O que falta ao Brasil e à América Latina para uma proteção de dados efetiva?

A proteção de dados se tornou um assunto-chave para o Brasil e para a América Latina. As economias, as sociedades e as democracias brasileira e latino-americana dependem cada dia mais de uma governança de dados que possa determinar um equilíbrio sustentável entre os diferentes interesses em jogo.

A adoção da Lei Geral de Proteção de Dados (LGPD) e a criação de uma nova Autoridade de fiscalização, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), são somente dois exemplos dos enormes avanços que aconteceram ao nível nacional e regional em época mais recente.

Porém, a proteção de dados avança mas está muito longe de ser uma realidade concreta para todos, como emergiu claramente da conferencia Conferência “Computers, Privacy & Data Protection Latin America” (CPDP LatAm), maior evento sobre proteção de dados na América Latina, organizado nos dias 14, 15 e 16 de julho pelo Centro de Tecnologia e Sociedade da FGV Direito Rio (CTS-FGV).

Desafios comuns na região

Mesmo com tantos avanços significativos, a cultura de proteção de dados, entendida nos termos lançados por Stefano Rodotà como a consciência pelo tecido social da profunda ligação da proteção de dados com as garantias de liberdade, igualdade e democracia, é assunto ainda em vias de desenvolvimento na sociedade brasileira e latino-americana.

Devido à novidade do assunto na região, os cidadãos titulares de dados ainda não conhecem e exercitam na sua plenitude os seus direitos e, muitas vezes, não têm condições de perceber os riscos enormes ligados à falta de cuidado com seus dados pessoais, bem como o seu valor.

Por outro lado, empresas e governos compreendem muito bem o enorme valor dos dados pessoais, que há mais de uma década vêm sendo referidos como uma “nova classe de ativos”, o “petróleo de século XXI” ou o “recurso mais valioso do mundo”.

Basta, por exemplo, considerar que, ao pagar as compras em qualquer rede de farmácia ou loja de varejo, antes de pedir seu dinheiro o funcionário da loja provavelmente solicitará o seu CPF ou, até mesmo, seus dados biométricos que, além de dados pessoais, são também identificadores extremamente fortes e são qualificados como dados sensíveis, que merecem a máxima proteção nos termos da legislação.

Tal solicitação é efetuada, tantas vezes, sem que seja disponibilizada ao cidadão as informações necessárias como, por exemplo, sobre o motivo pelo qual este dado pessoal está sendo coletado, com quem será efetivamente compartilhado (eventualmente serão mencionados os “parceiros comerciais”, este recorrente curinga tantas vezes presente em políticas de privacidade ), qual o procedimento para o cidadão saber quais dados sobre você a empresa já coletou, entre outras informações necessárias.

Bastam, eventualmente, cerca de 5 segundos de conversa entre o funcionário e o consumidor titular de dados para que se configurem múltiplas violações de elementos fundamentais da LGPD: princípios de finalidade, necessidade, transparência, para listar somente os mais flagrantes.

Situações como estas, que são comuns em certas circunstâncias, são fortes indicativos da agressividade com que se busca potencializar a coleta de dados pessoais, que nos permite aventar que, para algumas empresas, os dados pessoais podem ser mais importantes que o próprio valor de algumas transações.

Estas práticas são difundidas em toda a região latino-americana. Ao cidadão, em situações como estas, não são oferecidas opções e ferramentas que lhe permitam levar na devida medida o valor de seus dados e seus próprios direitos e protegê-los – seja restringindo a sua circulação, seja aquiescendo com sua utilização dentro de um ambiente transparente e sob condições que lhe interessem e que não lhe sejam lesivas.

Práticas que levem o cidadão a acostumar-se a práticas potencialmente danosas, como permitir a coleta de dados sensíveis de forma indiscriminadas e sem nem mesmo saber por que estão sendo coletados, com quem serão compartilhados e como serão protegidos, parece o exato contrário da autodeterminação informativa, conceito basilar da proteção de dados pessoais.

Da mesma forma, ao vislumbrar alguns dos planos de implementação de “cidades inteligentes” no Brasil, bem como em nossos vizinhos latino-americanos, é preocupantemente frequente que a “inteligência” nestes sistemas consista basicamente na coleta maciça e não regulamentada de dados pessoais.

Pode parecer assustador que a implementação de sistemas de reconhecimento facial nas smart cities seja um processo totalmente normal e até desenfreado, ao invés de ser ponderado e balanceado com o recurso à análises de impacto sobre privacidade e proteção de dados.

Além disso, como foi destacado por vários palestrantes da conferência CPDP LatAm, é raro encontrar políticas de privacidade efetivamente completas, e é ainda mais raro encontrar sistemas de open source que permitam auditar livremente a suposta inteligência de tais sistemas.

Pensar que a mera implementação de sistemas baseado no processamento de dados seja sinônimo de inteligência, neutralidade e não-discriminação parece um excesso de confiança imprudente e até temerário de tecno solucionismo – além de ser postura que pode ter graves consequências em um futuro não distante, como, por exemplo, a judicialização de vários destes sistemas.

Cabe também destacar que os sistemas de reconhecimento facial são baseados no processamento permanente de dados biométricos sensíveis (as imagens faciais), para os quais a LGPD – e qualquer outra lei de proteção de dados existente na América latina – impõe cuidados especiais.

Tais considerações parecem ausentes em muitas destas implementações na região, sendo, em algumas circunstâncias, até mesmo excluídas explicitamente da aplicabilidade de legislações nacionais, considerando que exceções à aplicação da proteção de dados são comuns quando o processamento é justificado por razões de segurança pública.

Neste sentido, vários palestrantes da CPDP LatAm acentuaram que a implementação de sistemas de vigilância, na ausência de uma lei que regule o uso de proteção de dados em investigações criminais e na área de segurança pública, implica uma inversão da lógica da presunção de inocência que é essencial pelo Estado de direito.

Na Europa, cujo modelo de proteção de dados foi, em linhas gerais, importado e adaptado pelos países latino-americanos que legislaram a esse respeito, a entrada em vigor do GDPR foi acompanhada da entrada em vigor da Diretiva 2016/680 sobre tratamento de dados pessoais para fins de atividades de segurança pública, sendo assim estabelecido um marco regulatório específico de proteção dos dados pessoais tratados para esta finalidade.

Rumo à construção de uma cultura de proteção de dados

É uma boa prática levar em consideração, ao legislar sobre uma matéria que demanda forte convergência global quanto aos seus institutos e conceitos, os sistemas com mais experiência sobre proteção de dados.

É necessário, no entanto, ressaltar a impropriedade de se descartar, injustificadamente, cerca de metade do sistema em questão. É necessário definir regras solidas e completas, criar instituições modernas, independentes e que disponham dos recursos suficientes para construir a arquitetura regulatória capaz de educar indivíduos, empresas e poderes públicos, e promover tecnologias, modelos de negócios e de organização no âmbito das quais os dados podem ser usados, ao mesmo tempo em que os direitos dos titulares são garantidos.

Neste sentido foi excelente ouvir do diretor presidente da ANPD, Waldemar Gonçalves, que a conversão da ANPD em uma autarquia independente está sendo estudada e que a ANPD pretende cumprir o papel de ser uma autoridade educativa que almeja gerar segurança jurídica no país, trazendo visões de cada setor, e que nesse sentido a constituição do Conselho Nacional de Proteção de Dados e da Privacidade ocorrerá em breve. Apesar de ser um relativo “newcomer” na área da proteção de dados, o Brasil tem potencial para se tornar referência na região.

É necessário fortalecer a cultura de proteção de dados na América Latina. Neste contexto, o papel de uma plataforma como a CPDP LatAm é fundamental para permitir aos países da América Latina de debater não somente como construir a sua própria identidade em termos de proteção de dados, mas também como alcançar esse objetivo de maneira efetiva e adequado às suas circunstâncias e da região.

Como favorecer a interoperabilidade entre marcos regulatórios estabelecendo normas compatíveis que favoreçam os fluxos transacionais de dados, mas, ao mesmo tempo, possam preservar a soberania digital, fortalecer a autodeterminação informativa e evitar o colonialismo digital? Como abordar os parâmetros internacionais, como o europeu e, ao mesmo tempo, reconhecer as diferenças e particularismos regionais?

Essas perguntas são crucias para as nossas sociedades e seus desdobramentos estão na base da primeira CPDP LatAm. As gravações de todas as sessões serão divulgadas nas próximas semanas em parceira com o JOTA e todas as publicações da CPDP LatAm se encontram no site da conferência.