Notícia

Jota

A Transposição da Dicotomia entre o Público e o Privado

Publicado em 25 setembro 2015

Primeiro o site “Nomes Brasil”, e mais recentemente, o site “Tudo sobre Todos” tensionaram a questão da proteção de dados pessoais no cenário nacional. O “Nomes Brasil” permitia que o usuário pesquisasse, a partir do nome de uma pessoa, o seu número perante o cadastro nacional de pessoas físicas/CPF e, inclusive, o status de regularidade do contribuinte. Enquanto que o “Tudo sobre todos” alcançava uma gama de informações maior, viabilizando, por exemplo, o acesso à data de nascimento, local de trabalho, endereços e nomes de parentes e vizinhos, cujo critério de pesquisa poderia ser o nome ou o número do CPF de uma pessoa.

 

Em ambas situações, a discussão foi orientada pelo fato de que tais dados seriam públicos. O CPF é o número identificador do cidadão brasileiro para a realização de operações financeiras. Ele deteria, assim, essa funcionalidade pública para individualizar alguém no trato dessas relações sociais em específico. Ao passo que a justificativa do responsável pelo site “Tudo sobre Todos”, centrou-se na argumentação de que todas as informações disponíveis seriam, igualmente, públicas, tendo sido coletadas de cartórios, processos judiciais, diários oficiais, redes sociais, consultas em sites públicos e etc. Nesse sentido, tal plataforma “apenas” reuniria tais dados públicos dispersos, sendo esse o argumento em favor da sua legalidade.

 

A condução do discurso e do próprio debate em torno desses casos revela a importância de uma lei geral de proteção de dados pessoais, tal como propõe o Ministério da Justiça. Ao contrário do direito à privacidade construído em torno da liberdade negativa do direito de “estar só”, a salvo de interferências alheias e, enfim, da faculdade da pessoa retrair aspectos de sua vida ao domínio público; o direito à proteção de dados pessoais baliza-se por uma liberdade positiva de exercer sobre eles controle, pouco importando se eles são informações públicas ou privadas. Veja-se, portanto, a importância da proteção de dados pessoais angariar autonomia em relação ao direito de privacidade, já que ele não é calibrado por essa dicotomia entre público e privado.

 

Nesse sentido, o Anteprojeto de Lei de Proteção de Dados Pessoais/APLPDP do Ministério da Justiça visa empoderar o cidadão com o controle sobre seus dados pessoais. Pouco importa se este dado é público ou privado, o seu titular deverá consentir para o fluxo dessas informações (artigo 7°, caput), sendo esta a regra geral para legitimar qualquer atividade de tratamento de dados que podem identificá-lo (artigo 5°, inciso I). Essa lógica contará com normas e princípios correlatos, tal como o “princípio da finalidade” (artigo 6°, inciso I) pelo qual o seu titular deve ser informado sobre um propósito específico, explícito e legítimo para o tratamento de seus dados para, justamente, exercer uma esfera de controle sobre seus dados pessoais. A sua utilização fora daquele contexto autorizado por seu titular implica na sua ilegalidade. Essa chave de leitura é, ao mesmo tempo, essencial e simplifica o entendimento em torno da dinâmica própria da proteção de dados pessoais.

 

No caso dos “Nome Brasil” a disponibilização dos números de CPF deu-se em um outro contexto que o de identificação do cidadão para operações financeiras. De forma similar, o site “Tudo sobre Todos”, valeu-se de dados que foram utilizados para finalidades específicas de um determinado ato notarial, ato judicial, de uma rede social e assim por diante com relação às demais fontes de coleta dos dados pessoais. Em outros termos, tais plataformas trataram os dados pessoais dos cidadãos à revelia do seu consentimento e fora do contexto donde eles foram extraídos, o que determinaria a ilegalidade de tais aplicações.

 

Se por um lado, o APLPDP pode ser um divisor de águas para regulamentar a proteção de dados pessoais, tal como se extrai das normas acima referenciadas que superariam a dicotomia entre o público e o privado. Por outro lado, ainda existem nele resquícios desse pensamento binário que podem empolar a lógica própria da proteção de dados pessoais. No texto do APLPDP, os dados de acesso público irrestrito seria uma das exceções à necessidade de colher o consentimento do cidadão para o tratamento de seus dados pessoais (artigo 11, caput, e 12, inciso I).

 

Poderia se discutir que nos casos citados os dados tratados são públicos, porém não de acesso irrestrito. Esse seria o caso, por exemplo, das redes sociais, já que, somente, seus usuários podem acessá-las e não o público em geral. Além do mais, existem configurações de privacidade para limitar tal acesso apenas aos usuários que são seus “amigos”. Estabelecer-se-ia, assim, uma linha tênue entre as definições de dados públicos e dados públicos de acesso irrestrito, demandando-se um certo esforço interpretativo.

 

De qualquer forma, não seria difícil imaginar um caso de compilação de dados pessoais sensíveis, apesar de serem de acesso público irrestrito – indexados na rede por exemplo - como a orientação política, sexual e religiosa. Por conseguinte, tais compilações de dados estariam fora do escopo de controle dos cidadãos, abrindo-se uma porta perigosa para a desproteção de dados pessoais. Isto porque, no final das contas, pode haver um volume de informações detalhado sobre uma pessoa a compor um perfil muito preciso sobre a sua personalidade.

 

Esse cenário torna-se, ainda mais, preocupante se for levado em consideração que vivemos em tempos de Big Data e data aggregation. Diferentemente da técnica “tradicional” de mineração de dados, o Big Data é uma tecnologia que descarta a etapa prévia de estruturação de dados, o que possibilita o processamento de dados em um volume, velocidade e variedade maior (os seus três famosos “Vs”). Com base em tal progresso qualitativo e quantitativo permite-se uma agregação descomunal de dados, inferindo-se padrões de comportamentos e preferência dos seus titulares que são revelados após tal tratamento de dados. Dito de outra forma, outras informações pessoais podem ser extraídas de uma massa de dados, sendo este, aliás, o desiderato último da mineração de dados. O conjunto agregado dessas informações pode estruturar um perfil bem detalhado a orientar decisões, seja elas automatizadas ou não, sobre a pessoa de carne e osso, ora intermediado por seus dados pessoais. Sendo essas bases de dados compostas por “dados de acesso público irrestrito”, os cidadãos estariam sujeitos a tais processos de decisões à sua revelia, já que tal tipo de tratamento estaria fora da sua esfera de controle por conta de tal exceção contida no APLPDP.

 

Possibilitar-se-ia a formação de verdadeiras “caixas-pretas” sobre os cidadãos que retirariam a prometida esfera de controle sobre seus dados pessoais. Essa falta de transparência é o que norteia, aliás, a chamada indústria dos data bokers. Resumidamente, os data brokers são organizações que processam dados pessoais de diversas fontes para vender e revender tais informações com diferentes propósitos, o que perpassa desde a prevenção de fraudes até marketing e publicidade direcionada. Essas fontes são as mais variadas possíveis, incluindo-se dados de acesso público, como, por exemplo, aqueles extraídos de base de dados governamentais. No final das contas, muitos cidadãos têm sido “catalogados”, sujeitando-se a um processo de tomada de decisões que nem sequer têm conhecimento a respeito. A exceção disposta no APLPDP tem o potencial de ofuscar ainda mais essa indústria. Os data brokers poderiam, em tese, valer-se de base de dados de acesso público irrestrito para continuar operando às escuras, sem que haja qualquer intervenção (entenda-se controle) do cidadão sobre seus dados pessoais.

 

Veja-se, pois, o risco de se operar na dicotomia reducionista entre o público e privado, ainda que sob a nova dimensão do “acesso público irrestrito”. Corre-se o risco de se esvaziar, significativamente, a esfera de controle do cidadão sobre seus dados pessoais. Em tempos de Big Data e de agregação de dados, faz-se menos sentido, ainda, trabalhar dentro desse pensamento binário. A premissa de que os dados pessoais – sejam ele públicos ou privados – devem gozar da mesma proteção legal permanece sendo uma questão fundamental e da ordem do dia, seja para a projeção de novas plataformas e modelos de negócio, seja para um olhar crítico em torno do horizonte normativo que se aproxima no cenário nacional.

 

Bruno Ricardo Bioni é mestrando em Direito na USP. Pesquisador da Fundação de Amparo à Pesquisa do Estado de São Paulo/FAPESP e do Grupo de Pesquisa em Políticas Públicas para Acesso à Informação/GPoPAI da USP (Projeto Vigilância e Privacidade). Foi visiting researcher do Centro de Pesquisa de Direito, Tecnologia e Sociedade da Universidade de Ottawa.

 

Márcio Moretto Ribeiro é professor doutor da Escola de Artes Ciências e Humanidades da USP e membro do Grupo de Pesquisa de Políticas Públicas para Acesso a Informação/GpoPAI da USP.