4 PERSPECTIVAS REGULATÓRIAS SOBRE O TRATAMENTO DE DADOS
4.3 PERSPECTIVAS REGULATÓRIAS PARA A MONETIZAÇÃO DOS DADOS
4.3.1 Os dados como o novo urânio, regulação do risco, “code is law” e outros
privacidade e de seus valores conexos
Neste ponto, impende mencionar que os esforços anteriores na busca pela efetivação do
direito à privacidade não devem ser desconsiderados ou postos de lado; pelo contrário, as
proposições realizadas neste tópico visam a somar com as soluções já produzidas pelos estudiosos
da temática e legisladores. Desta maneira, deve-se ter em mente que propostas como a
anonimização de dados, a autodeterminação informativa, a necessidade de consentimento, entre
outras, devem ser pensadas em conjunto quando teorizamos e propomos em matéria regulação. Não
custa ressaltar a premissa metodológica do trabalho – a salvaguarda dos direitos fundamentais,
mormente a privacidade. Neste intento, como várias vezes afirmado, todo meio é válido e toda
solução é bem-vinda.
pelo direito estatal. Logo, no contexto da sociedade em rede, continua a ser necessária uma teoria do Estado, visto que as relações de poder, embora não confinadas exclusivamente à esfera estatal, permanecem sendo parte de toda atividade do Estado”. MENEZES NETO, op. cit., p. 70
351“A privacidade, entretanto, tem valor social: ela molda as comunidades sociais e fornece a proteção necessária aos indivíduos contra diversos tipos de danos e intromissões, possibilitando que desenvolvam sua personalidade e devolvam à sociedade novas contribuições. Evidentemente, nem todas essas contribuições serão úteis; sem privacidade, porém, nenhuma poderá florescer”. LEONARDI, op. cit., p. 121
352“A privacidade assume, portanto, posição de destaque na proteção da pessoa humana, não somente tomada como escudo contra o exterior – na lógica da exclusão – mas como elemento positivo, indutor da cidadania, da própria atividade política em sentido amplo e dos direitos de liberdade de uma forma geral. Neste papel, a vemos como pressuposto de uma sociedade democrática moderna, da qual o dissenso e o anticonformismo são componentes orgânicos”. DONEDA, op. cit., p. 142
353 “A maioria dos problemas trazidos pelas novas tecnologias exige a aplicação de princípios gerais em lugar de regras específicas”. LEONARDI, op. cit., p. 40
Isto superado, tem-se que a regulação do risco, como a própria nomenclatura sugere,
consiste basicamente na tomada de medidas que visam projetar salvaguardas ante possíveis e
eventuais perigos oriundos de determinada atividade. Risco, nesta perspectiva, é a chance de um
perigo vir a ocorrer
354. Destarte, a regulação do risco seria uma ferramenta adequada para basear
decisões a serem tomadas em face dos perigos em potencial.
É propositura que surge, inclusive, na esteira da preocupação com o meio ambiente e sua
preservação
355. Não é difícil imaginar o porquê, ainda mais quando já se vem fazendo analogias do
uso dos dados pessoais com a indústria do petróleo e gás, extremamente nociva e degradante para
com o ambiente que lhe circunda, e com a comparação com um material radioativo, que requer
atenção e cuidados ainda mais intensos.
Assim é que associamos a analogia dos dados pessoais como o “novo urânio” à perspectiva
da regulação do risco: considerando que o uso dos dados pessoais ostenta os já mencionados
perigos à privacidade
356dos seus titulares e dos valores a ela conexos – que vão desde a liberdade de
pensamento, de crença, o livre desenvolvimento da personalidade, a liberdade política, a
cidadania
357e democracia
358, e até mesmo a liberdade de ser ‘diferente’ (de fugir da violência da
transparência, de Byung-Chul Han) – tal qual um material radioativo, e sabendo
359das
possibilidades de tais riscos e perigos, o regulador pode precaver-se e estipular previsões,
princípios, orientações e normativas adequados a lidar com as contingências surgidas destes riscos.
354 “Put simply, risk is the chance (understood as a probabilistic notion) that a danger (i.e., an event with harmful consequences) will happen.”. GELLERT, Raphaël. Understanding data protection as risk regulation. Journal of Internet Law, vol., 18, n. 11, May 2015. pp. 3-15. p. 8
355 “This comparison with environmental law should come as no surprise as it has been the pioneering right dealing with the regulation of risks and harms to the environment and human health. It has therefore spawned many original procedures, mechanisms, and provisions that deal with scientific and technological risks”. Ibidem, p. 12
356 “Diante do alargamento conceitual da privacidade, verifica-se que o usuário, ao navegar pela Internet, enfrenta uma série de fatores de risco que vilipendiam esse direito fundamental, através de variados meios de intrusão informática”. ALMEIDA, Marcos Paulo Dias de. www.privacidade.com/direito_fundamental: a necessária proteção da vida paralela da pessoa no ciberespaço. Monografia (Graduação em Direito). Natal: UFRN, 2015. 95f. p. 45
357“Isso significa que não se deve entender a tutela da privacidade como a proteção exclusiva de um indivíduo, mas sim como uma proteção necessária para a manutenção da estrutura social. A privacidade não é valiosa apenas para a vida privada de cada indivíduo, mas também para a vida pública e comunitária. Como destaca Gustavo Tepedino, o direito à privacidade consiste em tutela indispensável ao exercício da cidadania”. LEONARDI, op. cit., p. 122
358 “No século XXI, no entanto, os sentimentos já não são mais os melhores algoritmos no mundo. Estamos desenvolvendo algoritmos superiores que utilizam um poder computacional inédito e bases de dado gigantescas. Os algoritmos do Google e do Facebook sabem não apenas como você se sente, como sabem 1 milhão de outras coisas a seu respeito das quais você mal suspeita. Consequentemente, você deveria parar de ouvir seus sentimentos e começar a ouvir esses algoritmos externos. De que valem eleições democráticas quando os algoritmos sabem como cada um vai votar, assim como as razões pelas quais uma pessoa vota em um partido de esquerda enquanto outra vota em políticos de direita? O humanismo ordenava: ‘Ouçam seus sentimentos!’; o dataísmo agora ordena: ‘Ouçam os algoritmos! Eles sabem como você se sente’”. HARARI, op. cit., não paginado.
359 “the notion of risk is twofold. On the one hand, it is about knowing dangers, and on the other hand, it is about controlling the dangers on which one has collected information (and it is precisely because they are known that one can act upon them). Risk is therefore both about knowing dangers and –using the latter knowledge to- controlling them”. GELLERT, op. cit., p. 8
Os riscos inerentes à monetização desta nova matéria-prima radioativa, a partir dos
diferentes pontos de luz emanados dos interesses presentes na sociedade em rede, pode, como se
demonstra, afetar a privacidade e seus valores conexos
360.
A possibilidade de manipulação
361dos discursos, da narrativa política, das ideologias que
serão ou não propagadas, de quanta publicidade se dará a determinado fato político – tudo isto,
conforme se demonstrou, é factível e, portanto, um risco; um risco que tem o condão de afetar o
próprio tecido dos fluxos democráticos
362.
Se, como quer Harari, somos todos pequenos “chips”
363, partes de um enorme processador
de informações que é a humanidade, nossos dados pessoais são os bits que descortinam os nossos
aspectos arcanos e que possibilitam certa margem de controle sobre nós mesmos
364; há que se
regular, portanto, quais informações circulam por esses “chips”, quem as está promovendo e com
qual intento, sob pena de pôr em xeque as liberdades
365e a própria democracia.
Desta forma, para nós, a atuação do Estado, seja qual for o modelo regulatório a ser
escolhido, tem de tomar uma postura do risco em relação à monetização de dados pessoais e, neste
intento, deve possuir capacidade normatizante suficiente para fazer valer a proteção da privacidade
potencialmente descortinada e eventualmente danosa – tal qual um material radioativo, o agente que
360 “data protection outlines a complex bundle of interests worthy of protection. Data protection bases upon a multi- dimensional understanding of fundamental rights and requires entirely new descriptions of the protected interests: in place of legally protected goods conceived of in an individualistic way, it is about individual legal positions in sociality, or, in other words: the individual’s social positions to be protected by fundamental rights. The bundle of protected interests and positions must still be worked out in greater detail and will also have to be dynamically adapted time and again to new dangers”. ALBERS, op. cit., p. 229
361 “Hoje as indústrias da informação estão todas incorporadas em nossa existência de uma maneira sem precedentes na história econômica, envolvendo todas as dimensões de nossa vida nacional e pessoal – econômica, sim, mas também expressiva, cultural, social e política. Elas não estão apenas integradas de forma efetiva em qualquer transação; também decidem quais entre nós seremos ouvidos ou vistos, e quando, seja ele um inventor inspirado, um artista ou um candidato”. WU, 2012, op. cit., não paginado.
362 “Entre os homens, a fala – no amplo sentido constitucional, que vai além da simples comunicação oral ou até verbal – tem efeitos e propósitos que transcendem a mera utilidade comercial. Sua oferta e seu consumo podem alcançar uma dimensão espiritual garantindo que uma televisão não é proveitosamente descrita como uma torradeira que não torra, mas que exibe sons e imagens. Quando pensamos numa música, num filme, num discurso político ou numa conversa particular, estamos considerando manifestações com o potencial de alterar sensibilidades, de mudar vidas. Todos nós lemos ou vimos algo que nos deixou uma impressão indelével, impossível de quantificar em relação aos custos de produção e distribuição. Foi por isso que Joseph Goebbels definiu o rádio como “a arma espiritual do Estado totalitário”. Por esse mesmo motivo, nos anos 1940, o regime nazista desenvolveu novas formas de mídia com a mesma intensidade que novas armas de destruição. Atrás de cada tirania ou genocídio há uma parceria silenciosa com algum tipo de mídia de massa”. Ibidem, não paginado.
363 “Do ponto de vista dataísta, podemos interpretar toda a espécie humana como um sistema único de processamento de dados, no qual indivíduos humanos servem como chips”. HARARI, op. cit., não paginado.
364 “Forthese reasons, Serge Gutwirth and Paul Hert have warned that if it is “possible to control and steer individuals without the need to identify them, the time has probably come to explore the possibility of a shift from personal data protection to data protection tout court.” In other words, we can no longer turn to anonymity (or, more accurately, pseudonymity) to pull datasets outside the remit of privacy regulations and debate”. BAROCAS; NISSENBAUM, op. cit., p. 54-55
365 “The challenge for our generation is to reconcile these two forces. How do we protect liberty when the architectures of control are managed as much by the government as by the private sector? How do we assure privacy when the ether perpetually spies? How do we guarantee free thought when the push is to propertize every idea? How do we guarantee self-determination when the architectures of control are perpetually determined elsewhere?”. LESSIG, op. cit., p. xv
desejar monetizar os dados pessoais deve ter ciência
366de que aquela atividade ostenta deveres,
responsabilidades e riscos – riscos estes que o agente deve assumir tanto para atuar na prevenção de
sua ocorrência, como na reparação em razão de violação de direitos tutelados.
É uma regulação que deve ser, portanto, severa, visando salvaguardar os direitos dos
titulares dos dados, e que se demonstra adequada, ainda, para abordar a situação da privacidade
como valor social em uma perspectiva hiperdimensionada – não são os dados somente de um
indivíduo que ostentam riscos, mas, também, os dados de grupos e coletividades.
Em um exercício de pensamento mais abstrato, pensar as ideias propostas por Lawrence
Lessig é pensar uma matriz simplificada e capaz de interoperabilidade entre direito e tecnologia. É,
ao mesmo tempo – e paradoxalmente – pensar distante das tecnicidades jurídicas e trazer para
dentro delas a tecnologia. Aqui, com base na ideia de Lessig, o trabalho permite-se propôr ideias tão
inusitadas quanto ousadas para o futuro da regulação da monetização de dados pessoais.
Para Lessig, “code is law”: é dizer, o código é lei. Em síntese, Lessig constrói uma
concepção de que o código, por ser, em última instância, a representação da escolha de uma pessoa
(ou pessoas), refletem valores
367, instâncias de poder
368– é uma decisão política. Desta maneira,
estando o código informático conformando estruturas e arquiteturas
369que limitam as liberdades,
acessos, comunicações, comportamentos, etc, estaria agindo tal qual o Direito em seu objetivo de
regular a sociedade
370(como, por exemplo, o Direito Penal regula o comportamento dos cidadãos
para evitar delitos).
Portanto, se o código é lei, por quê não levar esta proposição além? Se o código é a
representação de uma vontade, a representação de interesses, a representação de poderes; e se esses
códigos, em uma perspectiva de regulação, devem obediência tanto quanto aos demais códigos, por
366 “The architecture should also be premised on the notion that the collection and use of personal information is an activity that carries duties and responsibilities. The law should establish specific measures of control over entities maintaining systems of personal data. For example, if a company is providing background check information about a person, it should be held responsible for any inaccuracies or deficiencies in the information”. SOLOVE, 2004, p. 121 367 “Choices among values, choices about regulation, about control, choices about the definition of spaces of freedom— all this is the stuff of politics. Code codifies values, and yet, oddly, most people speak as if code were just a question of engineering. Or as if code is best left to the market. Or best left unaddressed by government”. LESSIG, op. cit., p. 78 368 “But the architecture of cyberspace is power in this sense; how it is could be different. Politics is about how we decide, how that power is exercised, and by whom”. Ibidem, p. 78
369 “Architecture is a kind of law: It determines what people can and cannot do. When commercial interests determine the architecture, they create a kind of privatized law. I am not against private enterprise; my strong presumption in most cases is to let the market produce. But isn’t it absolutely clear that there must be limits to this presumption? That public values are not exhausted by the sum of what IBM might desire? That what is good for America Online is not necessarily good for America?”. LESSIG, op. cit., p. 77-78
370 “The code or software or architecture or protocols set these features, which are selected by code writers. They constrain some behavior by making other behavior possible or impossible. The code embeds certain values or makes certain values impossible. In this sense, it too is regulation, just as the architectures of real-space codes are regulations”. Ibidem, p. 124-125
exemplo, à Constituição, por quê não considerar as linhas de códigos linhas legais em seu sentido
lato?
Seria possível, por exemplo, pensar na criação e exigência, por parte da autoridade
reguladora competente, de uma espécie de estatuto eletrônico – um “E-statuto” – instrumento legal
que serviria de intermediário entre as normas informadoras da regulação, tais quais as já trabalhadas
e previstas na Constituição, no Marco Civil da Internet, no Decreto nº 8.771/2016, no Código de
Defesa do Consumidor e na Lei Geral de Proteção de Dados Pessoais, e entre as linhas de código
informático propriamente ditas criadas e geridas pelas companhias que monetizam dados pessoais;
seria levar o “privacy by design”, a prática de incutir proteções à privacidade nos procedimentos das
instituições, ao extremo.
Desta maneira, haveria uma conexão direta entre lei e código, de forma que seria possível,
até mesmo, suscitar a inconstitucionalidade de linhas de código informático que não se adequassem
às previsões constitucionais (tais quais, por exemplo, as do art. 5º, X, XI e XII). Para usar de mais
uma analogia, tal “estatuto eletrônico” atuaria como a máquina que conectava os humanos “reais”
ao mundo fantasioso da Matrix
371; seria o liame entre o legal e o tecnológico, entre o físico e o
digital, entre o ser e o dever-ser – entre a legitimação do poder político que emana do povo e a
arquitetura de poder do código informático.
Continuando nesta lógica, é possível pensar, ainda, na existência de códigos, programas e
algoritmos criados pelo Estado para atuar na promoção, defesa e fiscalização dos direitos dos
titulares dos dados pessoais. Imagine-se, ainda na lúdica do filme Matrix, uma espécie de “Agente
Smith
372”: é possível imaginar a atuação de algoritmos capazes de verificar possíveis violações de
direitos, aferir vazamentos de dados, de fiscalizar o compliance das empresas, de conferir se as
perspectivas de anonimização, por exemplo, estão sendo realizadas (e se com a efetividade
necessária para minimizar os riscos); programas capazes de verificar a accountability, aferindo se,
por exemplo, relatórios e balanços fornecidos pelos entes regulados dizem a verdade, se estão se
adequando aos princípios como o da finalidade, adequação ou necessidade
373, etc.
Quanto às possíveis críticas, nos atemos a rebater de antemão apenas aquela que é a mais
frequente e, portanto, passível de se prever: a dos custos.
371 THE MATRIX (Matrix), Direção e roteiro: Andy Wachowski e Larry Wachowski, Produção Joel Silver. Distribuição: Warner Bros. EUA, 1999.
372 Personagem que representava o software “mantenedor da ordem” dentro da “Matrix”, e que caçava aqueles que infrigiam a ordem imposta.
373 Art. 6º da LGPD: “As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”.