Texto: Luciano Gallas*
A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) foi sancionada em agosto de 2018 com o objetivo de “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”, conforme determinado em seu Artigo 1º. Ela entraria em vigor em fevereiro de 2020, 18 meses após a aprovação e depois de pelo menos oito anos de debates envolvendo o poder público e os diversos setores da sociedade, mas uma Medida Provisória de dezembro de 2018 adiou a vigência para agosto de 2020. O período anterior à entrada em vigor da legislação, conhecido como “vacatio legis” no meio jurídico, é tido como necessário para a adequação dos diversos atores que serão afetados por ela.
A Lei 13.709/2018 é considerada um avanço significativo em termos de proteção à privacidade e à liberdade de expressão no Brasil, tanto no meio on-line quanto no off-line, constituindo uma base legal de segurança para transações e o intercâmbio internacional de dados. Sua aprovação tardia em relação a outros países demonstra o quanto o Brasil ficou atrasado em termos de regulação de coleta e tratamento de dados pessoais. Somente na América do Sul, Argentina, Chile, Colômbia, Peru e Uruguai já contam atualmente com legislações específicas no setor – os dois primeiros, com leis implementadas nos anos 2000 e 1999, respectivamente. Na América Latina, ainda Costa Rica, Honduras, México, Nicarágua, Panamá e República Dominicana, entre outros países, possuem normativas do tipo. Em todo o mundo, são mais de 125 países com legislações de proteção de dados.
Na Europa, praticamente todas as nações já têm legislação regulatória para a coleta e processamento de dados. No continente, data de janeiro de 1981 a publicação de texto normativo para a proteção de dados de caráter pessoal, o qual constituiu a base para a elaboração de uma diretiva de 1995. Esta, por sua vez, viria a ser revogada pela publicação do Regulamento nº 679 do Parlamento Europeu e do Conselho da União Europeia, de abril de 2016, que entrou em vigor em maio de 2018. A norma europeia regula, inclusive, as relações comerciais entre as nações europeias e países de outros continentes, pois se aplica ao tratamento de dados de pessoas residentes na Europa em qualquer caso, mesmo quando a empresa responsável pela coleta e/ou o tratamento das informações tenha sede em outros continentes. A criação da lei brasileira se torna, portanto, uma condição para que o Brasil preserve suas relações comerciais com os países europeus.
“A Lei Geral de Proteção de Dados Pessoais vem para tentar regular um mercado de coleta massiva e indiscriminada de dados dos cidadãos e de tratamento, compartilhamento e, muitas vezes, venda destas informações, no setor privado e até mesmo pelo poder público”, afirma Bia Barbosa, coordenadora executiva do Intervozes, entidade integrante da Coalizão Direitos na Rede. Segundo ela, a lei é fundamental para combater discriminações. “Um serviço pode ter cobranças diferenciadas em função dos perfis de consumo, por exemplo, como no caso do plano de saúde que tem acesso ao tipo de medicamento que você usa e cuja compra está sendo monitorada sem você saber. Ou pode ocorrer discriminação em um emprego, em função de dados pessoais que chegaram ao conhecimento daquela empresa sem que você soubesse”, explica a jornalista.
Do ponto de vista do setor privado, também há uma avaliação positiva quanto à criação da legislação. “A Lei procura dar mais transparência e traçar limites na maneira como hoje os dados pessoais são usados e dar direitos aos titulares”, diz Andriei Gutierrez, coordenador do Comitê Regulatório da Associação Brasileira das Empresas de Software (ABES) e cofundador do Movimento Brasil, País Digital. Para ele, a Lei 13.709/2018 tem também o papel de “estimular a confiança do cidadão de que ele pode seguir usando serviços e dispositivos, pois, de uma certa maneira, ele vai estar amparado juridicamente”. “Se a Lei for usada de uma maneira transparente e que atenda às expectativas, o cidadão vai ter mecanismos de apelação jurídica. E essa confiança é essencial para fazer avançar todo o desenvolvimento econômico e social baseado em dados”, completa.
Apesar dos avanços obtidos com a futura vigência da Lei Geral de Proteção de Dados Pessoais, há ainda muitos desafios a serem enfrentados. O principal deles é a atuação independente de uma Autoridade Nacional de Proteção de Dados (ANPD) prevista na legislação, a qual foi criada por medida provisória no apagar das luzes do governo Michel Temer, no dia 28 de dezembro de 2018.
Autoridade vinculada à Casa Civil
Em uma legislação tão complexa como a Lei Geral de Proteção de Dados Pessoais, é essencial a atuação autônoma e independente de uma agência reguladora. É papel desta autoridade fiscalizar o cumprimento da lei tanto pelo setor privado quanto pelo poder público e orientar quanto às formas previstas na legislação para a coleta e o tratamento dos dados. No entanto, o texto da legislação sofreu vários vetos por parte do Poder Executivo, o principal deles justamente à criação de uma Autoridade Nacional de Proteção de Dados. Na última sexta-feira do mês de dezembro, entre os atos derradeiros de Michel Temer à frente do Executivo, foi publicada no Diário Oficial da União a Medida Provisória (MP) 869/2018 de criação da autoridade, mas com sérias limitações à sua autonomia. A MP tem validade de 60 dias, prorrogável por mais 60, período em que deve ser aprovada pelas duas casas do Congresso para que efetivamente entre em vigência.
A criação tanto da Autoridade Nacional de Proteção de Dados quanto do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade estava prevista, respectivamente, nas seções I e II do capítulo IX da Lei 13.709. Contudo, a MP de Temer criou um órgão vinculado à Casa Civil – e, consequentemente, à Presidência da República, o que compromete a independência de suas decisões e sua autonomia orçamentária, deixando-a a mercê dos interesses econômicos e políticos do governo de turno. Também compromete a separação de poderes, pois um órgão vinculado ao Poder Executivo Federal deverá fiscalizar a coleta e o tratamento de dados pelos poderes Legislativo e Judiciário, assim como pelos demais entes federativos (municípios, estados e Distrito Federal). Além disso, a MP altera a Lei 13.709/2018, abrindo espaço para que os pedidos de revisão feitos por usuários sobre decisões automáticas tomadas nos sistemas de tratamento de dados não tenham que ser feitos necessariamente por seres humanos – ao contrário do que ocorre na regra europeia, por exemplo.
A Medida Provisória de Temer ainda desvincula a nomeação dos cinco membros do Conselho Diretor da Autoridade Nacional de Proteção de Dados de sua aprovação ou sabatina pelo Congresso Nacional, diferentemente do que ocorre hoje, por exemplo, com outras duas autoridades reguladoras: a Agência Nacional de Telecomunicações (Anatel), que fiscaliza a telefonia fixa e móvel e as transmissões de rádio e televisão, e o Conselho Administrativo de Defesa Econômica (Cade), que apura situações de abuso do poder econômico. Além de facilitar o compartilhamento de dados entre o poder público e o setor privado, comprometendo a privacidade dos usuários e enfraquecendo a Lei antes mesmo de sua entrada em vigor.
Em reunião com o setor privado à época da aprovação da lei, Michel Temer apontava entre suas restrições à criação da ANPD a possibilidade de questionamentos jurídicos futuros sobre um ato do Congresso Nacional criar uma estrutura administrativa no âmbito do Poder Executivo, o que para ele caracterizaria um “vício de iniciativa” – já que este tipo de órgão só poderia ser criado por um ato do Executivo. Outra ressalva do ex-presidente dizia respeito à Lei de Responsabilidade Fiscal, dadas as limitações impostas para a criação de novos gastos nos últimos seis meses de governo. Por fim, um terceiro fator motivador para o veto à criação da autoridade reguladora alegado por Temer durante a reunião dizia respeito especialmente à autonomia funcional que a ANPD teria diante do governo. Ou seja, na visão de Michel Temer, a independência de atuação da autoridade, que seria justamente a característica essencial para que pudesse atuar efetivamente como uma agência reguladora, era vista por Michel Temer como um possível problema para o governo.
Sem independência, lei será enfraquecida
A atuação independente de uma agência reguladora é essencial para que a lei possa ser aplicada adequadamente. Do contrário, a legislação será mais uma entre tantas a existirem somente no papel, sem ter efeito prático na organização social. A sua independência administrativa também é imprescindível quando se leva em conta que tal autoridade deve fiscalizar o próprio poder público, que igualmente precisa responder à legislação. “Caso essa autoridade esteja subordinada à Casa Civil ou à Presidência da República, está muito claro que seu poder de fiscalização e de sanção sobre os órgãos públicos vai ser muito comprometido”, destacava Bia Barbosa antes da publicação MP 869/2018, lembrando que todas as esferas federativas terão que respeitar as formas de tratamento e os cuidados previstos na Lei em relação aos dados pessoais dos cidadãos. E ressaltava que “é por isso que a imensa maioria dos países que têm leis de proteção de dados pessoais têm também a atuação de autoridades independentes, para poder garantir a fiscalização do cumprimento da legislação por parte do poder público”.
Para Flávia Lefèvre, membro do Intervozes e representante da sociedade civil no Comitê Gestor da Internet no Brasil (CGI.br), sem a atuação independente e autônoma de uma autoridade com efetivos poderes regulatórios, “a lei passa quase a ser inócua, na medida em que a regulação e fiscalização por um órgão especializado são fundamentais no setor, dada a complexidade da tecnologia envolvida”. Ela enfatiza que não há como os cidadãos controlarem todos os aspectos da aplicação da lei sem a atuação autônoma de uma agência reguladora provida de “ferramentas institucionais que promovam a aplicação da lei sobre os agentes econômicos”.
A advogada aponta que são justamente os governos que mais coletam e tratam dados dos cidadãos, especialmente informações sensíveis, e que, até para fortalecer suas relações comerciais junto à Organização para a Cooperação e o Desenvolvimento Econômico (OCDE), o Brasil “precisa atender a uma série de requisitos, entre eles, possuir não só uma lei de proteção de dados pessoais, mas também um organismo de regulação e controle”. E ressalta que
a lei perde efetividade sem uma Autoridade de Proteção de Dados que tenha de fato autonomia e independência em relação ao governo.
Andriei Gutierrez também considera a atuação da ANPD como fundamental para a aplicação da lei, principalmente em pontos da legislação que ainda carecem de regulamentação. Para ele, o mais importante da autoridade não seria a regulamentação em si ou a aplicação da lei e de multas. “Eu considero que o mais importante dessa autoridade está relacionado à transparência e a um uso responsável dos dados, ela tem o papel fundamental de ajudar a sociedade brasileira a mudar sua mentalidade”, pondera.
De acordo com o coordenador do Comitê Regulatório da ABES, a Autoridade Nacional de Proteção de Dados terá, assim, o papel fundamental de organizar campanhas de educação e de treinamento, especialmente dedicadas a pequenas e médias empresas para que melhorem suas práticas, mas também direcionadas à conscientização dos usuários em geral sobre a importância do tema. Para ele,
talvez o maior desafio seja mudar a mentalidade do setor privado, do governo e do cidadão. É preciso que tenha alguém pensando isso e a Autoridade de Proteção de Dados tem essa função. Mais importante até do que multar e regulamentar.
Um consenso possível
A Lei Geral de Proteção de Dados Pessoais foi gestada ao longo de toda a última década, tendo recebido contribuições de amplos setores da sociedade para a sua elaboração. Ainda em 2010, ocorreu o primeiro processo de consulta pública sobre seu teor, retomado depois, em 2015, com uma segunda consulta. Neste intervalo de cinco anos, as discussões sobre a necessidade de uma lei que protegesse o direito à privacidade dos usuários e a liberdade de expressão no meio digital continuaram no contexto das organizações da sociedade civil. Ao mesmo tempo, outras concepções, focadas majoritariamente no interesse econômico, defendiam uma legislação que concedesse maior liberdade para o tratamento e compartilhamento das informações. Somente após a segunda consulta pública é que o texto foi apresentado na Câmara dos Deputados, na forma do Projeto de Lei da Câmara (PLC) 53/2018. Na Casa, foi então tema de diversas audiências públicas.
De acordo com o deputado federal Orlando Silva (PCdoB-SP), relator do projeto da Lei Geral de Proteção de Dados Pessoais na Câmara, a legislação tem um caráter principiológico: “Consolidamos conceitos de forma precisa, como o de dado pessoal, dado sensível, dado anônimo, legítimo interesse, consentimento, segurança da informação e responsabilidades para quem violar a privacidade”. Segundo ele, a lei proposta também é flexível para que se adapte às inovações tecnológicas, além de ter incorporado “o que há de mais avançado na legislação internacional”.
O parlamentar enfatiza que a legislação tornou-se ainda mais urgente depois do mega escândalo de vazamento de dados de 87 milhões de usuários do Facebook no início de 2018, o que afetou diretamente 443 mil brasileiros. Também lembra que, desde maio de 2018, entrou em vigência plena o Regulamento da União Europeia que veda a transferência internacional de dados para países que não possuam legislação capaz de garantir a mesma proteção de dados estabelecida na Europa. Sem uma lei que regule de modo eficaz a coleta e o tratamento de dados pessoais, portanto, o Brasil pode perder investimentos e se isolar cada vez mais no cenário mundial, ficando ultrapassado em termos de inovação tecnológica.
“O texto final foi o mais consensuado e equilibrado possível, dentro de uma tensão existente entre liberdade e direitos fundamentais e os interesses econômicos no tratamento dos dados pessoais”, avalia Bruno Bioni, advogado do Núcleo de Informação e Coordenação do Ponto Br/NIC.br e membro da Rede Latino-Americana de Estudos sobre Vigilância, Tecnologia e Sociedade (Lavits). Para ele, houve ampla participação da sociedade civil tanto nas consultas públicas como também nos debates realizados no Congresso Nacional, o que gera um saldo positivo. “A lei aprovada contempla uma função dupla de qualquer lei de proteção de dados pessoais: proteger as liberdades fundamentais do cidadão e, ao mesmo tempo, garantir o uso dos dados pessoais dentro de várias atividades econômicas dependentes destes dados, não só no âmbito do setor privado, mas também no âmbito do setor público”, sintetiza.
A avaliação é corroborada por Andriei Gutierrez. “Nem todos saíram contentes. Há elementos [na Lei] que poderiam estar mais adequados, do ponto de vista do desenvolvimento de ecossistemas de inovação. Certamente não fomos atendidos 100%, como imagino que sociedades de defesa dos direitos humanos, de defesa dos consumidores, também têm pontos que não foram atendidos. Mas, ela vem pacificar esse tema e é resultado da busca pelo equilíbrio”, destaca ele.
Na avaliação de Bioni, os debates públicos realizados pelo Ministério da Justiça serviram para aproximar atores com posicionamentos distantes e montar um consenso mínimo para aprovação da proposta no Legislativo. Quando o projeto foi apresentado na Câmara, “os atores que tinham interesses antagônicos e conflitantes, já tinham feito contribuições que ensaiassem o meio termo para suas respectivas posições e isso facilitou o debate feito no Congresso Nacional”, pondera o advogado, destacando a importância dos processos de consultas públicas para aproximar interesses de diferentes espectros e amadurecer debates em curso.
Flávia Lefèvre, por sua vez, entende que a Lei Geral de Proteção de Dados Pessoais “é fundamental num cenário em que as relações entre consumidores e fornecedores, cidadãos e governos se dão cada vez mais no ambiente da Internet, com coleta e tratamento de dados cada vez mais intensos. O que viabiliza um monitoramento profundo de informações a nosso respeito e, consequentemente, uma invasão indesejada e abusiva da nossa privacidade”. Situação, portanto, que precisava ser regulada por meio da legislação.
Segundo Lefèvre, ao estabelecer obrigações como a de que o titular deve declarar consentimento para que possa ocorrer o tratamento dos seus dados, a Lei 13.709/2018 torna-se “um grande passo institucional e civilizatório, tanto no campo pessoal quanto no campo do comércio internacional, que cada vez mais exige que os países possuam suas leis e autoridades regulatórias e fiscalizadoras da exploração econômica”.
Ameaças à liberdade de expressão e à democracia
Atualmente, muito da informação que recebemos e a partir da qual formamos nossas opiniões sobre os fatos públicos são acessadas por meio das redes sociais e dos sites de buscas. Em muitos casos, essas informações nos são disponibilizadas com base em um perfil composto sobre nossos interesses e preferências, a partir do nosso histórico de uso dessas mesmas plataformas. Em última análise, a nosso acesso à informação é limitado pela coleta e tratamento de nossos dados pessoais, o que tem implicações diretas também no exercício da liberdade de expressão.
“Um grande reflexo disso é o chamado efeito bolha: você tem acesso a informações que são condizentes com um perfil pré-formado, pré-concebido, sobre uma série de assuntos”, aponta Bruno Bioni. “Isso dificulta que você tenha acesso a informações que são contrárias às suas e com as quais você poderia até mesmo refletir criticamente e mudar de posição e isso pode reforçar o ódio e a intolerância”, explica. Segundo ele,
numa dinâmica em que o acesso à informação é calibrado pelo uso de nossos dados, o direito à liberdade de expressão é cada vez mais congestionado pelo direito à proteção de dados pessoais.
“Por conta disso, a gente costuma dizer que o direito à proteção dos dados pessoais e também o direito à privacidade são como um guarda-chuva para outras liberdades, entre elas a liberdade de expressão”, complementa o advogado.
Flávia Lefèvre concorda que a plena liberdade de expressão não será possível se o direito à privacidade for desrespeitado. “Num ambiente em que ficamos expostos, sem a proteção dos dados que revelam nossos aspectos de personalidade e que permite um monitoramento constante de nossas atividades, não há como exercer plenamente a liberdade de expressão” diz. “Isso traz efeitos negativos para o livre fluxo de informações e, consequentemente, para os processos educacionais e de formação e desenvolvimento dos indivíduos, como também para as construções sociais e políticas”, pondera a advogada, para quem a exposição dos dados pessoais resulta em um alto grau de insegurança.
Bia Barbosa também ressalta que quanto maior a vigilância, mais riscos há à liberdade de expressão e, consequentemente, à democracia. “Uma parte importante da coleta e tratamento de dados é feita pelo poder público. Em Estados autoritários, isso certamente alimenta mecanismos de vigilância. E sabemos que, o que você está fazendo, os lugares que está visitando, as manifestações das quais está participando ou a opinião que está expressando em diferentes espaços, tudo isso pode ser usado contra você no cenário de países de baixa democracia ou de democracia ameaçada”, ilustra a jornalista.
Limitações para coleta e processamento
Um dos grandes avanços da Lei Geral de Proteção de Dados Pessoais foi introduzir critérios para a coleta e o processamento de dados. Em seu artigo 7º, ela traz dez hipóteses em que isso seria permitido. Uma delas é a do consentimento informado do titular. “O cidadão precisa saber que seus dados estão sendo coletados e precisa poder dizer ‘concordo com essa coleta de dados’”, explica Bia Barbosa. Mas há outras hipóteses previstas. “Você pode ter seus dados coletados também para o desenvolvimento de políticas públicas, por exemplo, desde que o poder público utilize os dados única e exclusivamente para aquela finalidade com a qual foram coletados”, ressalta a jornalista.
Outra das hipóteses previstas na Lei para a qual é justificada a coleta e tratamento de dados, objeto do artigo 4º da legislação, é a do uso das informações para fins exclusivamente jornalísticos e artísticos. O mesmo ocorre quando se trata do uso de dados para fins de pesquisa. Tal entendimento busca o equilíbrio entre o direito à privacidade e a liberdade de expressão, impedindo que a proteção aos dados pessoais seja utilizada como justificativa para restringir a realização de reportagens investigativas, por exemplo. “Seja quando blinda atividades como jornalísticas, seja quando prevê a aplicação para fins de atividade de pesquisa, a Lei Geral de Proteção de Dados Pessoais tem dentro da sua alma, do seu perfil, algo preocupado com a liberdade de expressão e com o acesso à informação”, alega Bruno Bioni.
Apesar das limitações impostas pela lei, Bia Barbosa ressalta que ela não tem como objetivo proibir a coleta e o tratamento de dados, mas “regular e estabelecer algumas condições em que as empresas e o poder público podem coletar e tratar esses dados”. Segundo ela, isso se deve ao entendimento de que “o compartilhamento massivo e o tratamento para finalidades diferentes daquelas para as quais houve a coleta podem gerar danos ao titular dos dados, ou seja, ao cidadão”.
Para além do uso para fins jornalísticos, artísticos e de pesquisa, a lei não se aplica ao tratamento de dados pessoais realizado para fins de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais. O que significa que, além das forças de defesa e segurança nacional, também as forças da segurança pública, incluindo as polícias Militar e Civil e os demais atores das forças de repressão interna, não têm suas atividades submetidas às regras de proteção de dados.
A exclusão desses setores gerou críticas por parte da sociedade civil, pois pode trazer prejuízos diretos à proteção da privacidade e ao pleno exercício da liberdade de expressão. Para Bia Barbosa, uma exceção tão ampla é um grande problema da legislação, principalmente por conta “dos aspectos do vigilantismo e da criminalização, que podem ser exacerbados em governos mais autoritários”. “Vigilância tem tudo a ver com o exercício da liberdade de expressão, não só porque os movimentos sociais têm que poder organizar suas manifestações, organizar seus protestos, conduzir sua atuação para lutar por direitos, para reivindicar melhorias nas condições de vida no país, mas também porque um jornalista que vai denunciar um abuso policial tem que ter privacidade no diálogo com as suas fontes”, alerta ela.
Escândalos de vazamentos de dados
A coleta massiva e o armazenamento por tempo indeterminado de dados pessoais para os mais variados fins introduz também fragilidades de segurança aos sistemas informáticos que podem implicar em vazamentos de dados. Essa situação é potencialmente mais lesiva se ocorrer de modo simultâneo à concentração econômica. A concentração dessas informações em grandes conglomerados traz grave ameaça à privacidade, à liberdade de expressão e mesmo à concorrência entre as companhias.
Entre os graves escândalos recentes de vazamento de informações, está o episódio que afetou 87 milhões de usuários do Facebook no início de 2018, evento este que serviu como motivador para a aprovação da Lei Geral de Proteção de Dados Pessoais no Brasil. Os perfis afetados tiveram seus dados acessados indevidamente por um aplicativo de teste de personalidade, que foram depois repassados à Cambridge Analytica, empresa criada em 2013 pelo milionário estadunidense Robert Mercer, apoiador de causas políticas conservadoras. As suspeitas são de que a consultoria britânica tenha usado os dados coletados na base do Facebook para induzir resultados de processos eleitorais e políticos ao redor do mundo. Entre os casos emblemáticos de atuação da empresa, estão as eleições à Presidência dos Estados Unidos que resultaram na vitória de Donald Trump e o plebiscito sobre a saída do Reino Unido da União Europeia (Brexit), ambos ocorridos em 2016.
O vazamento foi tornado público depois que um ex-funcionário da Cambridge Analytica denunciou o fato a órgãos de imprensa dos Estados Unidos e Reino Unido, relatando a atuação da consultoria nas respectivas eleições. A grande maioria das pessoas afetadas, cerca de 70 milhões, reside nos Estados Unidos, mas o Facebook estima que 443 mil usuários do Brasil também tenham sido afetados.
Mas este não foi o único escândalo de vazamento de dados ocorrido em 2018 que envolveu o Facebook. No final de setembro, a rede social anunciou que hackers tinham acessado cerca de 50 milhões de perfis por meio de uma vulnerabilidade existente na função “ver como”, que permitia aos invasores terem acesso ao token de um dado usuário. O token é um substitutivo da senha de acesso à conta, gerado no momento do login justamente para que a senha não precise ser informada a cada acesso a partir de um mesmo dispositivo e navegador ou aplicativo. O vazamento foi identificado pelo Facebook no momento em que os invasores automatizaram o processo, gerando picos de acesso.
O ano ainda marcou a divulgação de um gigantesco escândalo de vazamento de dados envolvendo a rede Marriott de hotéis, proprietária dos hotéis Le Meredien e Sheraton, entre outros. O vazamento, que vinha ocorrendo desde 2014, resultou no acesso indevido a informações pessoais de cerca de 500 milhões de hóspedes no mundo todo, inclusive seus dados sobre cartões de crédito e passaportes. Após investigação, divulgada em setembro, foi constatado que o vazamento ocorreu a partir do banco de dados da rede Starwood, que se fundiu à Marriott em 2016. Foram acessados dados como nome, data de nascimento, gênero, telefones, endereço, e-mail, datas de chegada e de partida de reservas, canais preferenciais de comunicação, informações da conta bancária e números de passaporte e do cartão de crédito.
Também o Google enfrentou problemas de vazamento durante 2018, mais precisamente em sua rede social Google+, e anunciou que a mesma será desativada a em agosto de 2020 – a partir de então, somente a versão para empresas permanecerá ativa. O escândalo pode ter afetado até 500 mil contas por meio de uma falha de software, que permitiu acesso dos desenvolvedores a informações como nome, idade, gênero, profissão e e-mail do usuário, mesmo em se tratando de perfis privados. O vazamento teria ocorrido no mês de março, na mesma época em que o aplicativo MyFitnessPal, da empresa do ramo esportivo Under Armour, teve o banco de dados de mais de 150 milhões de usuários comprometido com o acesso a informações como nome, e-mail e senhas dos clientes. Estes foram notificados pela empresa a a mudar suas senhas imediatamente.
Eleições e o uso indevido dos dados pessoais
No Brasil, as eleições de 2018 foram igualmente marcadas por denúncias de uso ilegal de bases de dados, o que é vedado pela legislação brasileira em se tratando de publicidade eleitoral. De acordo com informações divulgadas inicialmente pelo jornal Folha de S. Paulo, a campanha do então candidato à Presidência Jair Bolsonaro (PSL) teria se utilizado dessas bases. De acordo com a apuração realizada pelo jornal, foram gastos cerca de R$ 12 milhões na compra de cada contrato de disparos de milhões de mensagens pelo WhatsApp com conteúdo contrário ao candidato Fernando Haddad (PT), que concorria com Bolsonaro no segundo turno das eleições. Ainda conforme o jornal, uma das empresas que teria feito a contratação dos disparos massivos de mensagens, o que configuraria doação à campanha de Bolsonaro não declarada à Justiça, seria a rede de lojas Havan. Os fatos seguem sob análise do Tribunal Superior Eleitoral (TSE).
“O que aconteceu neste processo eleitoral demonstra o quanto a proteção dos nossos dados pessoais já fez falta. Os escândalos envolveram o uso de CPF das pessoas para habilitação de chips de celular para disparo de notícias falsas, o uso de dados obtidos em cadastros de empresas para disparo de mensagens de WhatsApp e a inclusão do número de telefone das pessoas em grupos. O uso de dados pessoais de eleitores sem sua autorização já tem impacto direto na nossa democracia”, avalia Bia Barbosa.
Bruno Bioni explica que o uso de dados pessoais é fundamental para certas estratégias de campanha política e inclusive de desinformação, como a observada nas eleições brasileiras de 2018. “Quanto mais uma outra parte sabe sobre você, maior é o poder dela de te levar a tomar certos tipos de decisão, de te levar a decidir de determinadas formas e de fazer inferências sobre você”, pondera. Segundo ele, a manipulação da informação em um contexto político a partir do uso indiscriminado de dados pessoais é um dos grandes danos à democracia que pode ser observado quando não há uma regulação adequada.
“Para além do conteúdo, isso só se torna potente porque se sabe qual é a narrativa que tem que ser construída com base no perfil do destinatário dessa informação. E essa precisão só se tornou possível porque, agora, se tem os dados pessoais dessas pessoas ou grupos. Com eles, se sabe como seduzir melhor o destinatário desta informação. E as técnicas de processamento de dados estão aí para isso”, enfatiza o advogado.
De acordo com Bia Barbosa, os escândalos de vazamento evidenciam a forma como as empresas coletam e tratam dados: sem maiores cuidados com a privacidade das pessoas e sem garantir nenhuma segurança a esses dados. Neste sentido, ela ressalta que a Lei Geral de Proteção de Dados Pessoais traz garantias inéditas na legislação brasileira. “A Lei é muito positiva na responsabilização de quem não trata esses dados de uma maneira correta e que permite esse tipo de vazamento, de invasão nos bancos de dados”, avalia. Resta agora que a Lei 13.709/2018 seja efetivamente aplicada, inclusive por uma autoridade que tenha independência e autonomia para exercer seu papel de agência reguladora.
* Jornalista, com graduação pela Universidade Federal do Rio Grande do Sul – UFRGS. Possui mestrado em Ciências da Comunicação pela Universidade do Vale do Rio dos Sinos (UNISINOS). É integrante do Intervozes – Coletivo Brasil de Comunicação Social.