5 pontos para você saber a quantas anda o debate sobre proteção de dados no Brasil
Por: Luis Fernando Prado Chaves*
Nos dias 24 e 25 de agosto, foi realizado em São Paulo/SP o já tradicional Seminário de Proteção à Privacidade e aos Dados Pessoais, organizado pelo Comitê Gestor da Internet no Brasil e pelo Núcleo de Informação e Coordenação do Ponto BR. O evento, que acontece desde 2010, contou com renomados palestrantes e reflexões aprofundadas, tendo sido, sem dúvidas, um dos highlights do ano na discussão sobre regulamentação da proteção de dados no Brasil.
Os principais pontos abordados (que, certamente, serão temas recorrentes na construção da regulação da proteção de dados brasileira) foram os seguintes:
Os algoritmos que mandam:
Bem discutida foi a questão dos algoritmos (conjuntos de regras técnicas que levam à execução de um comando), das decisões automatizadas e da necessidade de maior transparência na proteção dos dados. As decisões automatizadas, que têm como base algoritmos construídos a partir da análise massiva de dados, determinam, entre outros aspectos, quais conteúdos o usuário vê em resultados de buscas, em seu feed de redes sociais e em anúncios personalizados. São os algoritmos que fazem com que eu, que escrevo esse texto, não veja a internet exatamente da mesma forma que você, que está lendo esse texto.
Sobre esse tema, preocupação recorrente foi a criação de “bolhas” virtuais, dentro das quais o usuário seria bombardeado com o mesmo tipo de conteúdo, estando com sua liberdade de navegação, de certa forma, limitada pelas decisões automatizadas. Igual preocupação também foi demonstrada quando o assunto foi a discriminação à qual determinados perfis de usuários de internet poderão ser submetidos a partir das decisões automatizadas. Maior transparência como minimização da problemática pode ser um caminho, mas a pergunta de difícil resposta que ficou de tudo isso foi: como compatibilizar o necessário maior grau de transparência em relação aos algoritmos com o segredo de negócio e a segurança da rede?
Economia de compartilhamento (de dados?):
Quando o assunto foi sharing economy, as inquietações se deram em relação ao volume de dados coletados por empresas privadas com a popularização de serviços que, por si só, dependem do tratamento de dados pessoais para que garantam a confiabilidade desejada pelo usuário, tais como Uber e AirBnB. Apontou-se, também, para uma necessidade de extrema atenção do Legislativo com relação à forma como será regulamentado no Brasil o compartilhamento de dados entre setores privados e públicos.
Criptografia vs. Segurança ou Criptografia e Segurança?
Vieram à tona, mais de uma vez, os casos envolvendo o bloqueio do WhatsApp no Brasil e o embate Apple vs. FBI nos Estados Unidos. O que tais casos têm em comum? Resistência da empresa de tecnologia responsável pelo serviço/produto em fornecer informações que, pelo que se alega, serviriam para auxiliar nas investigações criminais. Convergentes também são os argumentos empregues para justificar tal recusa: impossibilidade técnica e segurança dos dados dos usuários.
Com mais angústias do que respostas (como costuma acontecer quando o debate é sobre esse tema), as discussões sobre criptografia serviram para que fossem levantados alguns pontos importantes, sobretudo do ponto de vista regulatório. Nesse sentido, apontou-se que o Decreto 8.771/2016, que regulamenta o Marco Civil da Internet, da mesma forma que prevê que dados armazenados devem ser mantidos em formato interoperável para viabilizar o cumprimento de ordens legais de fornecimento (artigo 15), menciona expressamente a encriptação de dados como exemplo de medida apropriada para garantir a segurança e o sigilo de logs, dados pessoais e conteúdo de comunicações (artigo 13, IV).
Parece claro que a análise do tema deve passar por uma inafastável ponderação entre privacidade e garantia da atividade de investigação. Da mesma forma, está nítido que o avanço das tecnologias de segurança da informação leva à necessidade de que entes de investigação também sejam contemplados com inovações sensíveis em seus aparatos tecnológicos. Além disso, também se afirmou que não só as máquinas utilizadas nas investigações precisam ser atualizadas, mas também a forma de se investigar (por exemplo, com a utilização de metadados, cuja guarda já é dever dos provedores de acordo com a legislação nacional).
Compartilhamento de dados entre provedores de conexão e de aplicação exige atenção:
Formas de monetização de dados que envolvem troca de informações entre provedores foram lembradas como ponto de atenção, que exigem especial cuidado nas parcerias entre aqueles que proveem conexão à internet e aqueles que disponibilizam alguma funcionalidade na internet. Nesse sentido, o emblemático caso que avaliou a parceria comercial entre OI e Phorm, que resultou em imposição de multa de R$ 3,5 milhões à OI, pelo Ministério da Justiça, foi relembrado.
Portanto, se antes do Marco Civil da Internet as autoridades brasileiras já encontraram subsídios jurídicos para reprimir violações de privacidade que decorriam de acordos entre operadoras e provedores de aplicações, é de se esperar que, no atual momento, com a edição do Marco Civil da Internet e do Decreto Regulamentador (que prevê uma forma descentralizada de fiscalização das atividades dos provedores), maior deva ser o nível de atenção do Poder Público em relação à privacidade do usuário de internet. O assunto está de volta à crista da onda.
Contornos legais do credit scoring:
O sistema de proteção ao crédito não ficou fora da discussão. Nem poderia, porque esse será, certamente, um dos setores mais afetados pelos avanços na regulamentação da proteção de dados no Brasil (que deve culminar na edição de uma Lei Geral). O bom debate sobre esse tema envolveu as discussões entre consentimento e viabilidade do funcionamento do sistema de scoring.
Muito se debruçou, também, sobre o acórdão do Superior Tribunal de Justiça (proferido nos autos do REsp 1419697/RS, julgado em novembro/2014), que funciona como importante parâmetro das regras e limites que garantem a licitude do procedimento de pontuação. Refletiu-se, ainda, sobre um modelo de governança adequado, que passaria não apenas por um controle posterior ao tratamento de dados para classificação, mas também contaria com algum controle prévio. Em resumo, as palavras-chave foram transparência, correção e finalidade da coleta dos dados.
Suscintamente, esses são os temas que poderão estar no centro da regulamentação da proteção de dados no Brasil. Agora é torcer para que nossa Lei de Proteção de dados, que já é objeto de pelo menos três Projetos de Lei de extrema relevância (PLS 330/2013, PLC 4060/2012 e PLC 5276/2016 ), possa também contar com qualificados debates, tais como os que vimos em São Paulo nos últimos dias.
* Luis Fernando Prado Chaves é especialista em Propriedade Intelectual e Novos Negócios pela FGV DIREITO SP, advogado no escritório Opice Blum, Bruno, Abrusio e Vainzof e pesquisador externo no Grupo de Ensino e Pesquisa em Inovação (GEPI) da FGV DIREITO SP (Linha de pesquisa: Privacidade e Proteção de Dados).