CyberBRICS

Da forma à substância no direito à proteção de dados pessoais, parte I

Por Walter Britto Gaspar

Um laço conecta muitas das aplicações de novas técnicas e tecnologias que vêm transformando profundamente todos os campos da atividade humana: a fundamentação necessária na maior quantidade possível de dados. De redes neurais treinadas para identificar melanomas a partir de centenas de milhares de fotografias a caminhos inovadores de compreensão automatizada de escrita, a precisão e utilidade desses significativos avanços em diversos setores tecnológicos depende do acesso a grandes volumes de dados.

Frequentemente, esses dados são produzidos de forma quase imperceptível pelos usuários de serviços online. São frutos de ações registradas em gigantescas bases que alimentam uma economia de dados, que parece se desenrolar nas nuvens, sobre as cabeças e fora de vista. As tendências atuais de aprofundamento da Internet das Coisas e da aplicação de tecnologias de vigilância e segurança — como o reconhecimento facial — apenas intensificam esse processo de constante registro de dados pessoais.

Diante disto, várias jurisdições vêm implementando regulações de proteção de dados pessoais que instituem princípios e direitos básicos do titular. A intenção é instituir proteções mínimas para que os dados de qualquer pessoa, que compõem uma faceta da sua personalidade, não sejam instrumentalizados cegamente à revelia dos seus próprios interesses e conhecimento. Para tanto, um dos elementos centrais desses novos regimes é o consentimento.

Ainda que não seja a única base legal, ou hierarquicamente superior às demais, o consentimento é um componente importante da sistemática da proteção de dados. Em muitas das interações mais evidentes com a tecnologia digital, os titulares dos dados entram em contato primariamente com ferramentas de consentimento: termos de uso, políticas de privacidade etc. Além disso, a análise do consentimento é um bom primeiro passo para compreender o ideal subjacente às leis de proteção de dados, pois é algo que demonstra na prática a relevância de pensar soluções não apenas jurídicas, mas tecnológicas e de design.

A Regulação Geral de Proteção de Dados (RGPD/GDPR) europeia caracteriza consentimento da seguinte forma:

Art. 4º, 11. «Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

Enquanto a Lei Geral de Proteção de Dados (LGPD) conceitua consentimento como:

Art. 5º, XII — consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

Esse consentimento é adjetivado, revelando o reconhecimento de que há certas condições imprescindíveis para que ele seja substancial e válido. Por isso se fala, atualmente, em privacy by design and default, a ideia de que a preocupação com a privacidade deve ser observada desde as fases iniciais de design de ferramentas, produtos e serviços. Um exemplo concreto disto é o entendimento do Tribunal de Justiça da União Europeia de que caixas de seleção pré-marcadas para o aceite de termos de uso de serviços online e armazenamento de cookies não configuram consentimento válido:

A este respeito, verifica‑se que é impossível, na prática, determinar objetivamente se um utilizador de um sítio Internet efetivamente deu o seu consentimento ao tratamento dos seus dados pessoais se não tiver desmarcado uma opção pré‑validada e, em todo o caso, se esse consentimento foi dado de um modo informado. Com efeito, não se pode excluir que o referido utilizador não tenha lido a informação que acompanha a opção pré‑validada, ou até mesmo que não se tenha apercebido dessa opção, antes de prosseguir a sua atividade no sítio Internet que visita.

[…]

Por conseguinte, face aos elementos que antecedem, o consentimento a que se referem o artigo 2.°, alínea f), e o artigo 5.°, n.° 3, da Diretiva 2002/58, lidos conjuntamente com o artigo 2.°, alínea h), da Diretiva 95/46, não é validamente dado quando o armazenamento de informações ou o acesso a informações já armazenadas no equipamento terminal do utilizador de um sítio Internet são autorizados mediante uma opção pré‑validada pelo prestador do serviço, que o utilizador deverá desmarcar para recusar o seu consentimento.

A chave nesse entendimento é dar substância ao consentimento, não tratá-lo como uma mera declaração pouco compreendida e fracamente representativa da vontade do titular. Pode-se discutir, no entanto, se a simples abordagem de adjetivação do consentimento e determinação de obrigações em relação à sua coleta é suficiente para a garantia da proteção de dados do titular. Afinal, mesmo que o consentimento seja prévio, informado, livre e inequívoco, pode-se questionar a liberdade do titular ao concedê-lo devido a disparidades informacionais e políticas entre as partes.

Neste ponto, é interessante observar a recuperação histórica das 30 versões dos termos de uso da Google, realizada pelo NY Times. A matéria demonstra com clareza o caráter técnico intrincado, de difícil compreensão e acompanhamento por um usuário comum das ferramentas da plataforma. Interessante também notar a grande preocupação apontada com a garantia da compreensão desses termos após a entrada em vigor da GDPR:

As disparidades informacionais se manifestam nos vários “desconhecimentos” que se apresentam ao titular no processo de coleta e utilização de seus dados pessoais. O usuário de um serviço não conhece o modo de funcionamento da plataforma que coleta seus dados; não sabe onde eles serão armazenados; não conhece, nomeadamente, aqueles terceiros com quem seus dados serão compartilhados; não é um especialista na leitura jurídica dos termos de uso que precisará aceitar; não entende o modo de tratamento dos dados, as técnicas e tecnologias aplicadas; não é íntimo da estrutura organizacional da empresa que coleta e usa seus dados, suas subsidiárias, os setores que serão responsáveis pelo tratamento de seus dados, ou os fluxos internos desse tratamento.

Mesmo que um usuário tenha o nível de conhecimento técnico que lhe permita compreender minimamente todos esses fatores, há uma disparidade política fundamental na relação entre a empresa e o titular dos dados. Não é o titular que decide quais dados serão coletados, para que finalidade, por quanto tempo; ele não tem capacidade de decidir especificamente com quem esses dados serão compartilhados; não tem capacidade de acompanhar o caminho desses dados na cadeia de valor da empresa; não tem as informações necessárias para avaliar o verdadeiro valor desses dados em comparação com o valor do serviço ou produto que lhe é oferecido em troca; enfim, o poder do usuário em relação à empresa limita-se, tão-somente, a aceitar os termos de uso ou escolher não usar o bem ou serviço oferecido. Até mesmo esta escolha, muitas vezes, é fictícia: em uma sociedade de relações intermediadas pela tecnologia, e de intensa concentração oligopolística de serviços online, é ilusório acreditar que uma tal escolha seja factível.

Essas duas disparidades nascem, em essência, de uma característica básica da atual dinâmica do “capitalismo dadocêntrico”. Os sistemas de geração de valor na esfera digital são centrados nos interesses das empresas, não do usuário. Isto significa que o usuário, refletido nos seus dados pessoais, pode ser tratado como instrumento ou meio para a consecução das finalidades empresariais, sejam elas tecnológicas ou financeiras. Esta característica se reflete não apenas nas disparidades já comentadas, mas também na forma como as bases de dados formadas pelas grandes companhias de tecnologia compõem ativos imateriais que dão valor e poder de mercado a essas empresas, que são protegidos por mecanismos de segredo empresarial ou propriedade intelectual e que representam verdadeiras barreiras à entrada de concorrentes nos mercados.

Diante deste cenário, é fundamental que o Direito pense alternativas que abordem a raiz do problema. Ou seja, é preciso criar sistemas centrados no usuário, que o empoderem em relação às entidades de tratamento de dados. Em breve publicaremos uma segunda parte deste artigo em que serão apresentados caminhos possíveis para esse fim — alguns ainda apenas teóricos, outros já em fases de construção e implementação.