O Ministério da Justiça, por meio da sua Secretaria de Assuntos Legislativos, lançou, em parceria com o Centro de Tecnologia e Sociedade da Fundação Getúlio Vargas, debate público na plataforma culturadigital.br sobre a proteção de dados pessoais. A iniciativa é mais do que bem-vinda e o tema da mais atual relevância. Com a difusão das tecnologias da informação e comunicação, os dados pessoais são cada vez mais numerosos e precisos e alguns grupos empresariais controlam uma grande quantidade de dados com potencial de uso comercial e político. Com algumas ressalvas menores, o anteprojeto proposto é muito bem desenhado e regula de forma apropriada a atuação do setor privado na coleta, uso e disseminação de dados pessoais. Mas, estranhamente, isenta os órgãos governamentais de regulação adequada – quando eles deveriam ser os alvos preferenciais.
Sumariamente, o anteprojeto estabelece o princípio do controle dos dados pessoais pelo cidadão, dando a ele o direito de ser informado qual dado seu será coletado, para que fim e por quanto tempo, além de poder ter acesso posterior ao dado e atualizá-lo. O projeto estabelece ainda regras para o cruzamento e a comunicação dos dados. Essa regulamentação é da maior importância quando pensamos na quantidade de dados precisos que são hoje coletados: histórico de compras por empresas bancárias e de cartão de crédito; histórico de chamadas telefônicas por empresas de telefonia; histórico de leitura de livros por empresas de livros e textos digitais; histórico do envio de mensagens eletrônicas por provedores de email; histórico de termos de busca utilizados em serviços de busca para a Web (como Google); mapa das redes de relacionamentos pessoais por empresas que fornecem serviços de redes sociais (como Facebook); histórico de compras por programas governamentais de controle de emissão de nota fiscal (como o Nota Fiscal Paulista); histórico de locomoção por governos que fornecem cartões vinculados a identidade pessoal (como o Bilhete Único em São Paulo). A quantidade e a precisão dos dados hoje recolhidos são realmente assustadoras. E, se os dados forem combinados, permitem um monitoramento dos cidadãos muito mais amplo que o previsto na distopia 1984.
Prerrogativas contra abusos de poder
Mas por que a coleta e uso dos dados precisa ser regulada? Basicamente, há três tipos de usos nocivos dos dados pessoais: usos que ameaçam a integridade e o patrimônio individuais; usos que ameaçam a intimidade; e usos que ameaçam os direitos políticos. Os dados e informações pessoais precisam ser preservados para proteger informações sobre patrimônio, para não revelar informações de natureza íntima e para não permitir a perseguição política pelo Estado. Uma das grandes dificuldades em dar base social ao direito à privacidade (e não apenas à proteção dos dados pessoais) é que ricos e adúlteros são, por sua própria condição, furtivos, e os ativistas políticos, pouco numerosos. Por sorte, os ricos, embora furtivos, são muito poderosos e provavelmente devemos a eles a manutenção do que existe em termos de proteção à privacidade.
Historicamente, no entanto, foi a proteção dos direitos políticos que deu origem ao direito à privacidade – e essa dimensão até hoje relevante está sendo relegada a segundo plano pelo fato de empresas, e não governos, serem hoje os controladores dos maiores portfolios de dados pessoais. Foi no contexto da luta contra o Estado absolutista que se forjaram as demandas contra a invasão de domicílio (presente, por exemplo, na Petição de Direitos inglesa) e contra a violação de correspondência. Como a maior parte dos direitos civis, o direito à privacidade é negativo, isto é, é o direito de que o Estado não faça algo – no caso, não entre na sua casa ou leia a sua correspondência pessoal (a não ser em casos especiais, com autorização judicial). Muitos direitos civis são negativos porque são uma reação das sociedades europeias dos séculos 17 e 18 aos abusos do poder absolutista que se apropriou arbitrariamente de propriedade, violou as casas e a correspondência, impediu reuniões públicas etc. Quando o Estado democrático-liberal se estruturou, colocou no coração do sistema político prerrogativas dos cidadãos contra abusos de poder: direito de propriedade, liberdade de reunião e associação, liberdade de expressão, inviolabilidade do lar e da correspondência e até, em alguns casos, a liberdade de portar armas (como prevenção do abuso de poder). Acredito que é seguindo esta matriz histórica que devemos defender o direito de preservar a privacidade: como o direito que temos de não sermos monitorados pelo Estado e, portanto, que ele não restrinja nosso direito de associação, reunião e ação política.
Risco de uso político parece indireto
A situação torna-se mais complicada porque, ao contrário do que previam os distopistas, não é o Estado quem concentra informações pessoais críticas, mas as empresas. Com a revolução dos computadores pessoais e da internet, empresas como a Google passaram a concentrar informações amplas e precisas, sem qualquer paralelo histórico. Uma empresa como a Google tem acesso às palavras-chave usadas em pesquisas na Web (por meio da ferramenta de buscas Google), ao conteúdo das mensagens pessoais (por meio do gmail), às redes de relacionamento pessoal (por meio do Orkut) e ao histórico de leitura de livros (por meio do Google Books). Trata-se de um incrível acervo de informações pessoais, totalmente entrecruzadas, tão amplo e preciso que não pode sequer ser comparado ao nível de informação possuído por uma instituição totalitária eficiente como a Stasi, da antiga República Democrática Alemã. Essas informações críticas são guardadas por políticas de privacidade ambíguas e cheias de frestas que autorizam que a empresa faça diversos usos não revelados.
Mas que tipo de uso as empresas fazem destas informações? Como são atores fundamentalmente econômicos, a resistência dos consumidores em ceder informações pessoais é menor. Afinal, o processamento destas informações privadas pelas empresas claramente melhora a qualidade dos serviços. Por isso, o recolhimento desses dados parece razoável. O mesmo cidadão que se recusa a participar do programa governamental Nota Fiscal Paulista para proteger sua privacidade, não vê problema em utilizar os serviços de email da Google, mesmo que sua política de privacidade, disponível no site, claramente explicite que vai combinar informações do Gmail com outros serviços, como Orkut e a ferramenta de busca (‘Podemos combinar as informações enviadas da sua conta com informações de outros serviços do Google’) e dados de geolocalização (‘o Google pode receber informações sobre sua localização real – como sinais de GPS enviados por um aparelho celular – ou seu local aproximado – como um ID do celular’). Além disso, a política da Google diz que pode utilizar ‘informações que coletamos’, sem dizer quais são, para coisas vagas como ‘fornecer, manter, proteger e melhorar nossos serviços’. Mas como essas informações estão nas mãos de uma empresa, e não de um governo, o risco de uso político parece indireto, ainda que a Google deixe claro que compartilha informações coletadas para ‘satisfazer qualquer lei, regulamentação, processo judicial ou solicitação governamental aplicável’.
Exigência de autorização pode ser dispensada
O maior banco de dados com informações pessoais da história é assim regido por regras vagas demais que criam frestas legais para a colaboração com o Estado. Além disso, a Google é sediada nos Estados Unidos que, depois do 11 de setembro, aprovaram vergonhosas leis que autorizam, com parco controle, o repasse de informações a agências governamentais. E, como se não bastasse, há relatos documentados de colaboração de empresas ao arrepio mesmo destas leis permissivas, como a colaboração da AT&T com a National Security Agency (órgão de inteligência americano) revelada pelo New York Times em 2005. Qual é, então, a situação? 1) As empresas de tecnologia da informação e comunicação detêm hoje o maior acervo de informações pessoais jamais coletado – muitas delas de relevância política crítica; 2) Os Estados tem óbvio interesse nestas informações e a colaboração é documentada, principalmente no caso dos Estados Unidos; 3) Não sabemos a extensão da colaboração não documentada – mas ela pode ser muito grande; 4) O uso destas informações pelo Estado pode comprometer o direito de livre reunião, associação e ação política, se as informações forem utilizadas para espionagem político-partidária, para sabotar campanhas públicas, para orientar a repressão policial em manifestações de rua ou para criminalizar grupos que praticam desobediência civil.
À luz da fundada ameaça aos direitos políticos, por que o anteprojeto discutido pelo Ministério da Justiça abre tantas exceções para o Estado, que deveria ser o alvo primordial de regulação? No anteprojeto, a exigência de autorização para o tratamento de dados, por exemplo, será dispensada quando ‘for necessária para o exercício de funções próprias dos poderes do Estado’; os dados sensíveis (etnia, filiação partidária ou sindical, convicção política etc.) não poderão ser reunidos em bancos de dados sem autorização expressa do titular, salvo, mais uma vez, quando ‘for necessário para o exercício de funções próprias dos poderes de Estado’; enquanto empresas privadas serão obrigadas a cancelar os dados pessoais quando os dados deixarem de ser necessários ou pertinentes, os órgãos públicos poderão ‘negar o cancelamento e a oposição ao tratamento dos dados pessoais, quando for indispensável para […] a proteção da ordem pública’; por fim, a transferência internacional de dados só será permitida para países que protejam os dados no mesmo patamar, com a exceção, mais uma vez, de ‘quando for necessária para a cooperação internacional entre órgãos públicos de inteligência e de investigação’.
Ranking dos riscos
Essas exceções amplas e genéricas permitem que as salvaguardas à privacidade no tratamento de dados pelas empresas praticamente não se apliquem ao Estado, que sempre poderá alegar ‘estar no exercício de suas funções próprias’. O anteprojeto cria uma estranha hierarquia que coloca o risco de abuso das informações por empresas acima do risco de abuso pelo Estado. Mas qual seria o risco mais grave do uso deste conjunto de informações? Que uma empresa como a Google repasse dados de maneira irresponsável para qualquer outra empresa e os usuários sejam inundados de spam? Ou que algum funcionário da Google ou de alguma empresa parceira processe algumas dessas informações pessoais, identifique os usuários e chantageie aqueles que sonegam imposto ou que são adúlteros? Ou ainda que algum funcionário use as informações para planejar roubos e assaltos? Ou, finalmente, que a Google repasse para uma agência governamental, como a National Security Agency, o envolvimento do usuário em atividades políticas contrárias aos ‘interesses americanos’ e isso resulte em repressão e limitação do exercício de direitos civis e políticos?
Provavelmente não é adequado fazer um ranking dos riscos à privacidade, mas se fosse preciso fazer, colocaria os riscos a esses direitos políticos em primeiríssimo lugar.
******
Professor da Escola de Artes, Ciências e Humanidades da Universidade de São Paulo e pesquisador do G-Popai – Grupo de Pesquisa em Políticas Públicas para o Acesso à Informação