Como o Brasil pode inovar na proteção de dados pessoais?

Artigos

20.03.2017

início de 2017 trouxe a expectativa de que o Brasil terá finalmente um “plano nacional de Internet das Coisas/IoT”. No final do ano passado, o Ministério da Ciência, Tecnologia, Inovações e Comunicação/MCTIC e o Banco Nacional de Desenvolvimento Econômico e Social/BNDES firmaram um convênio para mapear as oportunidades da agenda de IoT. Já no início deste ano, a uma semana atrás, foi encerrada consulta pública sobre o tema. Ou seja, o governo federal está atuando de forma coordenada e procurando engajar politicamente a sociedade brasileira nessa pauta.

É sem dúvida um assunto estratégico para o desenvolvimento do país e que vai revolucionar os mais diversos setores da economia. Saúde, mobilidade urbana, agropecuária, energia, mineração e varejo são apenas alguns deles. A ideia é que os objetos ao nosso redor sejam sensores capazes de monitorar todas as nossas atividades para a elas agregar inteligência.

Por exemplo, um simples marca-passo poderia registrar todo o ritmo cardíaco de um implantado, o que permitiria diagnósticos e prognósticos mais precisos. Ainda, automóveis poderiam transmitir os dados de deslocamento aos responsáveis pelo gerenciamento das rotas de tráfego.

É intuitiva a preocupação com relação à privacidade. Se George Orwell pensou na figura do Big Brother em seu homônimo no livro “1984” e de uma única tela que observaria de forma constante os cidadãos, o cenário de IoT complexifica o romance. A vigilância estaria apoiada em várias microtelas e colocada em curso por vários little brothers. Não só a TV e não só o Estado, mas, também, a geladeira, a torradeira, a mesa, a caneta, o relógio, o tênis e todos os fornecedores desses dispositivos poderiam estar de vigília, observando e analisando todos os seus movimentos.

É, por isso, que privacidade e proteção de dados pessoais são questões estratégicas e indissociáveis de um plano nacional de IoT. E, nesse contexto, o Brasil precisa fazer a lição de casa. É necessário que haja uma lei geral de proteção de dados pessoais.

Em primeiro lugar, somente com essa lei serão fornecidos os conceitos chaves para o desenvolvimento da agenda de IoT no Brasil. Por exemplo, o que são dados pessoais e de que forma a tecnologia (e.g., técnicas de anonimização) poderia ser aplicada para mitigar os riscos à privacidade dos cidadãos que estão atrás desses dispositivos. Referida regulação poderia conferir uma maior segurança jurídica tanto ao cidadão, como também ao setor estatal e privado a respeito de como tais dados deveriam ser coletados, processados e compartilhados.

Em segundo lugar, essa lei seriatransversal, multisetorial, em justaposição à moldura normativa fragmentada existente no Brasil. A demanda regulatória de IoT é heterogênea. Do setor automotivo ao da saúde, sempre haveria vácuos normativos não cobertos pela legislação setorial brasileira de proteção de dados pessoais. Somente uma lei geral teria a amplitude necessária para enfrentar uma demanda tão multifacetada como é a da IoT.

É necessário, portanto, que haja tal infraestrutura jurídica para reduzir as incertezas em jogo. Somente, assim, a IoT florescerá por estar inserida em um ambiente que catalisa a confiança dos seus atores, especialmente quanto ao fluxo de informações-dados nele trafegado.

Mas, para além desse papel estratégico, de que forma a privacidade poderia gerar uma experiência inovadora no Plano Nacional de IoT?

Até hoje, via de regra, prevalece uma mentalidade regulatória punitiva para a proteção dos dados pessoais. Veja-se, de forma aleatória, três exemplos de três culturas jurídico-legais diferentes: 1- o leading case brasileiro em que a empresa ” Oi ” foi multada em R$ 3,5 milhões à época pelo então Departamento de Proteção e Defesa do Consumidor do Ministério da Justiça; 2- o caso paradigmático da unificação das políticas de privacidade em que a Google foi sancionada monetariamente por algumas autoridades garantidoras de proteção de dados europeias; e 3- a principal bandeira do órgão regulador americano (Federal Trade Commission), o qual tem punido pecuniariamente diversas empresas por cada uma das promessas quebradas sobre privacidade feitas em seus termos de uso (“broken privacy promises”). Uma das multas mais expressivas chegou até a casa dos US$ 25 milhões.

Em todos estes casos, o Estado, na figura do órgão regulador, em um movimento de regulação de cima para baixo, sancionou e tem sancionado os atores regulados: uma mentalidade regulatória punitiva e top-down.

O plano nacional de IoT poderia ser a oportunidade para o Brasil encampar uma nova estratégia regulatória. Por que não combinar medidas de incentivo à comportamentos desejáveis, ao invés de somente punir práticas reprováveis? Isso seria capaz de desencadear um movimento de regulação de baixo para cima (bottow-up) e não só de cima para baixo (top-down)?

Importante enaltecer que essa estratégia não seria a “invenção da roda”. O direito ambiental já tem feito isso ao incentivar tecnologias menos poluentes, as quais têm isenções ou benefícios tributários. É o que o jurista italiano Noberto Bobbio professava ao dizer que o direito deve incentivar boas práticas por meio de “normas premiais”.

O mesmo poderia ser feito com tecnologias que tivessem como valor de concepção a proteção à privacidade, metodologia comumente chamada de “privacy by design”, em que o projeto de um produto ou serviço é orientado por soluções tecnológicas que sejam pró-privacidade.

Por que também não conceder isenções ou benefícios fiscais para aqueles sensores de IoT concebidos com esse tipo de preocupação? Não seria o caso do privacy by design ser uma condicionante ou um diferencial imposto pelo BNDES para o financiamento de empresas nascentes de tecnologia?

Essa estratégia regulatória poderia ter vários desencadeamentos. Um deles, talvez o principal, é que privacidade e proteção de dados pessoais passariam a ser encaradas como um elemento de competitividade e vantagem econômica. Os atores regulados seriam induzidos a cooperarem com o órgão regulador, dando ensejo a um movimento de corregulação. Desde o “chão de fábrica” os efeitos da regulação já seriam notados.

O Plano Nacional de IoT parece ser uma excelente janela de oportunidade para se encampar essa estratégia regulatória inovadora em proteção de dados pessoais. O Brasil poderia ser um ator disruptivo nesse cenário. Já pensou em uma linha branca privacy-friendly da Internet das Coisas, ganhando mercado por esse ser o seu maior atrativo?

Bruno R. Bioni é mestre em Direito pela USP, assessor jurídico do NIC.br e pesquisador do GPoPAI-USP e LAVITS.

Este artigo foi publicado no Valor Econômico em 20 de março de 2017.