A Transposição da Dicotomia entre o Público e o Privado

Uma questão fundamental para a proteção dos dados pessoais

Primeiro o site “Nomes Brasil”, e mais recentemente, o site “Tudo sobre Todos” tensionaram a questão da proteção de dados pessoais no cenário nacional. O “Nomes Brasil” permitia que o usuário pesquisasse, a partir do nome de uma pessoa, o seu número perante o cadastro nacional de pessoas físicas/CPF e, inclusive, o status de regularidade do contribuinte. Enquanto que o “Tudo sobre todos” alcançava uma gama de informações maior, viabilizando, por exemplo, o acesso à data de nascimento, local de trabalho, endereços e nomes de parentes e vizinhos, cujo critério de pesquisa poderia ser o nome ou o número do CPF de uma pessoa.

Em ambas situações, a discussão foi orientada pelo fato de que tais dados seriam públicos. O CPF é o número identificador do cidadão brasileiro para a realização de operações financeiras. Ele deteria, assim, essa funcionalidade pública para individualizar alguém no trato dessas relações sociais em específico. Ao passo que a justificativa do responsável pelo site “Tudo sobre Todos”, centrou‐se na argumentação de que todas as informações disponíveis seriam, igualmente, públicas, tendo sido coletadas de cartórios, processos judiciais, diários oficiais, redes sociais, consultas em sites públicos e etc. Nesse sentido, tal plataforma “apenas” reuniria tais dados públicos dispersos, sendo esse o argumento em favor da sua legalidade.

A condução do discurso e do próprio debate em torno desses casos revela a importância de uma lei geral de proteção de dados pessoais, tal como propõe o Ministério da Justiça. Ao contrário do direito à privacidade construído em torno da liberdade negativa do direito de “estar só”, a salvo de interferências alheias e, enfim, da faculdade da pessoa retrair aspectos de sua vida ao domínio público; o direito à proteção de dados pessoais baliza‐se por uma liberdade positiva de exercer sobre eles controle, pouco importando se eles são informações públicas ou privadas. Veja‐se, portanto, a importância da proteção de dados pessoais angariar autonomia em relação ao direito de privacidade, já que ele não é calibrado por essa dicotomia entre público e privado.

Nesse sentido, o Anteprojeto de Lei de Proteção de Dados Pessoais/APLPDP do Ministério da Justiça visa empoderar o cidadão com o controle sobre seus dados pessoais. Pouco importa se este dado é público ou privado, o seu titular deverá consentir para o fluxo dessas informações (artigo 7°, caput), sendo esta a regra geral para legitimar qualquer atividade de tratamento de dados que podem identificá‐lo (artigo 5°, inciso I). Essa lógica contará com normas e princípios correlatos, tal como o “princípio da finalidade” (artigo 6°, inciso I) pelo qual o seu titular deve ser informado sobre um propósito específico, explícito e legítimo para o tratamento de seus dados para, justamente, exercer uma esfera de controle sobre seus dados pessoais. A sua utilização fora daquele contexto autorizado por seu titular implica na sua ilegalidade. Essa chave de leitura é, ao mesmo tempo, essencial e simplifica o entendimento em torno da dinâmica própria da proteção de dados pessoais.

No caso dos “Nome Brasil” a disponibilização dos números de CPF deu‐se em um outro contexto que o de identificação do cidadão para operações financeiras. De forma similar, o site “Tudo sobre Todos”, valeu‐se de dados que foram utilizados para finalidades específicas de um determinado ato notarial, ato judicial, de uma rede social e assim por diante com relação às demais fontes de coleta dos dados pessoais. Em outros termos, tais plataformas trataram os dados pessoais dos cidadãos à revelia do seu consentimento e fora do contexto donde eles foram extraídos, o que determinaria a ilegalidade de tais aplicações.

Se por um lado, o APLPDP pode ser um divisor de águas para regulamentar a proteção de dados pessoais, tal como se extrai das normas acima referenciadas que superariam a dicotomia entre o público e o privado. Por outro lado, ainda existem nele resquícios desse pensamento binário que podem empolar a lógica própria da proteção de dados pessoais. No texto do APLPDP, os dados de acesso público irrestrito seria uma das exceções à necessidade de colher o consentimento do cidadão para o tratamento de seus dados pessoais (artigo 11, caput, e 12, inciso I).

Poderia se discutir que nos casos citados os dados tratados são públicos, porém não de acesso irrestrito. Esse seria o caso, por exemplo, das redes sociais, já que, somente, seus usuários podem acessá‐las e não o público em geral. Além do mais, existem configurações de privacidade para limitar tal acesso apenas aos usuários que são seus “amigos”. Estabelecer‐se‐ia, assim, uma linha tênue entre as definições de dados públicos e dados públicos de acesso irrestrito, demandando‐se um certo esforço interpretativo.

De qualquer forma, não seria difícil imaginar um caso de compilação de dados pessoais sensíveis, apesar de serem de acesso público irrestrito – indexados na rede por exemplo ‐ como a orientação política, sexual e religiosa. Por conseguinte, tais compilações de dados estariam fora do escopo de controle dos cidadãos, abrindo‐se uma porta perigosa para a desproteção de dados pessoais. Isto porque, no final das contas, pode haver um volume de informações detalhado sobre uma pessoa a compor um perfil muito preciso sobre a sua personalidade.

Esse cenário torna‐se, ainda mais, preocupante se for levado em consideração que vivemos em tempos de Big Data e data aggregation. Diferentemente da técnica “tradicional” de mineração de dados, o Big Data é uma tecnologia que descarta a etapa prévia de estruturação de dados, o que possibilita o processamento de dados em um volume, velocidade e variedade maior (os seus três famosos “Vs”). Com base em tal progresso qualitativo e quantitativo permite‐ se uma agregação descomunal de dados, inferindo‐se padrões de comportamentos e preferência dos seus titulares que são revelados após tal tratamento de dados. Dito de outra forma, outras informações pessoais podem ser extraídas de uma massa de dados, sendo este, aliás, o desiderato último da mineração de dados. O conjunto agregado dessas informações pode estruturar um perfil bem detalhado a orientar decisões, seja elas automatizadas ou não, sobre a pessoa de carne e osso, ora intermediado por seus dados pessoais. Sendo essas bases de dados compostas por “dados de acesso público irrestrito”, os cidadãos estariam sujeitos a tais processos de decisões à sua revelia, já que tal tipo de tratamento estaria fora da sua esfera de controle por conta de tal exceção contida no APLPDP.

Possibilitar‐se‐ia a formação de verdadeiras “caixas‐pretas” sobre os cidadãos que retirariam a prometida esfera de controle sobre seus dados pessoais. Essa falta de transparência é o que norteia, aliás, a chamada indústria dos data brokers. Resumidamente, os data brokers são organizações que processam dados pessoais de diversas fontes para vender e revender tais informações com diferentes propósitos, o que perpassa desde a prevenção de fraudes até marketing e publicidade direcionada. Essas fontes são as mais variadas possíveis, incluindo‐se dados de acesso público, como, por exemplo, aqueles extraídos de base de dados governamentais. No final das contas, muitos cidadãos têm sido “catalogados”, sujeitando‐se a um processo de tomada de decisões que nem sequer têm conhecimento a respeito. A exceção disposta no APLPDP tem o potencial de ofuscar ainda mais essa indústria. Os data brokers poderiam, em tese, valer‐ se de base de dados de acesso público irrestrito para continuar operando às escuras, sem que haja qualquer intervenção (entenda‐se controle) do cidadão sobre seus dados pessoais.

Veja‐se, pois, o risco de se operar na dicotomia reducionista entre o público e privado, ainda que sob a nova dimensão do “acesso público irrestrito”. Corre‐se o risco de se esvaziar, significativamente, a esfera de controle do cidadão sobre seus dados pessoais. Em tempos de Big Data e de agregação de dados, faz‐se menos sentido, ainda, trabalhar dentro desse pensamento binário. A premissa de que os dados pessoais – sejam ele públicos ou privados – devem gozar da mesma proteção legal permanece sendo uma questão fundamental e da ordem do dia, seja para a projeção de novas plataformas e modelos de negócio, seja para um olhar crítico em torno do horizonte normativo que se aproxima no cenário nacional.

 


Bruno Ricardo Bioni é mestrando em Direito na USP. Pesquisador da Fundação de Amparo à Pesquisa do Estado de São Paulo/FAPESP e do Grupo de Pesquisa em Políticas Públicas para Acesso à Informação/GPoPAI da USP (Projeto Vigilância e Privacidade). Foi visiting researcher do Centro de Pesquisa de Direito, Tecnologia e Sociedade da Universidade de Ottawa.

Márcio Moretto Ribeiro é professor doutor da Escola de Artes Ciências e Humanidades da USP e membro do Grupo de Pesquisa de Políticas Públicas para Acesso a Informação/GpoPAI da USP.

Os artigos publicados pelo JOTA não refletem necessariamente a opinião do site. Os textos buscam estimular o debate sobre temas importantes para o País, sempre prestigiando a pluralidade de ideias.

Comentários