Cidades inteligentes, dados pessoais e direitos dos cidadãos no Brasil

Por Danilo Doneda e Diego Machado

(Versão em inglês aqui)

Dentre as diversas proposições conceituais de cidades inteligentes (smart cities), percebe-se que a “inteligência” (smartness) não se resume ao uso e aplicações de tecnologias da informação e da comunicação para tratamento de dados. Há quem entenda, de forma mais ampla, que o uso das tecnologias de dados é o primeiro aspecto para a inteligência da cidade. Outros elementos comuns seriam: (i) especial atenção a infraestruturas física e de rede; (ii) fornecimento de melhores serviços públicos; (iii) combinação, interconexão e integração de infraestruturas e sistemas para viabilizar desenvolvimento social, ambiental, cultural e econômico; e (iv) a visão de um futuro melhor.

Transformações desta amplitude e com potencial de impacto tremendamente alto na vida cotidiana devem vir acompanhadas da devida reflexão sobre seus impactos e efeitos para os cidadãos, e tal reflexão tanto deverá ser considerada para a formulação de um ambiente regulatório que incentive a implementação das cidades inteligentes de forma considerada adequada quanto privilegie a experiência e os direitos dos seus habitantes.

Assim, aquilo que pode ser identificado como um “marco regulatório das cidades inteligentes”, tal qual a própria definição do que seja uma “cidade inteligente” e sua amplitude não possuem contornos bem definidos. E, tal qual a própria terminologia smart cities, o seu potencial impacto regulatório pode se projetar com variados vetores.

No cenário brasileiro, o Documento de Referência “Ambiente de Demonstração de Tecnologias para Cidades Inteligentes”, publicado em 2017 pela ABDI e pelo Inmetro, valendo-se do Relatório do Plano de Ação de IoT (Internet of Things) desenvolvido pelo MCTIC e pelo BNDES, parte da compreensão de que “a Cidade Inteligente é aquela que, por meio da absorção de soluções inovadoras, especialmente ligadas às Tecnologias da Informação e Comunicação (TICs), ao movimento da Internet das Coisas e ao fenômeno do Big Data, otimiza o atendimento às suas demandas públicas (as quais variam de acordo com a Cidade em estudo), aproximando-se, tanto quanto possível, do estágio tecnológico vigente da humanidade”.

Sob esse enfoque, o aludido Documento de Referência se baseia em padrões e metodologias da International Organisation for Standardization – ISO para indicar “aferidores de inteligência” da cidade. A norma ISO 37122 – Indicators for Smart Cities, apesar de ainda estar em construção, inspira a formulação de indicadores tais como: controle centralizado, integrado e inteligente da informação e das estruturas e serviços públicos da cidade, infraestrutura de telecomunicações e conectividade na cidade, iluminação pública inteligente, segurança pública inteligente, gestão inteligente da saúde pública.

Estes indicadores podem funcionar como pautas a orientar os legisladores na complexa iniciativa regulatória das smart cities, cujo quadro normativo de referência implica competências legislativas e administrativas em todos os níveis federativos. Tomando a segurança pública como exemplo, a integração de autoridades estaduais no âmbito das cidades inteligentes é imprescindível, numa visão que pretende implementar sistemas semelhantes ao sistema “Detecta” do Estado de São Paulo, que conta com mais de 3.000 câmeras de vigilância e “reúne o maior banco de dados de informações policiais da América Latina”, a partir da interligação dos bancos de dados das polícias civil e militar, do Registro Digital de Ocorrências (RDO), Instituto de Identificação (IIRGD), Sistema Operacional da Polícia Militar (SIOPM-190), Sistema de Fotos Criminais (Fotocrim), além de dados de veículos e de Carteira Nacional de Habilitação (CNH) do Detran.

Há importantes desafios a serem enfrentados nas camadas de infraestrutura e lógica para que se forneça conectividade e interoperabilidade em níveis adequados, bem como outros relacionados a políticas de fomento e tributação incidente. No entanto, a garantia de direitos dos cidadãos cujos dados serão coletados e processados massivamente no ecossistema de cidade inteligente ganha destaque, cada vez mais, como a questão fundamental que é e que deve ser considerada, sobretudo num contexto de crescente uso de serviços inteligentes para policiamento (preditivo).

Além de poder causar interferências no direito à privacidade, não é novidade que a coleta dados pessoais em grande escala incrementa o risco de viés discriminatório em sistemas algorítmicos e de tomada de decisão automatizada, em especial em aplicações de policiamento preditivo e de reconhecimento facial, contra minorias e grupos vulneráveis.

É importante ressaltar ainda que, no contexto de cidades inteligentes, ganha destaque a dimensão coletiva da proteção de dados. A classificação de grupos de pessoas a partir de técnicas de profiling automatizado com o propósito último de prever o comportamento de tais coletividades pode fugir da perspectiva tradicionalmente individual da tutela da privacidade e do conceito de dado pessoal (LGPD, art. 5º, I). Contudo, o risco de discriminação e interferência em direitos e liberdades de certos grupos permanece existente, por exemplo, em aplicações de segurança pública com sistema de reconhecimento facial cujo software funciona para negros com precisão de 5 a 10% menor do que para brancos. Disso pode resultar que pessoas negras inocentes, em comunidades de periferia, sejam alvo majoritário de ações policiais sistemáticas.

Os princípios de proteção de dados pessoais da transparência e da prevenção devem ser aplicados a fim de sinalizar para cautelas necessárias, exigir relatórios de impacto à proteção de dados ou mesmo até a vedação do uso algumas tecnologias.

Portanto, a necessidade de proteção dos cidadãos e titulares dos dados deve ser traduzida em direitos e liberdades dos cidadãos e titulares dos dados, e deveres das autoridades públicas, controladores e operadores. Sem a pretensão de formular um rol exauriente, o regime jurídico de proteção ao cidadão que deve acompanhar sistemas implementados em cidades inteligentes deve ser constituído por, no mínimo:

a)    Direito ao anonimato ou anonimização de dados: a informação pessoal coletada em sistemas de cidades inteligentes deverá ser objeto de tratamento somente se necessária e adequada à finalidade de sua coleta e processamento, do contrário, se excessiva, deve ser anonimizada, conforme aLei Geral de Proteção de Dados (LGPD), art. 6º, III;

b)    Direito à revisão de decisão tomada por sistemas automatizados que proporcionem ilegítima interferência em interesses juridicamente protegidos do titular dos dados (LGPD, art. 20);

c)    Obrigação de adotar as pertinentes medidas técnicas e administrativas de segurança (arts. 6º, VII, 46), de modo a implementar padrões de segurança informacional confiáveis de acordo com o estado da arte;

d)    Encargo de realizar relatórios de impacto à proteção de dados pessoais (RIPD).

Uma análise da legislação em nível local relacionada a cidades inteligentes em Municípios como São Paulo, Rio de Janeiro e Curitiba, que será publicada no âmbito do projeto sobre Smart Cities da FGV Direito Rio, dá conta da ausência de políticas consistentes no que tange à regulação da atividade de tratamento de dados pessoais promovida por entidades da Administração Pública direta e indireta.

Não obstante a previsão da possibilidade de obtenção de dados de saúde, no bojo das competências materiais para a prestação de serviços públicos de saúde, por exemplo, percebe-se pouca clareza e insuficiente proteção dos titulares dos dados na regulação.

Outro dos aspectos regulatórios críticos para um ecossistema de cidade inteligente é a segurança informacional. Em tal ecossistema, o princípio da segurança é um dos preceitos de essencial observância para o respeito aos direitos individuais e coletivos dos cidadãos e titulares dos dados pessoais. Muito embora esses Municípios tenham um política para segurança da informação, a legislação carece de prover sobre requisitos e medidas de segurança para o tratamento dos dados pessoais. Por exemplo, inexiste na legislação municipal consultada a expressa previsão do dever dos entes públicos/controladores de notificar os titulares dos dados a existência de violação de sistema de segurança e vazamento de dados.

Certamente, com a futura entrada em vigor da LGPD, a tendência é que todas as atividades que compreendam em alguma medida o tratamento de dados pessoais serão impactados e deverão adaptar-se. No caso das cidades inteligentes, no entanto, tal adaptação deverá levar em conta fatores e diretrizes particulares, vista a imensa permeabilidade dos efeitos dos tratamentos de dados para os seus habitantes e a sua implementação em espaços públicos e em situações e âmbitos que não permitem ao cidadão exercer escolhas efetivas sobre o uso de seus dados. Neste sentido, os sistemas de tratamento de dados em cidades inteligentes deverão considerar de forma aprofundada uma série de questões, desde a segurança da informação, a proporcionalidade e o princípio da minimização de uso de dados e tantos outros.

A bem da verdade, talvez o ponto mais relevante seja cuidar da devida introdução na agenda regulatória e na própria implementação de sistemas e serviços das cidades inteligentes dos elementos de natureza preventiva presentes na LGPD. Entre estes elementos estão a necessidade do desenho de ferramentas técnicas levando-se em conta o seu impacto à privacidade, e a necessidade de demonstração das medidas tomadas para a implementação da lei. Neste sentido, há largo espaço para a sua previsão em especificações técnicas ou como condicionantes da prestação de serviço em editais elaborados pelo setor público, por exemplo.