(CartaCapital, 11/07/2016) Para não se deixar enganar e escolher como serão usados os seus dados pessoais, traduzimos os discursos da indústria da mineração de dados
No último dia 7 de julho, foi realizado um Seminário na Câmara dos Deputados para debater o Projeto de Lei 5276/2016, mais conhecido como PL de Proteção de Dados Pessoais. Nós já escrevemos sobre a importância da aprovação do projeto, mas o debate mostrou que ainda há embates entre os que defendem a privacidade e os que lutam contra ela.
Para evitar que os leitores tenham que assistir um vídeo de mais de três horas, nós resumimos as nossas diferenças em oito quase provérbios cuja leitura os deixará a par do que se precisa saber sobre este debate.
O mundo é dos espertos – mas há limites!
Preste atenção. Toda vez que começam os debates em torno da necessidade de garantir o direito à privacidade e à autodeterminação quanto ao uso de dados, surge uma série de “novos termos” para deslocar a necessidade de assegurar tais direitos.
A palavra trazida no último debate sobre o PL de Proteção de Dados Pessoais pela representante da Abranet, Thaís Gasparian, representante da Associação Brasileira dos Provedores de Acesso, Serviços e Informações da Rede Internet (Abranet), foi “era pós-digital”. Na era pós-digital, as pessoas não sentiriam mais receio de entregar os seus dados e teriam que confiar na boa fé das empresas.
Pois bem. Vamos começar por um argumento bastante utilizado pelas empresas: vamos lidar com a realidade? O Brasil é um país onde 50% das residências ainda não têm acesso à internet. Também metade dos domicílios não conta com um computador sequer, conforme levantamento do último TIC Domicílios feito pelo NIC.br. Não existe pós-digital por aqui. Talvez para as empresas – e apenas algumas.
Na verdade, estamos vivendo a era da digitalização e com muitas dificuldades em alguns campos. Mas mais importante do que isso é ter a certeza de que há ainda muitos dados a serem protegidos que não necessariamente estão em bancos digitais – como os números de cartão de crédito e de telefone, prontuários, dados médicos e por aí vai.
Em boca fechada não entra mosca. Ou: pare de falar em anonimização!
O termo é utilizado para o processo de, após coleta de dados de pessoais, identificáveis, eles passam por um tratamento para que não mais se possa apontar, individualmente, os sujeitos aos quais pertencem aqueles dados.
O problema é que é praticamente impossível anonimizar dados. E sabem disso tanto as entidades da sociedade civil que lutam pela garantia da privacidade e proteção aos dados pessoais dos cidadãos brasileiros quanto as empresas que lucram com bancos de dados das pessoas, como ficou claro no seminário realizado na Câmara dos Deputados sobre o PL 5276/2016.
“Hoje já temos tecnologia para reverter as informações e chegar bem próximo do titular que dos dados que foram anonimizados”, afirmou a diretora da Associação Nacional de Bureaus de Crédito Vanessa Butalla. Um exemplo notório vem de pesquisa realizada pela Universidade do Texas, em que foi provada a capacidade de identificar usuários do Netflix a partir de uma base anonimizada com as preferências dos usuários da maior locadora virtual do mundo.
E, com o rápido desenvolvimento das tecnologias, talvez seja difícil utilizar a palavra anonimização de dados ou mesmo dados anônimos sem parecer um ingênuo do século passado. Ou seja, talvez seja melhor não ficar usando este termo a torto e a direito por aí.
Assim, não é porque um banco de dados conta com informações pessoais ainda hoje consideradas – já de forma absolutamente não criteriosa – como anônimas/anononimizadas, que não deve haver regras de responsabilidades para coletar, manter e processar tais informações.
Mas se nenhum dado pode ser anônimo, então todas as empresas e órgãos governamentais estariam sujeitas a um regime jurídico que poderia impedir a livre iniciativa e a inovação.
Considerando isso e a necessidade de um critério para aplicar a futura (e assim esperamos) lei de proteção de dados pessoais, a sociedade civil defende que os dados pessoais devem ser definidos não pela oposição simples e burra ao dado anônimo.
Os dados pessoais devem ser aqueles relacionados à pessoa natural identificada ou identificável – ou seja, quando o processo de anonimização ao qual os dados foram submetidos for revertido ou, com esforços razoáveis, puderem ser revertidos.
Caberá ao órgão responsável por regular e fiscalizar a proteção de dados pessoais analisar e detalhar esta questão, algo essencial em um universo em constantes transformações.
Quem não vê cara, às vezes, vê coração
Nem sempre é preciso identificar uma pessoa para extrair valor de uma informação e prejudicar o sujeito ao qual a informação está relacionada. Como bem lembrou o pesquisador do Grupo de Pesquisa em Políticas Públicas para o Acesso à Informação (GPOPAI), saber o tipo de aparelho (e o modelo) pelo qual uma loja online está sendo acessada pode dizer muito sobre o perfil do consumidor, mesmo que não seja possível saber seu nome ou idade.
Um consumidor navegando com o último modelo do smartphone da Apple pode ser classificado como “com maior poder aquisitivo” e então receber uma oferta mais cara ou não ter acesso a determinados produtos mais baratos.
Ou seja, não são apenas os dados identificados que requerem uma proteção, em lei, para coleta, uso, tratamento e armazenamento. Às vezes, quem não vê cara, vê coração.
Dois pesos e duas medidas, a estratégia que cansa a nossa beleza
Como seria impossível analisar os dados de uma pessoa antes do processo de captação para verificar se há o cumprimento de princípios – como finalidade legítima, adequação à finalidade, livre acesso a consultas pelo titular, qualidade dos dados e atualização, transparência sobre tratamento dos dados e agentes de tratamento segurança, prevenção de danos e a não-discriminação – estabelecidos pelo projeto de lei de Proteção de Dados Pessoais, parte da responsabilidade por verificar se esses princípios estão garantidos é transferida à pessoa que repassará os dados. Mas este consentimento precisa ser livre, informado e inequívoco.
Quando a sociedade civil pressiona por avanços em termos de consentimento, a indústria vem com o discurso do razoável e exequível. Incrível como a indústria tecnológica tem dois pesos e duas medidas para lidar com as possibilidades de uso das tecnologias que pretende vender – e o uso de Big Data é um excelente exemplo, o recurso vai trazer a paz mundial, a tomar os discursos da indústria.
Mas quando se trata de garantir que o usuário saiba os dados que está entregando, segundo princípios razoáveis e éticos, tudo vira um mar de dificuldades.
Ora, ninguém liga para a aporrinhação que é se cadastrar em sites só para ver quanto custa um produto. Ou ter que dar dados como profissão e sexo para comprar um computador. As etapas de utilização de plataformas digitais só são inexequíveis quando não interessam à indústria. Ora, por favor!
Vão-se os anéis e ficam as digitais
Cada vez mais governos e empresas querem utilizar dados biométricos para certificação. Diz-se que é um avanço em termos de segurança em relação às senhas, mas isso só é verdade se as informações biométricas não estiverem disponíveis para que qualquer pessoas as acesse.
Em comparação com as tradicionais senhas, o rigor na coleta, guarda e uso de dados biométricos deve ser extremamente maior.
Por quê?
Porque uma vez que uma informação biométrica é divulgada, vazada e acessada de forma não prevista pelo proprietário do dado, é quase impossível se reestabelecer a segurança que se tem a partir delas.
O agravante extremo – e que difere dados biométricos das senhas – é que as pessoas não podem trocar de dedos, de íris e de rosto (no caso do reconhecimento facial) porque uma empresa ou departamento governamental não foi suficientemente capaz de assegurar sua guarda segura.
Isso é um fato da natureza. E, ao menos que se estabeleça o mercado de cirurgia plástica para certificação biométrica, este é um dado irrefutável de realidade.
Este é o motivo que faz com que as entidades da sociedade civil defendam que dados biométricos devem – sempre! – ser tratados como dados sensíveis para os fins de regulação.
Os dados sensíveis são aqueles que precisam ser coletadas só em casos específicos, uma ação da qual decorrerão responsabilidades compatíveis com o risco que o vazamento dessa informação pode oferecer ao seu proprietário – ou seja, proteções altas. E assim deve ser, como defende a sociedade civil no PL de Proteção de Dados Pessoais. Afinal, vão-se os anéis, mas os dedos, esses sempre ficam, já dizia o ditado.
Águas passadas não movem moinhos e é preciso regular o presente
Se há um consenso entre todos os atores envolvidos no processo de construção do PL de Proteção dos Dados Pessoais é que ele – pela forma como foi construído, colaborativamente, e em debate pelos vários setores interessados – está bem equilibrado.
E um dos pontos importantes é que o PL aponta para a necessidade de criação do Conselho Nacional de Proteção de Dados e da Privacidade e, e aqui está o destaque, de um órgão competente para zelar pela implementação e fiscalização da lei.
As empresas questionam que o PL de Proteção de Dados Pessoais atribua entre as atividades do órgão fiscalizador o estabelecimento de normas complementares para as atividades de comunicação de dados pessoais e a edição de normas sobre a proteção de dados pessoais e privacidade.
Ora, em um mundo de avanços tecnológicos rápidos, é óbvia a necessidade de garantir ao órgão fiscalizador atualizar as normas sobre o assunto – para melhor servir tanto aos cidadãos quanto à livre iniciativa e inovação.
As empresas alegam insegurança jurídica. Mas vejam, não há insegurança jurídica para as empresas quando há princípios que irão reger a regulamentação, lapidados como diamante nos últimos seis anos em que a matéria vem sendo debatida. Imagine se cada nova norma exigisse mais seis anos de debate? Não haveria segurança para as empresas, tampouco proteção aos cidadãos.
Procurando pelo em ovo? Vamos fazer omelete
Às vezes, chega a ser cansativo o quanto as empresas e seus interesses escusos tentam desconstruir o Marco Civil da Internet, uma lei, diga-se de passagem, elencada pela Organização das Nações Unidas (ONU) como exemplar para o mundo.
O Conselho de Direitos Humanos da Organização das Nações Unidas (ONU) aprovou resolução no início de julho sobre o funcionamento da internet no mundo.
No texto, apresentado pela Suécia e aprovado com apoio do Brasil, o organismo pede que “todos os Estados planejem criar, através de processos multissetoriais, inclusivos e transparentes, políticas públicas nacionais para a Internet”, conforme noticiou o site Telesíntese.
Assim, quando as empresas questionam se as regras para privacidade na internet passam a ser apenas as estabelecidas na (se aprovada) Lei de Proteção de Dados Pessoais, não podemos crer. Uma leitura simples dos dois textos permite compreender que as leis não versam sobre o mesmo assunto e são complementares. Ou seja, ou estão vendo pelo em ovo ou há má fé.
Prevenir é melhor que remediar, e quem muito quer nada tem. Ou: vamos aprovar o PL
Os representes da indústria que utiliza dados pessoais para extrair valor e lucro adoram citar exemplos em que o processamento de dados pessoais poderia ajudar a solucionar problemas importantes na nossa sociedade.
Entre eles, está a pesquisa em saúde e a melhor gestão dos serviços de saúde pública. É importante salientar que não defendemos, a priori, que toda coleta, armazenamento e processamento de dados é má. Muito pelo contrário.
Reconhecemos que o processamento de dados pode também garantir direitos como o de transparência nos gastos públicos. Mas é preciso evitar que uma doença se alastre lentamente pela sociedade, que é o uso indiscriminado e sem autorização dos dados dos cidadãos.
A metáfora que Paulo Rená, do Instituto Beta para Internet e Democracia (Ibidem), utilizou no seminário da semana passada é muito pertinente: é como o cigarro, as pessoas fumam porque o câncer não aparece na hora em que se acende um. Ele aparece depois de uso irresponsável por anos.
Os diversos setores interessados na matéria já debateram o projeto de lei de dados pessoais e chegaram a uma boa síntese para as diversas partes – e é isso que todos disseram no seminário.
Agora é hora de avançar para a aprovação. Inclusive para liberar que os melhores usos de bancos de dados aconteçam com segurança e responsabilidade.
*Marina Pita é jornalista e integrante do Conselho Diretor do Intervozes
Acesse no site de origem: Oito pontos para entender as disputas em torno da privacidade, por Marina Pita (CartaCapital, 11/07/2016)