Sunday, 17 de November de 2024 ISSN 1519-7670 - Ano 24 - nº 1314

Precisamos falar sobre a LGPD

Foto: Markus Spiske/Unsplash

A expansão da Inteligência Artificial (IA), que hoje abarca vários setores de atividade, baseia-se no desenvolvimento de novas tecnologias e processos de extração, armazenamento, transmissão e processamento de dados, com ganho de velocidade, confiabilidade e redução de custo em relação aos procedimentos precedentes. Um resultado direto dessa expansão é o surgimento do Big Data, que se caracteriza, dentre outros aspectos, por 3V — grande volume de dados, variedade de formatos e de fontes (imagens, vídeos, sons, por exemplo) e imensa velocidade. Diante dessas transformações digitais, a pergunta que se coloca é: como proteger o público de técnicas de IA e Big Data cada vez mais invasivas e, muitas vezes, pouco perceptíveis para não especialistas? Surgia, assim, a Lei 13.709/2018, a Lei Geral de Proteção de Dados do Brasil (LGPD), sancionada em 14 de agosto de 2018, com entrada em vigor em 18 de setembro de 2020 e aplicação de multas desde agosto de 2021.

A LGPD está longe de ser pioneira. De fato, outros 120 países já possuem legislação similar envolvendo a proteção de dados pessoais. Mesmo em relação ao país, ela preenche lacunas, substitui ou complementa outros 40 diplomas legais que já regulamentavam o tema de forma esparsa e fragmentária. O processo que deu origem a ela não foi rápido e sem polêmicas: as discussões e controvérsias levaram oito anos até se chegar ao texto final. Agora que a lei entrou em vigor, iniciou-se um novo processo: a sua retirada do papel. Ela tem de “pegar”, ser conhecida e reconhecida, orientar decisões, tornar-se uma referência para os operadores do direito e para a sociedade. Neste artigo, iremos abordar alguns destaques das leis de proteção de dados e refletir sobre o papel da imprensa em fazer a LGPD brasileira entrar na corrente social. Afinal, a LGPD tem virado pauta? E com quais enquadramentos? E quais temas uma cobertura jornalística de qualidade deve necessariamente incluir?

Dando um google na cobertura da LGPD

Ao pesquisar o termo “LGPD” no google, no dia 13 de outubro de 2021, reuniu-se um compilado de matérias jornalísticas sobre o tema, a partir de critérios de busca previamente definidos, descritos no Quadro 1. Fez-se uma delimitação de leitura de apenas jornais online da mídia tradicional.

Inseriu-se o termo “LGPD” no google em “Buscar”. Com os resultados, as autoras filtraram as buscas mediante a seleção “Recentes” e “Organizar por relevância”, obtendo acesso a todas as publicações sobre o tema, com detalhamento pela relevância do conteúdo. Após a leitura dos títulos e das publicações, foram selecionadas as matérias a partir dos critérios de inclusão e exclusão e lidas as publicações na íntegra, o que culminou na seleção final dos textos, totalizando 13 publicações, apresentadas a seguir.

Nesta breve amostra, observou-se que há relativamente poucas matérias sobre o assunto. O olhar prioritário da imprensa é sobre as punições e os impactos da lei para empresas e organizações. Faltam análises mais aprofundadas sobre as implicações da lei para o cidadão, inclusive sobre as tensões entre direito de acesso à informação e direito à privacidade.

Uma lei sensível

Fabrice Rochelandet (2015), na apresentação do número da revista Réseaux de 2015, com um dossiê sobre proteção da vida privada na era digital, destaca que os dados pessoais e a vida privada “tornaram-se um dos maiores assuntos da era digital”. As razões da regulação da proteção dos dados pessoais e da vida privada são “formalizar as trocas, explicitá-las”, de maneira que haja um consentimento efetivo, por opção, e “não de uma renúncia a dominar os termos desse consentimento”, numa seara virtual, onde, sem regulação os indivíduos se encontram desorientados. O conceito de “consentimento esclarecido” dos indivíduos aparece como um dos princípios para a proteção dos dados pessoais. Nessa apresentação, o autor observa a complexidade do tema em virtude de sua “dupla face”. De um lado, a multiplicação das fontes de extração de dados pessoais; de outro, o crescimento da capacidade de tratá-los e de explorá-los. Essas duas faces da questão, segundo ele, “submergem tanto os indivíduos quanto as autoridades de regulação”.

De fato, leis que visam à proteção de dados pessoais, em todas as partes do mundo contemporâneo, encontram-se tensionadas entre dois direitos fundamentais: o direito de acesso à informação e o direito à privacidade. E esses dois direitos têm seus alcances e limites testados de forma crescente no ambiente digital. Enumerando as ações na Internet que devem ser objeto de reflexões, Rochalandet (2015) cita, por exemplo: exposição pessoal nas redes sociais, geolocalização generalizada, pirataria de bases de dados de clientes, exploração de rastros digitais; vigilância cada vez mais sofisticada dos comportamentos dos internautas, acumulação de dados de consumo, extensão incessante dos domínios da vida conectada (casa, celulares, automóveis etc.); (re) identificação das pessoas a partir de dados anonimizados, conhecimento antecipado dos comportamentos individuais; desenvolvimento do mercado de revenda de dados pessoais, transferências internacionais de dados.

Da lista acima, num paralelo com a LGPD brasileira, reteremos a possibilidade de (re)identificar os dados anonimizados. A LGPD, no seu artigo 12, define que, para os fins da Lei, os dados “anonimizados não serão considerados dados pessoais”. Ainda que o processo de “anonimização” esteja previsto no inciso XI, artigo 5º da Lei, de modo a que um dado perca a “possibilidade de associação, direta ou indireta, a um indivíduo”, estudos têm mostrado que associações sempre são possíveis.

No número já citado da revista Réseaux, Rallet, Rochelandet e Zolynski (2015), observam, inicialmente, que a questão envolve um olhar interdisciplinar considerando que seus aspectos econômicos, jurídicos, sociais e técnicos estão intrinsecamente ligados. Nesse artigo, os autores retomam o conceito de Privacy by design, formulado, nos anos 1990, pela canadense Ann Cavoukian. Segundo o Privacy by design é preciso incorporar, já na concepção dos dispositivos informáticos, regras de proteção dos dados pessoais e da vida privada utilizados pelos indivíduos, compreendendo sete princípios. Esse conceito está incorporado às leis atuais de proteção de dados pessoais, incluindo a nossa LGPD. Entretanto, os autores são céticos quanto às possibilidades reais desse modelo funcionar, tendo em vista que, segundo eles, “a economia digital fundamenta-se no princípio inverso, ou seja, a propensão dos indivíduos a divulgar seus dados pessoais” (RALLET; ROCHELANDET; ZOLYNSKI, 2015, p. 25, tradução nossa).

Desse modo, existe uma contradição nesse princípio, que poderia ser resumida assim: a divulgação de dados pessoais, às vezes “muito sensíveis”, faz parte das comunicações das pessoas nas redes sociais. São essas pessoas que alimentam as redes virtuais. Para os autores, é possível constatar uma “poderosa convergência (tácita) de interesses” entre os usuários e os prestadores de serviço no meio digital. No caso da nossa LGPD, por exemplo, isso fica claro. No seu Art. 7º — O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses — inciso X, § 4º, lê-se que é “dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.” Ou seja, dados pessoais de um indivíduo (que muitas vezes levam aos dados de terceiros), publicados nas redes sociais, por exemplo, estão fora desse “consentimento”.

Assim, segundo os autores, adotar os princípios do Privacy by design não é suficiente. É preciso avançar, igualmente, em relação ao conceito de “consentimento esclarecido”, este também presente em todas as leis de proteção de dados pessoais. Eles propõem, então, acrescentar o conceito de Privacy by using o qual supõe a noção de “comportamento esclarecido” dos internautas. Para adotar esse conceito, os autores destacam a adoção de ferramentas específicas, as quais teriam como objetivo lidar com dois problemas: identificar quais dados pessoais são coletados e para onde vão, por um lado; por outro, perceber as consequências não intencionais de tal ou tal comportamento de privacidade. O primeiro, seria um problema de informação; o segundo, uma questão de aprendizagem. No coração de tudo, está o fato de que, de acordo com os autores, na atualidade, a vida privada necessita de “processos de desenvolvimento individuais e coletivos visando à construção de uma norma socialmente aceita e à qual os indivíduos irão aos poucos se acostumando” (RALLET; ROCHELANDET; ZOLYNSKI, 2015, p. 51, tradução nossa).

Dessa forma, um dos pilares do Privacy using seria a transparência sobre a coleta e o tratamento dos dados pessoais direcionada aos seus titulares. Os autores citados acima preveem uma espécie de “diário de bordo” com as informações sobre coleta e tratamento dos seus dados, finalidades etc. Nesse sentido, a LGPD prevê no seu artigo 9º, incisos I a VII, que o titular “tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca da finalidade específica do tratamento; forma e duração do tratamento, observados os segredos comercial e industrial; identificação do controlador; informações de contato do controlador; informações acerca do uso compartilhado de dados pelo controlador e a finalidade; responsabilidades dos agentes que realizarão o tratamento e direitos do titular.

O segundo aspecto diz respeito ao desenvolvimento da capacidade de aprendizagem dos indivíduos diante do problema da privacidade. Segue-se, então, a noção de “comportamento esclarecido”, um conceito central. Nesse caso, os indivíduos são preferencialmente incentivados a aprender do que a reagir (consentimento); a se colocarem em “situação de aprendizagem” graças a um conhecimento mais aprofundado do seu ambiente informacional e das consequências de seus comportamentos de divulgação de informações pessoais. Para os autores, desses “comportamentos esclarecidos” nasceriam novas formas de privacidade. No que diz respeito à LGPD brasileira, o termo “consentimento” aparece 35 vezes na Lei e em nenhuma delas o titular dos dados aparece como sujeito autônomo, mas sempre “reativo”: ele responde se consente ou não e em que condições. Não há, na LGPD, previsão dessa educação para um “comportamento esclarecido” e sim uma concordância, conforme se pode ler no inciso XII, do artigo 5º “consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (grifo nosso).

Finalmente, sendo o Estado, sobretudo em sua dimensão executiva, o maior produtor, custodiador (pode ser “controlador” e “operador”, na terminologia da LGPD) de dados pessoais, resta saber em que medida esses dados estarão de fato protegidos, conforme podemos constatar no artigo 26 que trata do “uso compartilhado de dados pessoais pelo Poder Público”. O § 1º diz que é “vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso”, com duas exceções, dentre elas, a “execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado”, observado o disposto na Lei nº 12.527” (grifos nossos). Considerando-se uma perspectiva ultraliberal da economia que preconiza um estado mínimo, com o aumento das privatizações, essa possibilidade deixada exclusivamente nas mãos do Estado é preocupante.

Desafios de uma cobertura qualificada

Conforme observamos neste breve relato, o cenário da proteção de dados pessoais no Brasil é complexo, desafiador e exige o envolvimento do jornalismo em discuti-lo e aprofundá-lo. As mudanças tecnológicas que permitiram a expansão na produção, armazenamento e extração de dados não corresponderam ao aumento da aprendizagem sobre o tema, gerando uma série de riscos à privacidade.

A LGPD se esforça para regular a proteção de dados pessoais, mas tem seus limites e contradições. O principal deles é basear-se prioritariamente no consentimento do indivíduo, quando o que está em jogo, muitas vezes, não é a concordância, mas o conhecimento sobre quais dados são coletados e utilizados e os problemas que podem advir disso. Mais do que aceitar ou não os cookies de determinada página, o indivíduo precisa desenvolver um comportamento crítico no mundo digital e ser o sujeito da emergência de uma nova privacidade, em vez de simplesmente oferecer seus dados pessoais em uma bandeja nas redes sociais, por exemplo. Outro limite é considerar dados anonimizados como fora de proteção da lei, quando se sabe que as tecnologias permitem, muitas vezes, fazer associações.

Para a formação de um público esclarecido nessa temática, o jornalismo é fundamental. A LGPD não tem sido uma pauta constante e sua cobertura prioriza as punições e as adaptações que as organizações devem fazer para escapar dela. É necessário debater a LGPD tendo em conta o comportamento do indivíduo e os riscos a que está exposto — inclusive pelo Estado como grande operador e controlador de dados — como enquadramentos principais. Precisamos falar profundamente sobre a LGPD.

***

Elen Geraldes é doutora em Sociologia, com pós-doutorado em Ciência da Informação pela Universidade de Brasília (UnB). Graduação em Comunicação pela USP. Professora do Curso de Comunicação Organizacional da FAC-UnB. E-mail: elenger@ig.com.br

Georgete Medleg Rodrigues é doutora em História. Professora do Programa de Pós-graduação em Ciência da Informação e do Curso de Graduação em Arquivologia da UnB. E-mail: medleg.georgete@gmail.com

Gabriela Tyemi Kaya é mestranda em Ciência da Informação e Bacharel em Comunicação Organizacional pela UnB, especialista em Relações Internacionais pelo IBMEC-SP. E-mail: tyemikaya@gmail.com

___

Referências

ALVES, Juliana. LGPD dá respaldo para dados não serem usados inadequadamente, diz especialista. CNN Brasil, São Paulo, 18 set. 2021. Disponível em: https://www.cnnbrasil.com.br/business/lgpd-da-respaldo-para-dados-nao-serem-usados-inadequadamente-diz-especialista/. Acesso em: 13 out. 2021.

BRAUN, Daniela.Sanções da LGPD devem ser aplicadas em último caso, diz advogada. Valor Econômico, [s.l], 1 out. 2021. Disponível em: https://valor.globo.com/empresas/noticia/2021/10/01/sancoes-da-lgpd-devem-ser-aplicadas-em-ultimo-caso-diz-advogada.ghtml. Acesso em: 13 out. 2021.

CARDOSO, Letycia. Lei para inglês ver: sem cobrança de multa, LGPD é desrespeitada por empresas. Extra Globo, [s.l], 13 jun. 2021. Disponível em: https://extra.globo.com/economia/lei-para-ingles-ver-sem-cobranca-de-multa-lgpd-desrespeitada-por-empresas-rv1-1-25058151.html. Acesso em: 13 out. 2021.

CNN BRASIL. Empresas não conseguem se adaptar à lei de proteção de dados, aponta pesquisa. CNN Brasil, São Paulo, 20 ago. 2021. Disponível em: https://www.cnnbrasil.com.br/business/empresas-nao-conseguem-se-adaptar-a-lei-de-protecao-de-dados-diz-pesquisa/. Acesso em: 13 out. 2021.

FERNANDES, Aryel. Dados pessoais: 8 cuidados para não ser penalizado pela LGPD a partir de agosto. ISTOÉ Dinheiro, [s.l], 28 jul. 2021. Disponível em: https://www.istoedinheiro.com.br/dados-pessoais-8-cuidados-para-nao-ser-penalizado-pela-lgpd-a-partir-de-agosto/. Acesso em: 13 out. 2021

LEAL, Martha; LEAL, João Paulo. Impactos da LGPD na incorporação imobiliária. Estadão, São Paulo, 13 out. 2021. Disponível em: https://politica.estadao.com.br/blogs/fausto-macedo/impactos-da-lgpd-na-incorporacao-imobiliaria/. Acesso em: 13 out. 2021.

MEDEIROS, Israel. LGPD: Empresas e órgãos públicos podem ser punidos a partir de agosto. Correio Braziliense, Brasília, 5 jul. 2021.Disponível em: https://www.correiobraziliense.com.br/brasil/2021/07/4935540-regras-para-resguardar-privacidade-do-cidadao-pode-comecar-a-ser-usada-em-agosto.html. Acesso em: 13 out. 2021.

MELO, João. LGPD: 7 pontos importantes sobre a implementação e aplicação da lei. R7, [s.l], 8 ago; 2021. Disponível em: https://noticias.r7.com/tecnologia-e-ciencia/fotos/lgpd-7-pontos-importantes-sobre-a-implementacao-e-aplicacao-da-lei-08082021#/foto/6. Acesso em: 13 out. 2021.

MELO, Renã. LGPD: privacidade e proteção de dados como diferencial de mercado. EXAME, [s.l], 10 set. 2021. Disponível em: https://exame.com/bussola/lgdp-privacidade-e-protecao-de-dados-como-diferencial-de-mercado/. Acesso em: 13 out. 2021.

NAÍSA, Letícia. LGPD: Veja 9 direitos que todo brasileiro tem e precisa saber. UOL, São Paulo, 6 ago. 2021. Disponível em: https://www.uol.com.br/tilt/noticias/redacao/2021/08/06/lgpd-8-direitos-que-todo-brasileiro-tem—-e-precisa-saber.htm?cmpid=copiaecola. Acesso em: 13 out. 2021.

RALLET, Alan; ROCHELANDET, Fabrice; ZOLYNSKI, Célia. De la Privacy by Design à la Privacy by Using. Regards croisés droit/économie. Réseaux, Janvier-mars, 2015. Paris: La Découverte. Disponível em: https://www.cairn.info/revue-reseaux-2015-1-page-15.htm. Acesso em: 15 jan. 2020.

ROCHELANDET, Fabrice. Présentation. Réseaux, Janvier-mars, 2015. Paris: La Découverte. Disponível em: https://www.cairn.info/revue-reseaux-2015-1-page-15.htm. Acesso em: 15 jan. 2020.

SILVA, Diogo. CRM como um aliado na adequação do setor de vendas à LGPD. Estadão, São Paulo, 25 set. 2021. Disponível em: https://politica.estadao.com.br/blogs/fausto-macedo/crm-como-um-aliado-na-adequacao-do-setor-de-vendas-a-lgpd/. Acesso em: 13 out. 2021.

TURBIANI, Renata. Multas e sanções da LGPD começam a ser aplicadas em agosto; sua empresa está adequada?. Época Negócios, [s.l], 15 jul. 2021. Disponível em: https://epocanegocios.globo.com/Tecnologia/noticia/2021/07/multas-e-sancoes-da-lgpd-comecam-ser-aplicadas-em-agosto-sua-empresa-esta-adequada.html. Acesso em: 13 out. 2021.

UNINCOR. O que é LGPD? Você sabia que a lei começa a valer a partir de 21 de agosto?. G1, São Paulo, 28 mai. 2021. Disponível em: https://g1.globo.com/mg/sul-de-minas/especial-publicitario/unincor/universidade-unincor/noticia/2021/05/28/o-que-e-lgpd-voce-sabia-que-a-lei-comeca-a-valer-a-partir-de-21-de-agosto.ghtml. Acesso em: 13 out. 2021.