A brecha fatal na Lei de Dados brasileira

Inspirada na legislação europeia, ela dá um pequeno passo adiante, ao amenizar captura promovida por corporações. Mas abre campo enorme para espionagem do Estado, em nome da “segurança pública” e da “defesa nacional”

Por Marcos A. Perez, na Piauí

Muitos acreditam que o Estado tem poderes sobrenaturais e que tudo aquilo que o Estado toca se purifica. Para estes, todo bem advém do Estado e todo mal dos particulares, da sociedade ou do mercado, cuja face mais demoníaca estaria incorporada às grandes empresas capitalistas contemporâneas.

Essa visão maniqueísta e, de certo modo, ingênua, por vezes é veiculada para encobrir interesses hegemônicos, inclusive, pasmem, derivados de alianças ocasionalmente havidas entre as grandes empresas capitalistas, justamente estas, e a tecnocracia estatal. Outras vezes, a idolatria ao Estado serve para justificar pura e simplesmente o atropelo dos direitos fundamentais, sob o pálio da proteção da ordem pública, da segurança, da conservação da propriedade ou do interesse público, conceitos abertos, que serviram, ao longo da história, para toda sorte de arbítrio e violência perpetrados pelos governantes de ocasião.

Pois essa visão sobrenatural do Estado parece ter orientado uma parte importante das normas da chamada LGPD – Lei Geral de Proteção de Dados Pessoais –, lei nº 13.709/2018, que agora passa a vigorar, quase dois anos depois de sua votação e sanção.

A LGPD, que sob muitos outros aspectos pode ser comemorada, deu ao Estado brasileiro uma carta branca para a guarda, manejo e compartilhamento de nossos dados pessoais. Tratamento legal que, se não for rapidamente corrigido por uma nova lei, ou contornado por regulamentos e pela atuação de nossos tribunais, ameaça nos conduzir a uma onda de autoritarismo e manipulação da opinião pública nunca vivenciada em nosso país.

Muita gente bem-intencionada aguardou ansiosamente e pressionou o Congresso pela aprovação da LGPD. Os dados pessoais são o carvão, o aço e o vapor da quarta revolução industrial. Todo aplicativo de internet que é oferecido gratuitamente aos seus usuários – e muitos que são regiamente pagos – tem seu plano de negócios baseado na apropriação, no tratamento e na comercialização de dados pessoais. A economia não atribui tão grande valor ao dado pessoal propriamente dito, o dado é a matéria-prima das inferências: predições que, por meio do seu tratamento ou da sua combinação em grande escala, é possível fazer a respeito do comportamento das pessoas. As inferências têm grande valor de mercado, pois possibilitam a propaganda dirigida e a indução ao consumo.

O problema das inferências é que se pode usá-las fora do mundo do consumo, para induzir a hábitos e comportamentos. Algumas induções são inofensivas, como, por exemplo, as de leitura ou de viajar, outras muito nocivas como a resultante na discriminação e na violência contra um grupo racial ou religioso (como ocorrido no caso de perseguição dos muçulmanos rohingya, em Myanmar) ou no estímulo à polarização e ao sectarismo, como ocorrido nos casos de envolvimento da empresa Cambridge Analytica na manipulação do plebiscito do Brexit e nas eleições presidenciais norte-americanas de 2016.

Dois estudiosos do tema, Sandra Wachter e Brent Mittelstadt (A right to reasonable inferences: re-thinking data protection law in the age of big data and AI” – Columbia Business Law Review – Vol. 2019 – Issue 2, pp. 13-16), escreveram recentemente que o surgimento, nos últimos anos, de inúmeros aplicativos de análise de Big Data possibilita a extração de inferências preocupantes sobre indivíduos e grupos. Constatou-se que o Facebook pode inferir a orientação sexual por meio do comportamento online ou baseado em amigos, e outros atributos protegidos –  por exemplo, raça, opiniões políticas, tristeza e ansiedade – e que todas essas inferências são usadas para publicidade direcionada. Continuam os professores sua narrativa: “O Facebook também pode inferir tentativas iminentes de suicídio, enquanto terceiros usaram os dados do Facebook para inferir o status socioeconômico e opiniões sobre o aborto. As seguradoras estão começando a usar os dados de mídia social para definir prêmios (…) o Google tentou prever surtos de gripe, bem como outras doenças e seus resultados; e a Microsoft também pode prever a doença de Parkinson e a doença de Alzheimer a partir de interações com mecanismos de pesquisa. O Alexa da Amazon pode ser capaz de inferir o status de saúde com base nos padrões de fala”.

Observe-se o tamanho do poder que as leis de proteção de dados, gradativamente editadas mundo afora, voltam-se a controlar. Não se fala, como muitas vezes aparenta ser, em uma empresa de dados a guardar o número de seu CPF ou o local onde você reside. Trata-se de combinar esses dados, até mesmo com a movimentação do mouse de seu computador e com milhões de outros dados, para inferir seu comportamento, sua raça, suas crenças e predileções, suas reações, seu estado de saúde e, dessa forma, induzi-lo a agir de acordo com a vontade de quem paga para obter suas inferências. A LGPD tem, portanto, uma vocação muito positiva, pois se coloca no plano da garantia das liberdades individuais, tais como a intimidade, o livre-arbítrio, entre muitas outras.

A lei brasileira inspirou-se em larga medida no regulamento europeu de proteção de dados pessoais, editado em 2016, apelidado de RGPD, talvez a mais ampla e mais rigorosa legislação que se produziu, até o momento, em matéria de proteção de dados. Mas há um ponto em que a LGDP brasileira fugiu furtivamente do standard europeu, e não o fez para colocar a regulação brasileira em melhores ou mais avançadas condições em relação à proteção dos indivíduos: é o caso do uso e tratamento de dados pelo Estado brasileiro.

Enquanto o regulamento europeu (art. 23) partiu da lógica de que todos têm perante o Estado o mesmo direito à proteção de dados que vigora em face de empresas privadas, salvo exceções que venham a ser criadas por lei expressa pela União Europeia ou pelos Estados-membros, a LGPD brasileira estabelece que as suas disposições em regra não serão aplicáveis   “ao tratamento de dados pessoais realizado para fins exclusivos de segurança pública, de defesa nacional, de segurança do Estado ou de atividades de investigação e repressão de infrações penais” (art. 4º), além de dispensar o consentimento do titular dos dados, quando o tratamento e o compartilhamento destes pelo Estado forem necessários à execução de “políticas públicas” (art. 11).

Traduzindo: o RGPD autoriza exceções que venham a ser criadas por lei e justificação específicas que respeitem o direito fundamental à proteção. Já a LGPD brasileira  autoriza a priori que o Estado colete, trate e compartilhe dados. Não precisa de lei específica ou justificativa expressa, não há fiscalização, regras de transparência ou accountability, nada. Aqui é regra o que lá é exceção.

Parece sutil a diferença, pois enquanto a lei europeia diz que a regra é o respeito ao direito à proteção de dados pessoais, muito embora leis específicas possam estabelecer exceções, a brasileira diz que a regra é que o Estado está autorizado a coletar, tratar e compartilhar dados, salvo situação em que esses procedimentos sejam eventualmente entendidos como abusivos (art. 26). Mas a dissonância normativa prenuncia um imenso desastre.

Sem que o cidadão desfrute, em face do Estado, das mesmas garantias que o consumidor tem perante as empresas de dados, só será possível reagir aos abusos muito tempo depois e, mesmo assim, somente na remota hipótese de que esses casos sejam descobertos.

Sem que o Estado seja obrigado a observar procedimentos idênticos aos que a LGPD impõe às empresas privadas, não haverá controle dos processos de coleta, tratamento e compartilhamento de dados dos cidadãos, não haverá transparência, não haverá fiscalização. Nem ao menos haverá possibilidade material de verificação superveniente ou produção de prova sobre os eventuais abusos, já que não se obriga o Estado a manter rotinas voltadas à documentação e ao rastreamento dos procedimentos que vier a realizar.

Mas pode piorar. Se, com más intenções, esses dados, ou as inferências deles extraídas, forem utilizados para influenciar em larga escala o comportamento dos cidadãos ou para a mais rasteira perseguição política, racial, sexual ou religiosa, o cidadão nem ao menos vai conseguir provar a consumação do abuso de poder sem que antes esteja sofrendo os impactos de um estado policial, autoritário e arbitrário.

Duas recentes decisões do STF parecem ter percebido esse problema. Uma delas é o caso em que o STF vedou a transferência imotivada de dados do Sistema Brasileiro de Inteligência para a Abin (ADI 6.529-DF); a outra é a decisão que proibiu a transferência de dados de empresas de telecomunicação para o IBGE (ADI 6.387-DF).

Se o manejo pelo Estado dos dados pessoais dos cidadãos pode, por um lado, resultar em maior eficiência em serviços e políticas públicas, o desvio de poder, a partir do tratamento em larga escala desses dados, pode resultar no fim daquilo que conhecemos hoje como democracia. A LGPD precisa ser urgentemente alterada para que o Estado brasileiro não seja autorizado a compartilhar em massa os dados de seus cidadãos sob pretextos vazios, sem transparência e sem controle. Enquanto isso, os tribunais precisam estar alertas. 

Se nada for feito, corremos o risco de acordar, para usar a frase de Thomas Hobbes em seu célebre Leviatã, “servos de um poder absoluto” –  e antes que possamos saber o porquê.

Marcos A. Perez é professor da USP e sócio-fundador do escritório Manesco, Ramires, Perez, Azevedo Marques Sociedade de Advogados.

Gostou do texto? Contribua para manter e ampliar nosso jornalismo de profundidade: OutrosQuinhentos

Leia Também: