosse mais barato, pois ainda não estamos liberados para receber, armazenar e tratar tais dados. Referido cenário poderá ser revertido com a promulgação de uma lei geral.

Importante salientar que mesmo com a possibilidade de transferência internacional por meio de consentimento específico, hipótese prevista no atual Projeto de Lei Geral, isso só significa que podemos enviar dados do Brasil para outro país, mas não constitui uma garantia que dados de países terceiros poderão ser enviados para o nosso.

4. Princípio da Qualidade dos dados:

Ao invés de um custo operacional, a iniciativa privada pode, e deve, enxergar a proteção dos dados pessoais como um diferencial competitivo. Dentre vários exemplos, cita-se o dever-direito da qualidade dos dados, princípio que será positivado com a adoção de uma lei geral.

Apesar da quantidade de dados em circulação hoje em dia, pessoais ou não, a grande maioria deles pode ser considerado lixo, “noise” (no termo técnico), ruído. Uma consequência direta é que muito tempo e dinheiro são perdidos visando transformar esse ruído em dados de qualidade, que seja de fato interoperável e estruturado, a ser cruzado e agregado com outros dados de forma mais efetiva para, ao final, ser extraída uma informação útil. Em suma, para que os dados possam ser úteis para os fins almejados, ou permitir a inferência de novas finalidades, estes precisam ser de qualidade, atualizados, fidedignos, confiáveis.

Sem leis e regras de proteção de dados não há obrigação em manter a exatidão, clareza, relevância e atualização dos dados de acordo com a periodicidade necessária para o cumprimento da finalidade de seu tratamento. Ademais, os padrões de segurança e interoperabilidade são os mais diversos, dificultando o intercâmbio de informações, o que por vezes, principalmente dentro do âmbito de Big Data, se dá para fins legítimos e no interesse do titular.

Com a positivação de regras e fundamentos gerais, transversais e multissetoriais de proteção de dados pessoais, todos os agentes da cadeia econômica estarão a obrigados a manter dados que sejam exatos, atualizados e corretos, evitando duplicidades e menos falso-positivos. A tendência será, então, após um período de adaptação e aclimatação, que eles se tornem mais limpos, e, por consequência, mais úteis.

Em uma economia cada vez mais orientada pela inteligência de grande base de dados (big data), trata-se de um elemento crítico a alocar maior eficiência em toda a cadeia produtiva. Da publicidade comportamental à precificação de contratos securitários e financeiros, zelar pela qualidade de dados significa a adoção de estratégias comerciais mais eficazes, lastreadas em informações mais precisas.

Ao final, essas e outras transações comerciais, seja da economia online e/ou offline, serão otimizadas em razão do cidadão estar representado fidedignamente por seus dados. Essa sinergia implica em um mercado mais confiável e que internaliza a proteção dos dados pessoais como uma vantagem econômica.

Ademais, normas de segurança da informação, como o uso de criptografia e a obrigação em noticiar casos de vazamento, trabalham diretamente para compelir as empresas a implementarem os melhores esforços para evitar falhas e garantir a privacidade de seus clientes, o que inclusive pode ser tornar um diferencial competitivo, uma vez que os dados armazenados em seus bancos de dados são verdadeiros ativos com um alto valor comercial.

Por exemplo, após o recente vazamento de dados do sistema SWIFT – responsável por transferências internacionais de valores -, na Ásia, as autoridades de vários países se reuniram para rever as regras de proteção de dados do APEC Privacy Framework. Elas entenderam que regras mais rígidas e mais claras protegem não só os cidadãos, mas também os interesses privados das empresas que hoje dependem do uso e compartilhamento de dados.

Nesse sentido também trabalha o PL 5276/2016 e o recém aprovado Regulamento Europeu de Proteção de Dados. Ambos visam garantir a autodeterminação informativa e o desenvolvimento econômico e tecnológico por meio de regras rígidas, mas harmônicas e balanceadas para assegurar os interesses de todas as partes envolvidas.

5. Privacy by Design e Data Protection by Design:

Na esteira de garantir a segurança dos dados como diferencial competitivo, cada vez mais as empresas se voltam para metodologias conhecidas como Privacy by Design e Data Protection by Design, que em suma pregam a necessidade de ser ter por norte a proteção à privacidade e aos dados pessoais desde o momento da concepção do serviço/produto, durante o seu desenvolvimento, oferecimento ao mercado e futura supervisão para tentar identificar falhas ou práticas que não puderam ser antevistas no momento adequado.

O emprego massivo de diferentes formas de criptografia é um exemplo claro desse movimento. Mas este não é o único. Cada vez mais as empresas se valem dessas orientações para escrever os algoritmos que serão responsáveis por decisões automatizadas, visando evitar que estes, ao se valerem das diferentes variáveis disponíveis no seu ambiente, cheguem a resultados que possam ser considerados discriminatórios ao ponto de mitigar ou violar direitos e garantias fundamentais dos indivíduos atingidos, o que pode ensejar a responsabilização das entidades que processam os dados pessoais. Tal prática é conhecida como Algorithmic Accountability.

Ainda, a prática conhecida como Privacy by Default determina que os serviços já venham com configurações de privacidade mais restritivas de fábrica, cabendo aos usuários flexibiliza-las se assim desejar. As diferentes abordagens do Facebook com relação à privacidade são bons exemplos dessa técnica, uma vez que a rede social começou permitindo que qualquer pessoa tivesse acesso aos perfis e aos conteúdos compartilhados pelos seus usuários, para depois restringir apenas aos amigos ou círculos de pessoas pré-estabelecidos, podendo estes serem estendidos a terceiros caso fosse do interesse.

As três situações acima descritas estão presentes no Projeto da Lei Geral de Proteção de Dados Pessoais, algumas consideradas mandatórias, outras melhores práticas.

6. Direto de Portabilidade:

Como já tivemos a oportunidade de destacar em momento anterior, dentre outras inovações previstas no Projeto de Lei Geral, pretende-se criar o chamado direito de “portabilidade”. Os usuários poderão “levar” consigo seus dados pessoais ao trocar uma aplicação na Internet por outra (ou qualquer outro tipo de serviço que se valha do tratamento de dados pessoais), devendo, inclusive, a antiga aplicação fornecer os meios adequados para operacionalizar tal transmissão de dados, preferencialmente através de protocolos interoperáveis.

A privacidade poderá se tornar, literalmente, um elemento de competitividade. Afinal, quem trocaria de plataforma caso não pudesse levar consigo todo a sua “vida digital”? Os usuários poderiam, por exemplo, não só migrar para serviços que lhes sejam mais atraentes, inovadores, mas também para àqueles que lhes forneçam maiores garantias à proteção de seus dados pessoais.

Em um cenário pós-Snowden, no qual a confiança nos gigantes da Internet mostra-se fragilizada, não só já existem redes sociais implementando criptografia e servidores descentralizados como ferramentas antiespionagem, mas várias empresas utilizam o incremento na robustez da segurança dos dados dos clientes como bandeiras de marketing, inclusive defendendo judicialmente esse elemento dos seus modelos de negócio. Casos emblemáticos como a batalha entra a Apple e o FBI e os bloqueios do Whatsapp no Brasil por este serviço implementar criptografia ponta-a-ponta são exemplos de até onde estas empresas estão dispostas a ir para defender a privacidade dos dados de seus clientes.

Conclusão:

Portanto, com base no exposto, uma Lei Geral de Proteção de Dados Pessoais trará segurança jurídica suficiente para impulsionar o ideal inovador, o desenvolvimento econômico e tecnológico. Nesta toada, esta pode ser uma grande chance para que novos atores do mercado – incluindo a indústria nacional – carreguem a bandeira da privacidade como seu maior atrativo comercial e um enorme diferencial competitivo.

[1] Renato Leite Monteiro é professor de direito digital e internacional e coordenador do grupo de estudos em direito, tecnologia e inovação da Faculdade de Direito do Mackenzie.

[2] Bruno Bioni é assessor jurídico do Núcleo de Informação e Coordenação do Ponto BR/NIC.br e pesquisador Grupo de Pesquisa em Políticas Públicas para o Acesso à Informação/GPoPAI da Universidade de São Paulo

About the author

Renato Leite Monteiro

Especialista em Proteção de Dados e Privacidade. Professor de Direito Digital e Internacional da Faculdade de Direito da Universidade Presbiteriana Mackenzie. Coordenador do Grupo de Estudos em Direito, Tecnologia e Inovação da Faculdade de Direito do Mackenzie. Doutorando em Engenharia da Computação pela Universidade de São Paulo. LL.M. em Direito e Tecnologia pela New York University e pela National University of Singapore. Mestre em Direito Constitucional pela UFC. Study visitor do Departamento de Proteção de Dados Pessoais do Conselho da Europa.

View all posts