Ir direto ao conteúdo

A proteção de dados no Brasil em ano de escândalo de privacidade e eleição

Em entrevista ao ‘Nexo’, o advogado Danilo Doneda diz que falta de lei gera riscos à privacidade do brasileiro

    Dados pessoais de mais de 443 mil brasileiros foram coletados indevidamente pela Cambridge Analytica. O número representa uma fatia de 0,5% do total de usuários no mundo que tiveram suas informações repassadas sem consetimento à empresa de inteligência e marketing político britânica.

    Em nota publicada nesta quarta-feira (4), o Facebook subiu o número total estimado de contas afetadas de 50 milhões para 87 milhões.

    Na próxima semana, o fundador da rede Mark Zuckerberg deve prestar depoimento no Congresso americano e dar maiores esclarecimentos sobre as práticas de privacidade da empresa em resposta ao mais recente escândalo internacional envolvendo coleta e uso de dados de usuários da rede social para fins políticos e eleitorais.

    Nesta sexta-feira (6), Zuckerberg citou nominalmente o Brasil em publicação em sua página que listava as medidas sendo tomadas pelo Facebook para “prevenir interferências” em eleições importantes a acontecerem este ano. Além do Brasil, estão sob a atenção da rede México, Índia e Paquistão. Além de agora exigir o devido credenciamento de toda empresa que quiser promover anúncios políticos, a rede passará a exigir verificação de “páginas grandes”. “Isso tornará muito mais difícil que pessoas tenham páginas com contas falsas, ou que viralizem e espalhem desinformações.”

    Dados pessoais e concentrados

    O caso envolvendo Facebook e a empresa Cambridge Analytica – com efeitos que se estenderam ao processo eleitoral americano em 2016 e na votação que levou à saída do Reino Unido da União Europeia – colocou em pauta questões como a fragilidade da privacidade e da proteção de dados pessoais de cidadãos por empresas de tecnologia.

    Muitas delas, como as que operam redes sociais, tiram sua receita do comércio dos dados pessoais cedidos pelos usuários que concordam com seus termos e políticas. É prática comum do Facebook, por exemplo, compartilhar informações como preferências de consumo, gostos musicais ou páginas curtidas por um usuário (ainda que de forma anônima) a empresas de marketing.

    Embora se comprometam com a guarda de tais dados, a concentração de informações pessoais nessas empresas acaba atraindo interessados em roubar, coletar indevidamente – subvertendo mecanismos autorizados pelas empresas, como no caso da Cambridge Analytica – ou exigi-los, como no caso de autoridades policiais.

    O mesmo vale para provedores de conexão, sejam elas operadoras móveis ou de banda larga fixa. Além de dados cadastrais, tais empresas acumulam informações importantes sobre cada pessoa on-line, como conteúdos baixados ou sites e aplicativos acessados.

    Na quarta-feira (4), o centro de pesquisa InternetLab, em parceria com a organização internacional EFF (Electronic Frontier Foundation), lançou em São Paulo uma nova edição do “Quem defende seus dados?”, projeto que avalia políticas de privacidade e de proteção de dados de provedores de acesso à internet no Brasil. O resultado mostra baixa pontuação para a maioria dos provedores, que falham muitas vezes em tarefas básicas, como informar o usuário sobre como são tratados os dados dos seus clientes.

    Do privado ao público

    O problema não se resume ao setor privado. Como escreveu Ronaldo Lemos, advogado especialista em direito digital do ITS Rio (Instituto de Tecnologia e Sociedade), o recente escândalo é um alerta “também para governos que insistem na construção de bases de dados cada vez maiores e concentradas”.

    Nesse sentido, especialistas demonstram preocupação com projetos como o DNI (Documento Nacional de Identidade). Proposto pelo governo e com previsão de entrar em funcionamento em julho deste ano, o documento agrega em um só lugar informações de registros civis (como RG, CPF e título de eleitor) e, futuramente, dados biométricos – atualmente sendo coletados pelo TSE (Tribunal Superior Eleitoral) visando as eleições deste ano. Para Lemos, a centralização dos dados pessoais sob gestão pública para a viabilização do DNI é a “crônica de um vazamento anunciado”.

    Outro exemplo vem do governo do Estado de São Paulo que, no dia 21 de março, anunciou a criação do “Sistema Estadual de Coleta e Identificação Biométrica Eletrônica”, o qual “permitirá estender, gradativamente, a identificação pessoal biométrica a outros serviços públicos estaduais, além da emissão do RG e da CNH”. O serviço permite ainda que “órgãos de proteção ao comércio credenciados” possam conferir a identidade de consumidores “evitando fraudes e prejuízos” por meio da base ao custo máximo de R$ 0,43 por consulta.

    Em debate

    Dado o atual contexto, o Nexo conversou com o especialista em proteção de dados e privacidade Danilo Doneda. Ele é advogado, professor na Uerj (Universidade Estadual do Rio de Janeiro e IDP (Instituto Brasiliense de Direito Público) e consultor do CGI.br (Comitê Gestor da Internet no Brasil). É um dos responsáveis pela redação do Anteprojeto de Lei para a Proteção de Dados Pessoais, atualmente em trâmite na Câmara dos Deputados como projeto de lei nº 5276/16.

    Com a sequência de casos de vazamentos de dados e agora com o escândalo envolvendo a Cambridge Analytica, há uma preocupação maior com dados pessoais?

    Danilo Doneda As pessoas estão lentamente, porém constantemente se dando conta de que certas coisas acontecem em suas vidas em razão de algum tipo de processamento de informação que alguém tem a seu respeito. A pessoa recebe uma oferta por e-mail, ela é perseguida por uma publicidade no Facebook, e isso não se dá por magia, mas por um tratamento sistematizado dos seus dados.

    Isso é algo já muito presente na vida das pessoas. Agora está ainda mais claro o potencial de tratamentos de dados influenciarem o debate público, eleições etc. A percepção das pessoas está cada vez mais concreta no sentido de que perder controle sobre seus dados, não saber o que é feito das suas próprias informações, tem reflexos na perda de liberdade de uma forma geral.

    Dentro de qual contexto surgiram as primeiras leis de proteção de dados no mundo?

    Danilo Doneda Legislações de processamento de dados começaram a surgir nas décadas de 1960 e 1970 em países que tentavam fazer bancos de dados centralizados sobre seus cidadãos. Essa é uma preocupação que ecoou na Europa porque, com uma memória ainda muito forte da 2ª Guerra, serviços de inteligência usavam as informações que tinham sobre os cidadãos para exercer poder e opressão. Por isso, informações como etnia e religião são hoje consideradas dados sensíveis pelo seu potencial discriminatório. Isso tudo gerou um ambiente que, quando chegou a informática, esse tratamento de dados ganhou potencial de escala muito maior. Aí foram surgindo ideias de se fazer leis que protegessem esses dados.

    Qual a principal lição a ser tirada do escândalo envolvendo a Cambridge Analytica e o Facebook?

    Danilo Doneda Para mim, é a de que alguns instrumentos que eram tidos como suficientes para dar ao cidadão transparência e controle sobre seus dados, no fundo, servem para quase nada. Por exemplo, políticas de privacidade e contratos de fornecimento de dados a terceiros. Concordar ou não com essas políticas e contratos é uma opção que, na verdade, você não tem. Ao entrar no Facebook, eu concordo realmente com todas as políticas? Muitas vezes eu não tenho opção real. O consentimento é dado como um cheque em branco, sem que se tenha a opção verdadeira de não consentir. O efeito rede é um pouco perverso nesse sentido, porque favorece aqueles que já têm um grande acervo de usuários e faz com que seja muito fácil a elas impor padrões de comportamento à revelia do que as pessoas efetivamente querem.

    Neste ano de eleições, quanto o nosso processo democrático está sujeito a interferências como nos EUA e na ocasião do Brexit?

    Danilo Doneda A minha impressão é de que a gente estaria, estritamente em referência ao caso da Cambridge Analytica, menos sujeito do que outros países. Não só por que a amostragem de usuários brasileiros afetados é menor, mas pelo fato de que hoje nos EUA, por exemplo, é mais fácil ter informações sobre as pessoas. Com abundância e acesso a esse tipo de dado, fica mais fácil a empresas como a Cambridge Analytica fazer microtargeting.

    Alguns estudos recentes têm como hipóteses a questão de que nas últimas eleições na França, Itália e Alemanha, a participação de bots no contexto eleitoral foi menos relevante muito provavelmente porque tem-se menos acesso a informações do cidadão europeu em razão das leis de proteção de dados e da cultura deles a respeito desse tema. Assim fica mais difícil fazer o microtargeting no nível do feito no caso dos eleitores americanos. Leis de proteção de dados pessoais funcionam também como um instrumento que evita  que microtargeting seja feito com grande precisão.

    Muitas vezes o que assegura a liberdade no Brasil é a incompetência sobre as bases de dados

    O Brasil estaria, acredito, em um meio termo disso. Tem muita informação aqui, mas ela é muito desordenada ou é de baixa qualidade. Como não se tem clareza sobre as regras, as empresas tendem a não fazer. Muitas vezes o que assegura a liberdade no Brasil é a incompetência sobre as bases de dados. Por exemplo, tem um decreto que diz que todo órgão público é obrigado a ceder qualquer informação pessoal para outro órgão público. Mas o governo não consegue colocar isso em operação porque ele não tem condições técnicas para isso. Se conseguisse, seria um problema.

    O Brasil não tem uma lei específica de proteção de dados. O Marco Civil da Internet, no entanto, garante uma série de direitos dos cidadãos sobre seus dados. Ele é suficiente?

    Danilo Doneda O Brasil tem várias peças de legislação que tratam de dados pessoais e que não formam um panorama muito claro, nem unitário. Sem uniformidade, a gente tem um problema muito grande que é não saber qual setor da sociedade está mais ou menos protegido. Na esfera privada ou pública, o sujeito que trata de informações tem dificuldade em saber se ele pode transferir dados para outro setor ou não. Isso atrapalha tanto o cidadão, que não tem clareza sobre seus direitos, como entes dos demais setores cuja atividade pressuponha a troca de informação.

    O Marco Civil da Internet não é uma lei de proteção de dados. Sem falar que ele só funciona sobre a internet. É bastante coisa, mas não é tudo

    O Marco Civil da Internet não é uma lei de proteção de dados. Ele entra bastante fundo em algumas questões, tem várias regras de proteção à privacidade, mas deixa outras em aberto. Só por ele, eu não consigo definir o que é “dado pessoal” ou “tratamento de dados”. Sem falar que ele só funciona sobre a internet. É bastante coisa, mas não é tudo.

    Mas tem outras. A lei do cadastro positivo [de 2011] é bastante interessante e vai até mais longe que o Marco Civil. Ela tem um dispositivo que fala que qualquer decisão automatizada sobre concessão de crédito dá direito ao cidadão titular dos dados de pedir a revisão por um ser humano e pedir uma explicação de por que a máquina tomou aquela decisão. A questão da transparência sobre decisões automatizadas em outros países é um tema presente em leis de proteção de dados. Na Europa, por exemplo, a GDPR [nova regulação de proteção de dados que entra em vigor em maio de 2018] vai ter isso na parte que eles estão chamando de “direito à explicação”. Falta no Brasil, portanto, uma lei geral e clara do tipo para o cidadão.

    Iniciativas como o Documento Nacional de Identificação e o uso de biometria nas eleições demonstram o interesse do poder público em coletar e fazer uso de dados de cidadãos visando a eficiência de seus serviços. A ausência de uma legislação específica, nesse contexto, é ainda mais preocupante?

    Danilo Doneda Hoje o Brasil tem dois projetos de proteção de dados no Congresso. Um é o PL 5.276, no qual eu trabalhei enquanto estive no governo. O outro é o PLS 330 sobre o qual existe um substitutivo em discussão para que as regras dele não se aplique ao setor público, só ao privado. Essa tendência de não se preocupar em fazer proteção de dados, não é um simples acaso, é um projeto consciente de um Estado que não quer enxergar essa necessidade.

    Isso é grave não só do ponto de vista do cidadão, mas também em relação aos padrões internacionais, os quais estão todos convergindo para proteção de dados como acompanhante necessário da segurança da informação. Toda essa discussão sobre a Cambridge Analytica suscita, no fundo, a discussão em torno do fato de que perder controle sobre a informação não é só perder privacidade, é perder liberdade política. Tem várias questões que seriam completamente ignoradas se você excluísse o poder público de obrigações quanto a isso.

    Nenhum país europeu vai poder passar dados para o Brasil sem uma legislação minimamente adequada

    Se o Brasil aprovar uma lei que não inclui o governo, ele não vai conseguir padronizar a legislação com a de nenhum país relevante do mundo. Isso vai fazer com que o país perca acesso ao mercado, porque para muitas transações é necessário ter padronização em termos de proteção de dados. Nenhum país europeu vai poder passar dados para o Brasil sem uma legislação minimamente adequada. Isso inviabiliza inclusive o pleito do Brasil a fazer parte da OCDE (Organização para a Cooperação e Desenvolvimento Econômico), porque ela faz uma série de exigências, incluindo padrões normativos sobre proteção de dados. Como está hoje, o Brasil não se adequa aos padrões da OCDE. É uma questão bastante séria.

    É conhecida a prática de venda de dados pessoais (cadastrais, fiscais, etc) em centros comerciais como a rua Santa Ifigênia, em São Paulo, ou mesmo pela internet. Algo na nossa lei proíbe esse tipo de economia de dados hoje?

    Danilo Doneda Apesar de não haver uma lei de proteção que diga claramente que não pode se vender informações, a Constituição diz que a privacidade é inviolável. A comercialização de dados de uma pessoa sem autorização e que não gera nenhum benefício a ela pode ser considerado infração da sua privacidade. Além disso, se esses dados vêm de órgãos públicos, há uma falha aí do órgão público de segurança à informação.

    Uma lei geral de proteção de dados cria instrumentos que exige que empresas e órgãos públicos tenham uma pessoa responsável por determinar as suas políticas de segurança de dados, restringir acesso de funcionários não autorizados etc. Ela pode criar um órgão de controle que multe uma empresa sem uma política de restrição de acesso de dados, por exemplo. Isso a gente não tem hoje. Quando há um problema de vazamento de dados, como o indivíduo prejudicado pode resolver? Sem uma lei do tipo, as pessoas não têm o menor incentivo para ir atrás dos seus direitos.

    Como a entrada em vigor das novas leis de proteção de dados pessoais na Europa (GDPR) agora em maio pode se refletir no Brasil e no resto do mundo? Você pode explicar o que são essas regras?

    Danilo Doneda A União Europeia em 1995 unificou as regras de proteção de dados, porque uns tinham regras fortes, outros não tinham e isso causava problemas. Mas essa lei é de muito antes de a internet se tornar o que é hoje. Há alguns anos veio a proposta de atualizar a lei de proteção de dados para adequar o bloco ao contexto atual. Assim, a GDPR acabou virando um grande padrão internacional de proteção de dados.

    Há níveis diferentes de impacto. No Brasil, algumas empresas podem sofrer efeito direto caso seu negócio envolva tratamento de dados de europeus. Para receber dados de cidadãos europeus, ela vai ter que adotar as políticas de lá. Isso vale para o Brasil e para qualquer outro país. Para várias empresas pode ser interessante se adaptar ao padrão mais forte, porque ela já fica blindada contra todo tipo de regra no mundo.

    Por exemplo, a Apple recentemente lançou uma atualização do seu sistema operacional (iOS) com padrões mais rígidos de transparência e segurança e que vão valer no mundo todo. O GDPR como padrão forte acaba sendo um trem que vai levando muita gente atrás, gente que nem é obrigada literalmente a seguir, mas que acha estratégico seguir.

    Todos os conteúdos publicados no Nexo têm assinatura de seus autores. Para saber mais sobre eles e o processo de edição dos conteúdos do jornal, consulte as páginas Nossa Equipe e Padrões editoriais. Percebeu um erro no conteúdo? Entre em contato. O Nexo faz parte do Trust Project. Saiba mais.

    Mais recentes

    Você ainda tem 2 conteúdos grátis neste mês.

    Informação com clareza, equilíbrio e qualidade.
    Apoie o jornalismo independente. Junte-se ao Nexo!