Doze de junho de 2017, Santa Rosa, Califórnia, Estados Unidos: o especialista em segurança digital Chris Vickery descobre uma base de dados desprotegida – e revela ao mundo que informações pessoais de mais de 198 milhões de eleitores americanos eram mantidas expostas. Os dados incluíam endereço e prováveis opiniões dos cidadãos sobre questões sociais e políticas variadas. Haviam sido mal armazenados pela empresa de análise Deep Root Analytics, contratada pelo Partido Republicano.
7 de fevereiro de 2017, Dublin, Irlanda: a Suprema Corte Irlandesa começa a ouvir as partes numa nova fase do julgamento que opõe o Facebook, empresa que faturou US$ 28 bilhões no ano passado, e o advogado Maximillian Schrems. O austríaco iniciou o caso em 2013, quando tinha 25 anos, por recear como o Facebook usaria seus dados ao transmiti-los para os Estados Unidos, fora do alcance das leis europeias. O governo americano enviou um representante para acompanhar o julgamento.
3 de abril de 2017, Washington, D.C., Estados Unidos: o presidente americano, Donald Trump, anula a Lei de Privacidade legada por seu antecessor, Barack Obama. O ato assinado por Trump havia sido apresentado em fevereiro pelo senador republicano Jeff Flake. O senador argumenta que a Lei de Privacidade de Obama obstruía a inovação.
22 de março de 2017, Brasília, Brasil: o jurista e ciberativista Paulo Rená participa de uma audiência pública na Câmara dos Deputados sobre proteção de dados pessoais. Faz uma defesa inusitada de sua preocupação com dados pessoais. “No banco, não dou a minha digital. Sabe por quê?”, questiona. “Porque a minha digital eu entrego em qualquer copo d’água como este aqui, ó.” E pausa para um gole. “Já pensou se isso for a chave para alguém acessar minha conta?” Rená usa o copo para explicar aos presentes que dados pessoais não são apenas números de documentos, mas também características físicas – dados biométricos, como o padrão da íris e dos vasos sanguíneos das mãos – e tudo mais que compõe o seu “rastro digital” – o fluxo de dados que você gera ao usar celular, tablet e computador e também redes sociais, aplicativos e software em geral. Na era digital, por mais cuidadoso que seja, você indica por onde passa, o que compra, do que gosta e o que usa.
O comércio desses dados é um mercado bilionário e gera o debate que se vê no Brasil, nos Estados Unidos, na Europa. Os termos de uso dos serviços digitais abrem possibilidades assustadoras. O Facebook informa não vender dados individuais. Mesmo assim, reserva-se o direito de, se você for usuário, detectar por onde caminha, a velocidade média de sua banda larga e o modelo do dispositivo com que você se conecta. Também coleta informações sobre seu uso dos serviços de anunciantes do Facebook, e de outros sites e aplicativos, se você usar a conta da rede social para se cadastrar neles. E os dados que os criadores desses sites e aplicativos compartilham com o Facebook – mesmo sobre atividades digitais ocorridas fora da rede social.
Um susto global ocorreu em 2015, quando se tornou público um termo de uso da Samsung. Ele alertava os donos de “smart TVs” (TVs com acesso à internet) para não conversar perto do aparelho sobre temas confidenciais, dada a possibilidade de trechos de conversa serem gravados e enviados à fabricante e a outras empresas prestadoras de serviços. Desde então, a Samsung informa que a gravação de voz só ocorre sob comando do usuário. A concorrente americana Vizio não foi tão ágil na reação e acabou multada em US$ 2,2 milhões pela Comissão Federal de Comércio dos Estados Unidos (FTC), em fevereiro. A empresa falhou ao não explicar claramente aos clientes quais dados coletava e como os usava. A Vizio aceitou a multa e publicou sua interpretação da história. “Hoje, a FTC deixou claro que todos os fabricantes de smart TVs deveriam obter o consentimento das pessoas antes de coletar e compartilhar informações sobre como elas assistem à televisão.”
Discutir a privacidade se tornou mais urgente depois que Edward Snowden, ex-funcionário da inteligência americana, revelou práticas de vigilância indiscriminada do governo dos Estados Unidos. Entre os alvos de espionagem estava a então presidente Dilma Rousseff, cujos e-mails foram interceptados. Ela cancelou uma visita que faria a Washington no mês seguinte. Pouco mais de um ano após o vazamento, ganhou corpo o debate no Brasil – deveríamos ter uma lei de proteção de dados pessoais? Um texto foi elaborado, alimentado com sugestões da sociedade civil, sob a coordenação do Ministério da Justiça e passou a tramitar na Câmara dos Deputados (Projeto de Lei 5.276, de 2016). Outras duas propostas tratam do tema: uma dos senadores Aloysio Nunes (PSDB-SP) e Antônio Carlos Valadares (PSB-SE) (o PL 3.330, de 2015) e outra do deputado federal Milton Monti (PR-SP) (o PL 4.060, de 2012).
Em 2016, as principais organizações participantes do debate publicaram uma carta aberta em apoio ao projeto do Ministério da Justiça. Elas consideram a iniciativa “capaz de trazer segurança jurídica para o cidadão, para a atividade empresarial e para a administração pública no tratamento dos dados pessoais”. Bruno Bioni é um dos advogados que estudam o tema. Autor do estudo Xeque-mate, um guia que compara as três normas legislativas correntes, considera o texto do ministério apropriado devido a sua concepção suprapartidária e aberta. “O processo colaborativo gerou um texto equilibrado que garante a proteção da privacidade do cidadão e, ao mesmo tempo, o desenvolvimento econômico, que depende cada vez mais da coleta e processamentos de dados pessoais”, afirma.
Dado pessoal, segundo o texto do ministério, é aquele que pode identificar uma pessoa. E, assim, também identifica padrões de consumo e outros hábitos – conhecimento valiosíssimo. Imagine que uma rede de farmácias disponha da lista de CPFs relacionados ao nome dos clientes. Se cada compra entrar numa base de dados, com o passar dos anos surgirão padrões de consumo. Hipoteticamente, a rede de farmácias pode fechar parceria com um plano de saúde – que, por sua vez, poderia separar os clientes por “alto risco de infarto” e “baixo risco de infarto”. O tratamento dos usuários de planos de saúde se tornaria discriminatório. E um dos princípios da lei em análise no Congresso é impedir o uso de dados para fins discriminatórios. Não são poucos os casos em que algoritmos reforçam preconceitos. No ano passado, a ONG americana de jornalismo investigativo ProPublica descobriu que um software de predição de crimes usado em tribunais de alguns estados americanos avaliava pessoas negras como mais propensas a reincidir em crimes.
O setor privado talvez encare uma nova legislação como mais custo e burocracia. Ainda mais quando serviços inovadores atentam para o advento da Internet das Coisas, com dispositivos conectados entre si e crescimento exponencial de oportunidades de negócio. “O excesso de protecionismo vira intervencionismo e gera custos que a própria sociedade terá de aguentar”, diz Patrícia Peck, especialista em Direito Digital. Ela defende uma lei que ajude a estabelecer limites e melhores práticas para proteção do consumidor, evite a concorrência desleal e garanta mais transparência. Critica, no entanto, que a redação do projeto do Ministério da Justiça copie o modelo europeu, mais defensivo contra o mercado do que as práticas nos Estados Unidos. “A lei de proteção de dados pessoais não deve ser uma lei sobre direitos humanos. É uma lei sobre modelos econômicos”, afirma.
Nos Estados Unidos, não há uma lei que trate do tema proteção de dados pessoais, apenas penalidades aplicadas pela Justiça caso a caso. A União Europeia aposta em um conjunto de normas atualmente em revisão. Elas estabelecem como governo e empresas devem tratar os dados dos cidadãos. Os países dispõem de autoridades nacionais independentes dedicadas à supervisão desse tratamento. O padrão é exigirem apresentação explícita da finalidade da coleta dos dados, sem juridiquês e com mais opções que um “sim, concordo”. Há mais de 100 leis de proteção em vigor no mundo. Países da América Latina, como Chile e Uruguai, seguem o modelo europeu. O Brasil conta com o Código de Defesa do Consumidor. Mas ele parece velho e limitado diante das novas possibilidades de abuso digital contra o cidadão.