Opinião & Análise

Proteção de dados

Os dados que a LGPD não está protegendo

Esperança do setor é de que a limitação venha por meio de normas e diretrizes regulatórias restritivas

dados pessoas e pesquisa científica
Crédito: Pixabay

A inesperada entrada da LGPD em vigor em setembro deste ano representou uma reviravolta para as empresas que realizam atividades de tratamento de dados pessoais (isto é, quase todas) no sentido de apressar com urgência os seus projetos de adequação à lei.

Neste contexto, as empresas dos mais variados setores e indústrias – de farmacêuticas a petrolíferas – têm se desdobrado para tornar seus fluxos de dados pessoais adequados às determinações da LGPD.

Para a maioria das empresas cuja atividade principal não está relacionada ao tratamento de dados, isto se traduz em garantir que os dados de clientes, funcionários, parceiros comerciais e fornecedores são tratados em observância aos princípios do artigo 6º (especialmente aqueles que estabelecem a adequação e necessidade dos dados processados, além da transparência no processamento), garantir que haja uma estrutura técnica e corporativa mínima voltada à privacidade e canais adequados por meio dos quais estes titulares poderão solicitar seus direitos do artigo 18[1].

Trata-se de regularizar processos de tratamento auxiliares ao core business das empresas, tal como procedimentos internos para contratação e cumprimento de contratos de trabalho, envio de publicidade e atendimento aos clientes e análise de riscos de contratação de fornecedores, de forma a instituir um grau mínimo de observância a direitos simples dos titulares de dados.

A partir da LGPD, por exemplo, um cliente poderá ser informado de que existe tratamento de seus dados, receber informações quanto às finalidades do tratamento e suas eventuais alterações, solicitar o término do tratamento e deleção dos dados, entre outras prerrogativas legais. Mas será que este tipo de atividade apresenta um risco relevante à privacidade dos titulares de dados?

O cenário é definitivamente uma melhora em relação ao panorama anterior, em que o tratamento de dados pessoais se dava de maneira quase totalmente livre e desregulada, sem qualquer consideração a respeito da privacidade dos indivíduos afetados.

No entanto, em face do rápido desenvolvimento de “negócios orientados por dados” (data driven businesses)[2], voltados à análise inferencial intensiva de dados pessoais, podemos nos perguntar se a Lei Geral de Proteção de Dados, levando em conta os riscos sociais mais graves associados às atividade de tratamento, realmente fornece um nível adequado de proteção à privacidade.

O lançamento do filme “O dilema das Redes” pela Netflix colocou no debate público o profundo impacto social representado pelo direcionamento de conteúdo a partir do perfilamento de usuários em redes sociais. O filme demonstra o modus operandi das redes sociais como Facebook, LinkedIn, Instagram e Gmail, que basicamente se dá em 4 passos:

(i) Desenvolver uma plataforma de interação social altamente viciante, onde os usuários forneçam quantidades cada vez maiores de dados sobre si mesmos;

(ii) Coletar e tratar intensivamente dados pessoais como o histórico de cliques e likes, o tempo de atenção dado a cada post, histórico de buscas, rede de amigos e familiares, grupos em que participa o usuário, região de acesso, tipo de tecnologia empregada para o acesso (ex.: tipo de dispositivo móvel) e informações fornecidas a outros aplicativos por meio das funcionalidades de login auxiliado (ex.: Facebook Login)[3];

(iii) Utilizar dados pessoais para a construção de perfis comportamentais (perfilamento); e

(iv) Direcionar o conteúdo de postagens e de propagandas a partir da inferência das preferências de um usuário[4], determinadas a partir de seu perfilamento (formando seu perfil comportamental).

O filme dá particular atenção à crítica feita por Tristan Harris, apontando que as externalidades sociais das redes (tal como o aumento da polarização política, a disseminação alastrada das fake news, o aumento no suicídio e automutilação em adolescentes[5], o agrupamento de justiceiros e aumento dos movimentos anticientíficos ou politicamente extremizados, como os terraplanistas e a extrema direita alt-right, entre tantos outros) fundamentalmente, provêm da mesma causa.

A intenção deste artigo é sugerir, tal como fez o filme, que esta causa comum é justamente o direcionamento de conteúdo feito a partir dos perfis comportamentais de usuários, a partir da coleta e processamento massivo de dados pessoais – e que a legislação de proteção de dados no Brasil, assim como a europeia, ainda é razoavelmente ineficaz para enfrentar esta questão.

Esta crítica não é completamente original. Em 2019, por exemplo, Sandra Watcher, professora e pesquisadora em ética de dados e regulamentação da Internet do Oxford Internet Institute, da Universidade de Oxford, fez um apontamento semelhante em relação ao GDPR[6].

A professora vem tentando demonstrar que a lei de proteção de dados da Europa é falha em proteger os titulares de dados contra as análises inferenciais de tecnologias digitais nascentes, apontando que:

Os dados que descrevem a vida privada dos usuários podem ser cada vez mais capturados, compartilhados e analisados para inferir características, comportamentos e necessidades não atendidas dos usuários. […] Os tipos de dados produzidos por tais tecnologias podem ser usados para extrair inferências e previsões não-intuitivas e não-verificáveis sobre os comportamentos, preferências e vidas privadas dos indivíduos.

Essas inferências se baseiam em dados altamente diversos e ricos em características de valor imprevisível e criam novas oportunidades para a tomada de decisões discriminatórias, tendenciosas e invasivas, muitas vezes baseadas em atributos sensíveis da vida privada dos indivíduos.

E não só é verdadeiro que estas preferências inferidas poderão ter conteúdo gravemente discriminatório, mas que também que determinarão a manipulação de conteúdo disponibilizado a cada usuário de uma rede social, o que pode ser diretamente relacionado à criação das bolhas ideológicas e culturais (também conhecidas como filter bubbles ou echochambers)[7].

Este tipo de isolamento informacional acentuado certamente deu causa a alguns dos mais terríveis efeitos sociais decorrentes do tratamento de dados pessoais.

A professora aponta como o foco da GDPR está bastante voltado para a forma de coleta e armazenamento dos dados. Ela aponta que “a lei dificilmente regulamenta como e de acordo com quais parâmetros os dados são avaliados”, discorrendo, ao invés disso, sobre as formas e métodos adequados para os aspectos meramente formais do tratamento, tal como a forma de coleta ou localidade de armazenamento. A LGPD, em grande parte inspirada no GDPR, parece sofrer do mesmo mal.

É claro que os princípios da lei, em alguma medida, servirão para conter o arbítrio no processamento. O princípio da não-discriminação[8], por exemplo, servirá para a apreciação judicial de casos envolvendo danos à privacidade dos usuários causados pela análise inferencial e pelo perfilamento manifestamente injusto.

Porém, entre todos os seus dispositivos, a LGPD contém exclusivamente um único artigo que endereça diretamente a questão do perfilamento automatizado: o artigo 20.

O artigo 20 determina que o titular terá direito de “solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil”.

Os interessados na área de proteção de dados saberão da grave restrição imposta ao dispositivo na lei brasileira, que o difere do dispositivo semelhante presente na lei europeia. Enquanto que o GDPR garante que a revisão das decisões automatizadas deverá ser encarregada por um humano, a LGPD apenas cria um um direito genérico à “revisão”.

Ou seja, a decisão automatizada de um algoritmo poderá ser reformada por outra decisão automatizada por um algoritmo. Ainda não se sabem os critérios segundo os quais tal revisão seria considerada adequada, e portanto, os titulares de dados ainda se veem bastante inseguros para se proteger contra decisões injustas ou danosas feitas com base nos seus perfis comportamentais.

Considerando que a “decisão automatizada com base em perfil” fosse, por exemplo, a filtragem de conteúdo das redes sociais com base nas preferências inferidas do usuário, quais limites serão impostos ao que as empresas podem fazer?

Que tipo de ação concreta será facultada ao usuário que deseje se retirar do tipo de bolha ideológica e cultural criada por estas decisões automatizadas? E como a sociedade no geral poderá demandar das empresas que empreguem esforços para reduzir os efeitos nocivos desta forma de tratamento? Nada disso está respondido na LGPD.

Com a Agência Nacional de Proteção de Dados – ANPD já constituída, é de se esperar que regulamentos neste sentido sejam endereçados com urgência, dado que se tratam de alguns dos mais relevantes riscos à sociedade, não apenas afetando a privacidade dos indivíduos, mas incorrendo em questões de ordem pública e harmonia social.

Na ausência de qualquer dispositivo legal estabelecendo limites claros para o perfilamento, para a análise inferencial e para o nível de manipulação de conteúdos, a esperança do setor é de que a limitação venha por meio de normas e diretrizes regulatórias restritivas.

Podemos conceber várias imposições regulatórias benéficas ao interesse público, a começar pela limitação do nível de filtragem que poderá ocorrer no conteúdo disponível aos usuários com base em seu perfil comportamental. Também poderão ser proibidas ou limitadas as próprias inferências que podem ser feitas a partir dos dados pessoais dos usuários, por exemplo a respeito de categorias que envolvem sua opinião política.

As empresas trabalhando com disseminação de conteúdos poderão ser obrigadas a seguir algum princípio de neutralidade política, reduzindo os efeitos de alienação que decorrem da filtragem cumulativa de conteúdos a partir de acessos anteriores.

Assim, as redes poderiam ser obrigadas a voltar às formas mais simples de disponibilização de conteúdos, tal como era o padrão anterior às últimas duas décadas, sem levar à segmentação acentuada a partir dos perfis comportamentais.

Também podemos conceber uma espécie de “recomendação positiva”, que poderia, por exemplo, reagir a um histórico de buscas indicativo de um distúrbio psicológico com a recomendação de meios para tratamento profissional, ou com o bloqueio de publicações associadas à intensificação do distúrbio.

Esta hipótese é certamente mais complexa, tanto num sentido regulatório (por envolver também uma forma de manipulação de conteúdo a partir de perfis comportamentais, possivelmente atentatória à privacidade dos titulares) quanto técnica (por demandar uma análise mais acurada e mais cuidadosa a respeito dos tipos de conteúdos recomendados pelo algoritmo).

De qualquer forma, é certo que tais regulações deverão ser encaradas como uma prioridade por aqueles preocupados com a efetiva proteção dos dados pessoais. O endereçamento direto destas atividades intensivas de tratamento de dados com alto potencial danoso à sociedade é imperativo para que se dê conteúdo ao princípio de “autodeterminação informacional” afirmado pela LGPD.

Assim, a regulação deverá garantir que os titulares tenham autonomia para determinar não somente os aspectos formais do tratamento de seus dados – como aqueles relacionados às condições de segurança técnica de sua coleta e armazenamento –, mas as consequências materiais que se desdobram no campo político e social a partir da manipulação de suas informações.

 


O episódio 43 do podcast Sem Precedentes analisa a nova rotina do STF, que hoje tem julgado apenas 1% dos processos de forma presencial. Ouça:


[1] Os direitos de titular de dados segundo a LGPD incluem: “I – confirmação da existência de tratamento; II – acesso aos dados; III – correção de dados incompletos, inexatos ou desatualizados; IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto [na LGPD]; V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 [da LGPD]; VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; IX – revogação do consentimento, nos termos do § 5º do art. 8º [da LGPD].”

[2] No inglês original, data driven businesses.

[3] Para ver os dados coletados pelo Facebook, acessar: <https://www.facebook.com/full_data_use_policy>.

[4] Para ver, por exemplo, o que o Facebook inferiu acerca de suas preferências, acessar: <a href= “https://www.facebook.com/ads/preferences”> “Your ad preferences” </a>.

[5] Marchant, Amanda, et al. “A systematic review of the relationship between internet use, self-harm and suicidal behavior in young people: The good, the bad and the unknown.” PLoS ONE, vol. 12, no. 8, 2017, p. e0181722. Academic OneFile,

[6] WATCHER, S. Data protection in the age of Big Data. Nature Electronics Volume 2. University of Oxford, Oxford Internet Institute, Oxford, UK. 2019. pp. 6 a 7.

[7]Muito trabalho acadêmico tem sido escrito sobre o efeito dos “algoritmos” das redes sociais sobre o comportamento político e ideológico, por meio da criação de bolhas de isolamento político-cultural. Por exemplo, ver:

DiFranzo, Dominic; Gloria-Garcia, Kristine. “Filter bubbles and fake news”. 2017.

Harper, Tauel. “The big data public and its problems: Big data and the structural transformation of the public sphere”. New Media & Society. 2017.

[8] Art. 6º, inciso IX da LGPD.


Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito