O que podemos classificar como dados pessoais?

Essa é a questão que estamos enfrentando: a qualificação do dado pessoal. A princípio, dado pessoal é qualquer informação sobre uma pessoa. Seja o nome, o CPF, o número de telefone etc. O que não quer dizer que todos esses dados pessoais vão ser protegidos da mesma forma. Eventualmente, alguns desses dados podem ser de conhecimento público, como, por exemplo, o fato de eu ser proprietário de um apartamento: não posso evitar que as pessoas saibam disso, tem uma lei que fala que é uma informação de conhecimento público. E o fato de o dado ter circulação e ser conhecido publicamente não quer dizer que ele não seja pessoal. Chamar o dado de pessoal quer dizer que ele se refere à pessoa e isso quer dizer que é preciso ter certo respeito por aquele dado. Ele precisa ser verdadeiro e sua utilização não pode prejudicar a pessoa, muito embora em algumas ocasiões ela não possa evitar que o dado circule.

Quando falamos em proteger o dado pessoal, não se trata apenas de evitar que a informação circule, mas também corrigir um dado, fazer com que ele seja atualizado. Muitas vezes a pessoa tem interesse, não necessariamente em evitar que o dado seja conhecido, mas em ter a certeza de que ele seja conhecido de uma maneira respeitosa, correta e verdadeira. A proteção de dados é muito mais do que excluir do conhecimento uma informação, embora isso também possa ocorrer. No big data, na sociedade da informação, somos julgados, avaliados e monitorados não a partir do que estamos fazendo, mas dos rastros que deixamos. O cuidado com esses rastros é fundamental para você não ser discriminado ou julgado de forma errada.

No que os dados pessoais diferem dos chamados dados anônimos e dados sensíveis, também citados no texto do projeto?

O dado sensível também é um dado pessoal, só que é uma categoria que, teoricamente, é mais propensa a discriminar o cidadão titular do dado. Por exemplo, a religião de uma pessoa é considerada um dado sensível, porque existem várias práticas sociais com possibilidade de discriminar o cidadão por filiação religiosa. Os dados sensíveis são dados pessoais que podem ser tratados mediante uma justificativa legítima. Se, por exemplo, um banco vai fornecer crédito a uma pessoa baseado nas opções sexuais, no gênero, na religião e na filiação partidária, essas são informações pessoais que estariam sendo usadas de forma discriminatória. Por isso o nome sensível. Já um dado anônimo é, de certa forma, o contrário de um dado pessoal. É uma informação que não está ligada a uma pessoa. Por exemplo, eu moro em tal rua, tenho tal idade e sou o Danilo. Se alguém fala que existe um sujeito com tal idade que mora em tal rua, sem dizer que sou eu, esses são dados anônimos, não se referem mais a uma pessoa.

Essa lógica de dados anônimos não é parecida com o discurso das redes sociais, que utilizam dados anônimos dos usuários, ou seja, sem identificá-los, mas baseado em comportamentos, para fazer publicidade online direcionada?

Existem muitos instrumentos nas redes sociais e de publicidade online que juntam informação sobre uma pessoa. Aí existe outra questão. Esses dados podem eventualmente ser chamados de anônimos, sim, no sentido de que eles não estão ligados a uma pessoa. Só que há uma diferença: o dado meramente anônimo não está ligado a uma pessoa e está solto no mundo. Agora, os dados referentes a um perfil são todos referentes a uma única pessoa. Você somente não sabe quem é. Digamos que o Facebook saiba muita coisa sobre mim, mas ele não vende os dados, porque seria algo desnecessário. O que ele faz: vai falar que tem tal usuário, com tal perfil, que está ligado na plataforma tal hora, e de repente vale a pena vender tal publicidade para esse usuário. Fazem isso a partir do meu perfil, estão usando meus dados, não a minha identidade, mas estão fazendo com que uma mensagem publicitária chegue até mim, baseada no meu perfil. E isso é uma coisa interessante: o perfil de uma pessoa, mesmo sendo anônimo, pode identificar alguém. Isso pode fazer com que algumas escolhas sejam feitas.

E o comércio usa isso a seu favor.

Por exemplo, uma coisa que já acontece e não sabemos direito até que ponto: imagine que uma certa loja mude o preço das mercadorias baseada no perfil de navegação dos usuários. Ela não precisa saber qual é o nome do usuário, se eu sei que aquele usuário sempre loga naquele site, que tem tais hábitos de navegação e que está em uma segmentação social de pessoas que são mais aptas a gastar mais dinheiro com tal item do que em outro. Com essa informação a loja vai mudando o preço, para ter a maior margem de lucro possível. Ou seja, mesmo que os dados sejam anônimos, podem causar algum efeito na vida de uma pessoa e isso pode discriminá-la. Mudar o preço é uma forma de discriminação. A lei de proteção de dados tem que se preocupar também com o uso que é feito dos dados anônimos por dois motivos: primeiro, perfis de comportamento podem identificar uma pessoa, causar algum efeito na vida delas e podem ocorrer abusos. Segundo, é muito provável que dados anônimos sejam tratados através de métodos de cruzamento de dados, estatísticas etc. e que sejam reidentificados. Ou seja, a partir de várias fontes de dados são feitos cruzamentos, relações e se transforma aquele dado, que era anônimo, em dado pessoal novamente. O fato de um dado ser anônimo pode facilitar o seu tratamento em muitas ocasiões, sem prejudicar o cidadão, mas pode haver abuso, como formas de discriminação. E o pior, essa discriminação é feita através de algoritmos, são somente probabilidades.

Todas essas esferas que utilizam dados pessoais, como as redes sociais, os comércios e o próprio governo, possuem sistemas de armazenamento desses dados. São informações como nome, telefone e endereço, e também dados de prontuário médico, como no DataSus; ou de comportamento do consumidor, como no Serasa Experian, que permite que comerciantes consultem o histórico financeiro de clientes, de dívidas a uma estimativa de seu salário. O uso desses dados, que muitas vezes são repassados por terceiros, está amparado judicialmente? Essa coleta de dados é legal?

Não há uma lei de base que reúna tratamento de dados pessoais no Brasil. Isso é ruim para todo mundo. Na falta de regras sobre proteção de dados, a tendência é de que os projetos sejam feitos sem muita preocupação com a privacidade, sem dar controle para o cidadão sobre o que é feito com o dado, como o dado é utilizado etc. Esses projetos acabam apresentando muitas qualidades, mas aumentando os riscos ao mesmo tempo. Esse é o primeiro problema. O segundo é que o fato de não haver uma regra geral sobre produção de dados não quer dizer que não existam regras. Existe a Constituição, que fala em privacidade, há várias normas que podem ser aplicadas, como a Lei de Defesa do Consumidor etc., o que faz com que muitos serviços públicos e privados existam numa espécie de zona cinzenta jurídica: não se sabe muito bem o que é legal e o que não é. E é difícil dizer, por que a lei não é clara, ela não foi feita para esses casos. Muitas vezes, o sujeito fica dependendo de uma decisão do Judiciário que não se sabe qual vai ser. Isso serve para todo mundo. O setor privado não sabe direito onde investir em algo mais responsável. Muitas empresas talvez evitem o Brasil porque não têm certeza se estariam fazendo uma coisa que é considerada errada. O próprio governo, quando lança uma política pública, acaba deixando de lado algumas preocupações com privacidade que poderiam aumentar as garantias do cidadão. Nesse vazio todo mundo perde um pouco, e o cidadão perde também porque ele sempre fica na desconfiança de que as informações sobre ele estão sendo utilizadas de qualquer jeito. Não é que não exista um amparo legal, o que acontece é que o amparo legal não fornece segurança suficiente, nem para o cidadão e nem para aqueles que fazem coletas de dados. Muitas vezes a coleta não é nem proibida nem está claramente permitida.

O que acontece se as empresas ou órgãos que recolhem dados pessoais passam essas informações para terceiros? Como o projeto de dados pessoais poderia auxiliar neste sentido?

Se não tem uma lei de proteção de dados, não há uma regra básica. Não há regra para a questão da finalidade, por exemplo. Tem uma regra comum em dezenas de países que é a seguinte: a informação pessoal, que é colhida para uma finalidade, só pode ser utilizada para aquele fim. Não se pode vender nem ceder para um terceiro que vai fazer outra coisa. Se isso ocorrer, o titular perde o controle sobre ela. É por isso e por outros motivos que o Ministério da Justiça elaborou e colocou em debate público o anteprojeto de lei sobre proteção de dados pessoais. É preciso ter um conjunto de regras para, mais do que a mera garantia genérica da privacidade, dizer com certeza, com segurança, o que pode e o que não pode ser feito com a informação. Hoje em dia existe o grande medo de que a informação seja vendida. Eu diria que isso vai contra a boa fé, contra os princípios do Direito, mas realmente não está cabalmente claro, literal, escrito em mármore que não se pode praticá-lo. Por isso, o anteprojeto procura fornecer vários instrumentos e ferramentas para facilitar que o cidadão tenha esse tipo de controle, sem que ele precise recorrer ao Judiciário, mas que ele possa fazer pedidos diretamente nas empresas e nos órgãos públicos, e que essas empresas tenham a obrigação de dar uma resposta de uma forma rápida, correta. O anteprojeto entende que é imprescindível a criação de um órgão público para intermediar e fiscalizar a utilização de dados. Ela envolve uma tecnologia que não permite que o cidadão veja como funciona – não se vê o dado sendo processado. Sozinho, ele não vai conseguir controlar a utilização desse dado, então, baseados em uma experiência estrangeira, imaginamos que seja necessária a criação desse novo órgão público que tenha meios de fazer essa fiscalização.

Como funcionaria esse órgão?

A ideia de como seria esse órgão não está diretamente colocada na lei. Esse detalhamento ficou para um segundo momento. Como seriam os integrantes, qual a natureza deles, tudo isso será desenvolvido. Mas há muitas contribuições e sugestões feitas ao projeto no sentido de que seja um órgão com participação multissetorial, que a sociedade participe. Isso pode muito bem acontecer. Seria um modelo que, no Brasil, já vem se consolidando para algumas coisas. Só que, veja bem, se esse órgão tiver poder de polícia, de poder fiscalizar, aplicar multas, essas funções vão ter que ser exercidas por um órgão público no sentido estrito: não se pode ter um órgão multissetorial multando alguém, isso é contra a Constituição. Detalhes sobre isso serão definidos somente nos próximos meses, certamente quando o anteprojeto sair do ministério, após o final da consulta pública.

O anteprojeto, de certa forma, supriria brechas deixadas pelo Marco Civil em relação à proteção de dados dos usuários?

O Marco Civil não é uma lei que pretendeu resolver todos os problemas em relação à proteção de dados. Tem natureza regulatória da internet no Brasil, mas não é de forma alguma ampla em relação à proteção de dados. Por exemplo, ele nem define o que são dados pessoais. Agora, entendo que é imprescindível que o Marco Civil seja lido conjuntamente com uma nova lei de proteção de dados. No artigo terceiro, ele diz que é um princípio do Marco Civil da Internet do Brasil a proteção de dados pessoais na forma da lei. Já há menção a uma lei de proteção de dados ou outras leis que tratem do assunto.

A aprovação de uma lei de proteção aos dados pessoais pode fazer com que empresas de redes sociais tenham que modificar suas políticas e licenças no país?

O projeto tem vários pontos que podem interessar uma rede social, como transparência, termos de uso de políticas de privacidade... Eu diria que com as redes sociais isso é até mais visível, porque a razão de ser delas é tratar de informação pessoal, como se o capital da empresa fôssemos nós mesmos. As redes sociais têm que ser tratadas com muita atenção e cuidado, mas há várias outras frentes no mercado que são invisíveis, e que têm uma participação tão grande ou até mais incisiva quanto, por exemplo, os chamados data brokers. Trata-se de empresas que servem para colher dados pessoais e comercializá-los. Existem grandes empresas dessas que funcionam no Brasil e no exterior, e a única função delas é gerar retorno sobre as pessoas. Elas têm um tipo de atuação muito menos transparente para o usuário do que uma rede social. Claro, não estou aqui defendendo as redes sociais, mas alerto que o mercado é muito mais denso e mais profundo do que essa ponta visível que é a rede social. O grande desafio para a lei de proteção de dados é que você tem que abarcar todas as possibilidades, desde o prontuário do DataSus até uma rede social, uma empresa de data broker e assim por diante. É um trabalho lento e difícil, porém deve mudar essa cultura em todas as instâncias. Certamente as redes sociais podem ser afetadas, mas elas existem em países com regras muito mais estritas em relação à publicidade, então elas procuram se adequar.

Pensando um pouco na tão falada internet das coisas, ela vai ampliar a utilização de dados pessoais de forma indiscriminada?

A internet das coisas é basicamente uma internet de sensores. O que interessa para os dados pessoais: cada vez mais dispositivos estão sendo equipados com sensores; esses sensores vão se interligando, se conectando e falando uns com os outros. E a internet das coisas muitas vezes revela dados pessoais. Sempre se fala na geladeira, que ela vai avisar que o leite acabou. Bom, isso não é somente uma coisa que interessa entre a geladeira e o supermercado. Interessa para saber se você está tomando leite. Se ela falar que a minha cerveja acabou, esse dado pode interessar ao meu plano de saúde, por algum motivo. Há ainda outra questão: quanto mais existirem sensores por aí, por qualquer lugar que a gente vá, menos os dados pessoais são fornecidos através de uma autorização minha, que eu dou, mas são fornecidos pelo fato de eu estar vivo. Se eu entro num prédio, minha imagem é captada; se eu faço uma determinada coisa, um sensor registra o que eu estou fazendo, então a nossa vida vai ser cada vez mais catalogada. Essa informação já está mudando um pouquinho o escopo da lei de proteção de dados pessoais. Não se pode confiar apenas na autorização para o fornecimento dos dados.