[especial] Big data: quais proteções os titulares de dados têm a sua disposição?
Para reforçar a importância da discussão sobre o Projeto de Lei de Proteção de Dados Pessoais e para fomentar consolidação de ambiente propício para inovação e o avanço da efetivação de direitos fundamentais em tempos de Internet, o InternetLab lançou a Semana Especial de Proteção de Dados Pessoais.
Serão 5 temas centrais da lei em 5 dias, com comentários de representantes do setor privado, da academia e da sociedade civil. Hoje, o quarto tema será sobre quais tipos de controle temos em relação a nossos dados em um mundo de big data.
Veja também os temas anteriores:
Tema 1. O que são dados pessoais?
Tema 2. O que pode autorizar o tratamento de dados pessoais?
Tema 3. O que são dados públicos?
Big data: quais proteções os titulares de dados têm a sua disposição?
Atualmente, uma série de funcionalidades e serviços são disponibilizados graças à possibilidade de armazenar, tratar e analisar enormes quantidades de dados de maneiras inovadoras – o chamado big data. A partir de tais capacidades de armazenamento, tratamento e análise de dados pessoais coletados a partir de nossos hábitos, torna-se plausível inferir tendências e traços de personalidade, predizer possíveis comportamentos e estabelecer perfis bastante detalhados de todos nós. O desenvolvimento de ferramentas para realizar essas operações parece cada vez mais essencial para grande parte do setor de tecnologia da informação, razão pela qual o assunto foi intensamente debatido na consulta pública sobre o Projeto de Lei de Proteção de Dados Pessoais (o PL 5.276/2016, mapeado aqui pelo InternetLab).
O processamento automatizado de dados realizado por algoritmos é peça chave nesse quebra-cabeça. Algoritmos são formas de automatizar processos decisórios, que estão por detrás de muitas coisas que acontecem também na Internet, como decidir qual anúncio será exibido para você ou quem é a próxima pessoa a aparecer em um aplicativo de relacionamentos. Por meio deles, a sua experiência de navegação pode mudar e, com isso, o seu acesso a determinadas informações, ofertas ou até mesmo oportunidades de emprego.
Para lidar com essa questão, o PL 5.276/2016 prevê em seu art. 20 que titulares de dados pessoais (todos nós) podem solicitar a revisão das decisões automáticas quando estas afetarem seus interesses. Estabelece ainda uma obrigação ao responsável pelo tratamento de tais dados para que forneça, se solicitado, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada. Segundo o texto da proposta, eles só não serão obrigados a fornecer critérios e procedimentos que possam revelar segredos comerciais e industriais.
A partir da ideia que variadas técnicas de big data estão ganhando terreno como maneiras de desenvolvimento e aperfeiçoamento de produtos e serviços (online e offline), o InternetLab buscou entender quais as perspectivas de diferentes setores que participam do debate a respeito da proteção de dados pessoais no Brasil. Confira abaixo.
PERGUNTAS AOS SETORES – Como deve ser a lei nesse ponto?
O PL 5.276 garante uma série de direitos ao titular dos dados pessoais, como portabilidade e eliminação, a qualquer momento, dos dados pessoais coletados. Considerando que, muitas vezes, o tratamento de dados pessoais envolve terceiros, em uma complexa cadeia de atores, garantir a eficácia desses direitos na prática pode ser uma tarefa desafiadora. Além disso, a lei confere ao titular a possibilidade de solicitar revisão de decisões tomadas com base no tratamento automatizado de seus dados pessoais. Como se sabe, muitas dessas decisões são tomadas por algoritmos. Como avalia o rol de direitos elencados pela lei? Acredita que será possível exercitá-los na prática?
Veridiana Alimonti (Intervozes)
Veridiana Alimonti é formada pela Faculdade de Direito da Universidade de São Paulo e mestre em direito econômico pela mesma instituição com projeto voltado ao estudo das políticas de comunicação no Brasil. Foi advogada e pesquisadora do Instituto Brasileiro de Defesa do Consumidor (Idec) com atuação específica na área de telecomunicações e Internet. Até 2015, esteve como uma das representantes o terceiro setor no Comitê Gestor da Internet no Brasil (CGI.br) e faz parte do Comitê de Defesa dos Usuários dos Sereiços de Telecomunicações (CDUST), da Agência Nacional de Telecomunicações (Brasil). Atualmente faz parte da coordenação executiva do Intervozes.O rol de direitos elencados pelo PL 5276/2016, cuja aplicação deve ocorrer em estrita observância aos princípios também ali previstos, finalmente poderá incluir na ordem jurídica brasileira uma disciplina robusta de proteção aos dados pessoais. Com ela, certamente todos nós poderemos ter mais informação e controle sobre como os nossos dados estão sendo coletados e tratados, conferindo-nos, ainda, maior poder sobre onde e até quando manter determinados bancos de dados sobre nós. Um ponto central na efetivação dessas garantias é a dinâmica do consentimento – por meio dele o titular dos dados é informado da existência, extensão e finalidade da coleta e do tratamento de dados, bem como de outros direitos associados a essas operações. Um consentimento pro forma, com extensos e complicados termos de uso, comprometem o núcleo desse direito à informação e controle. Assim, é muito importante que a nova legislação possa estimular maneiras alternativas e simples, embora completas, de consentimento. No contexto da Internet e das novas tecnologias, é interessante que incentive também o desenvolvimento de ferramentas e aplicações que tenham a proteção à privacidade como padrão e que permitam o “controle granular” sobre a coleta e tratamento de dados pessoais, isto é, a possibilidade de se autorizar parte da coleta e do tratamento dos dados de acordo com o que realmente interessa no produto ou serviço, rompendo com a lógica de que se deve concordar com tudo ou não aceitar nada.
Outro ponto central é a fiscalização do cumprimento desse complexo de princípios e direitos, que passa pela constituição de estrutura especializada, com poderes de regulação e de sanção. O órgão competente referido no PL é crucial e não pode ter suas atribuições minimizadas, pois dele depende grandemente a efetividade do regime de proteção de dados a ser adotado. Além dessas preocupações, importa lembrar que de acordo com o atual projeto de lei, boa parte de suas regras não será aplicada ao tratamento de dados realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais. Tal exceção, além de se referir a termos vagos como “segurança do Estado”, o que pode levar a criação de complexos sistemas de vigilância à margem da lei, diz respeito justamente a uma das principais fontes de tratamento abusivo e discriminatório de dados pessoais. Por isso, também o tratamento de dados para fins de segurança pública e inteligência deveria ser abarcado por toda a disciplina prevista no PL.
Marcel Leonardi (Google Brasil)
Marcel Leonardi é Diretor de Políticas Públicas do Google no Brasil. Bacharel, Mestre e Doutor em Direito pela USP, com pós-doutorado pela Berkeley Law. Autor de “Responsabilidade Civil dos Provedores de Serviços de Internet”, “Tutela e Privacidade na Internet”, co-autor de “Responsabilidade Civil na Internet e nos demais meios de comunicação” e da obra coletiva “Marco Civil da Internet”. Professor de pós-graduação da FGV DIREITO-SP.Os direitos assegurados ao titular são bastante amplos, refletindo em boa parte o modelo europeu de proteção de dados. A tutela efetiva desses direitos essencialmente depende de uma autoridade de proteção de dados independente e com corpo técnico qualificado capaz de aplicar e interpretar a lei de modo equilibrado.
Do ponto de vista das empresas, é preciso considerar que pessoas têm diferentes preocupações sobre privacidade. Assim, as empresas devem seguir boas práticas de transparência e clareza quanto aos dados que coletam, de modo que o titular possa fazer suas próprias escolhas sobre como eles são utilizados, bem como, no caso de serviços online, oferecer ferramentas e configurações que permitam a implementação prática dessas escolhas feitas pelo titular.
Vanessa Butalla (Serasa Experian)
Vanessa Butalla é Gerente Jurídica da Serasa Experian em São Paulo, onde é responsável pela área de regulamentação. Vanessa é Bacharela em Direito pela Universidade Presbiteriana Mackenzie e possui mais de 12 anos de experiência com temas relacionados a privacidade de dados e proteção de crédito, tendo participado de vários seminários e conferências no Brasil e no exterior.Direitos como a portabilidade, a eliminação dos dados, a revogação do consentimento e a revisão de decisões baseadas em tratamento automatizado são inerentes ao controle do titular sobre os seus dados pessoais e, portanto, entendo ser viável a sua implementação. Deve-se apenas cuidar para que o seu exercício se dê de forma harmônica com os direitos e obrigações decorrentes da atividade empresarial exercida pelos responsáveis pelo tratamento de dados pessoais. Por exemplo, nos casos em que o tratamento de dados pessoais seja condição para a prestação de um serviço ou fornecimento de um produto, a revogação naturalmente implicará a sua cessação, conforme o caso, consequência esta que não pode ser confundida com ônus para o titular. Vale destacar, ainda, que, em observância ao ato jurídico perfeito, a revogação do consentimento não deve afetar a legalidade e a validade do tratamento de dados pessoais realizados enquanto vigente o referido consentimento. Equilibra-se, desta forma, a proteção aos dados pessoais com a liberdade empresarial e o desenvolvimento econômico
Laura Schertel Mendes (Instituto Brasiliense de Direito Público – IDP)
É doutora summa cum laude em direito privado pela Universidade Humboldt de Berlim, mestre em “Direito, Estado e Constituição” pela Universidade de Brasília (UnB) e graduada em direito pela UnB. É diretora da Associação Luso-Alemã de Juristas (DLJV-Berlin) e membro do Grupo de Trabalho Consumo e Sociedade da Informação da Secretaria Nacional de Consumidor (SENACON) do Ministério da Justiça. Tem experiência nas áreas de direito civil, direito do consumidor e direito da concorrência, atuando principalmente nos seguintes temas: direitos da personalidade, proteção de dados pessoais, direito e internet, interface entre direito constitucional e direito civil, bem como políticas públicas na Sociedade da Informação. Gestora Governamental em exercício no Conselho Administrativo de Defesa Econômica – CADE.O direito de não se ficar sujeito a uma decisão individual automatizada consiste no direito do cidadão de não ficar submetido a decisões que influenciem significativamente a sua posição jurídica, tomadas exclusivamente com base no tratamento automatizado de dados.
Norma semelhante pode ser encontrada da Diretiva Europeia 95/46/CE de proteção de dados, em seu art. 15, 1: “Os Estados-membros reconhecerão a qualquer pessoa o direito de não ficar sujeita a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade, como por exemplo a sua capacidade profissional, o seu crédito, confiança de que é merecedora, comportamento”. Tal regra constitui uma proibição geral referente a decisões automatizadas, podendo ocorrer apenas em duas hipóteses, conforme a Diretiva: desde que existam medidas adequadas que garantam a representação e expressão do titular dos dados para a sua defesa ou que ocorra no âmbito da celebração ou execução de contratos.
O art. 13º, no. 1, da Lei de Protecção de Dados de Portugal estabelece também norma nesse mesmo sentido: admite-se que os dados armazenados de forma automatizada possam ser utilizados para ajudar uma tomada de decisão, v.g. fornecendo mais informação, ou seguindo a atuação apropriada, mas os computadores e os dados que armazenam não devem ser utilizados como único meio para fundamentar determinada decisão.
O art. 20 do PL 5276 é de extrema importância, pois garante uma regra de justiça, que visa assegurar a possibilidade de defesa do titular e a mínima participação do titular em um processo de decisão tomado com base em seus dados e que afetará de forma significativa as suas oportunidades de vida.
Deve-se ressaltar que igual norma já existe em relação ao cadastro positivo, pois a Lei 12.414/2011 prevê em seu art. 5º, VI, o direito do titular de “solicitar ao consulente a revisão de decisão realizada exclusivamente por meios automatizados”. Essa norma reveste-se de importância central quando aplicada ao sistema de avaliação de risco (credit scoring), pois possibilita ao consumidor a revisão de uma “nota” ou “valor” inadequado, que lhe foi atribuído com base em dados equivocados, desatualizados ou que não poderiam ter sido armazenados.
Equipe responsável pelo conteúdo: Dennys Antonialli, Francisco Brito Cruz, Beatriz Kira, Juliana Pacetta Ruiz e Fabiane Midori Nakagawa.