Tecnologias de vigilância e os desafios à Lei de Proteção de Dados
A aprovação da LGPD ampliou o debate sobre o direito à privacidade; ao mesmo tempo, cresceram em 2019 legislações que favorecem o vigilantismo. Leia mais um artigo do especial Concentração da Mídia e liberdade de expressão.
Nos anos 1920, o russo Ievguêni Zamiátin escreveu um romance distópico, em que o governo totalitário Estado Único havia privado a população de direitos fundamentais como a individualidade, a liberdade de expressão e a própria vida. O mundo de Nós, título da obra, era completamente mecanizado – hoje poderíamos dizer “algoritmizado”. Nele, é normal a lógica de controle preditivo, o tratamento das pessoas não por nomes, mas números, com o Estado ditando os horários de trabalho, de lazer e até de sexo. Vinte anos depois, foi a vez de George Orwell publicar 1984, alerta sobre a vigilância que se tornou clássico. A narrativa se passa em um lugar onde a história é constantemente reescrita, o pensamento livre é crime e o Grande Irmão supervisiona todos.
As obras possuem imensa atualidade neste mundo que convive tanto com a ascensão de políticos conservadores e mesmo de cunho fascista quanto com o desenvolvimento exponencial de novas tecnologias que, muitas vezes apresentadas como úteis, eficazes e modernas, são utilizadas para viabilizar a vigilância constante e massiva. Uma vigilância cada vez mais difusa, não mais feita por um Grande Irmão, mas por todos que nos rodeiam e que nos “seguem” nas redes sociais, por corporações, a exemplo das plataformas digitais que coletam e mineram dados dos usuários, e pelo Estado, que tem cada vez mais condicionado a entrega de serviços públicos à disponibilização de mais informações e desenvolvido políticas baseadas em tecnologias que invadem as dimensões mais íntimas das e dos cidadãos.
Muitos são os exemplos de práticas vigilantistas, como as de reconhecimento facial, abordada em texto deste especial. Mas há outras formas de vigilância espraiadas no cotidiano. O Facebook, que reúne cerca de 130 milhões de usuários no Brasil, segundo o portal de pesquisas Statista, admitiu em dezembro de 2019, em carta enviada a senadores dos Estados Unidos, que tem acesso à localização dos usuários da rede social, mesmo sem ser dada a respectiva autorização. A plataforma informou ser capaz de identificar a localização por meio de informações que vão sendo compartilhadas, tais como vídeos, identificações ou anúncios, bem como o endereço IP do dispositivo. Facebook, Google, Apple, Amazon também se utilizam de dados para monitorar e modular o comportamento de cidadãos.
Neste contexto, em novembro de 2019, a Anistia Internacional publicou relatório intitulado “Gigantes da Vigilância”, termo com que se refere ao Google e ao Facebook. Embora reconheça a importância da conexão dos cidadãos e dos serviços ofertados pelas plataformas, a Anistia Internacional destaca que tais serviços possuem “um custo sistêmico”. “O modelo de negócios baseado em vigilância das empresas obriga as pessoas a fazer uma grandiosa barganha, em que elas só podem usufruir de seus direitos humanos on-line submetendo-se a um sistema baseado no abuso de direitos humanos. Em primeiro lugar, um assalto ao direito à privacidade em uma escala sem precedentes e, em seguida, uma série de efeitos indiretos que representam um sério risco para uma série de outros direitos, da liberdade de expressão e de opinião à liberdade de pensamento e direito de não discriminação”, diz o texto.
Além das corporações e muitas vezes aliados a elas, Estados também participam ativamente da promoção da vigilância. Na China, conforme relatório da Human Rights Watch lançado em maio de 2019, além de câmeras espalhadas pelas cidades e da utilização em larga escala de reconhecimento facial, o governo monitora desde 2016 uma minoria étnica muçulmana que vive na região de Xinjiang. São 13 milhões de pessoas que têm inúmeras informações capturadas, como altura, tipo de sangue, localização, uso de eletricidade etc. Valendo-se de um aplicativo móvel que a polícia e outros funcionários usam para se comunicar com a Plataforma Integrada de Operações Conjuntas, as autoridades cumprem três funções gerais: coletar informações pessoais, relatar atividades ou circunstâncias consideradas suspeitas e solicitar investigações de pessoas que o sistema sinaliza como “problemáticas”. O relatório aponta casos de detenção e envio de pessoas para campos de “educação política” e outras instalações.
O problema não diz respeito apenas a países reconhecidamente governados por regimes autoritários. A organização independente Freedom House alerta que a Internet não é tão livre quanto se imagina na maior parte do mundo. Após estudar a situação em 65 países, tendo em vista a existência de programas avançados de vigilância das mídias sociais, monitoramento de usuários, ataques cibernéticos e outros fatos, a entidade apontou no relatório Freedom on the Net – 2019 que 40 nações podem ser consideradas “não livres” quando o assunto é Internet. O país em pior situação é a China, seguida de Rússia e Egito. A pesquisa traz alerta sobre a situação do Brasil, considerada “em declínio geral” com a existência de ataques cibernéticos contra jornalistas, entidades governamentais e usuários politicamente engajados e o compartilhamento de “boatos homofóbicos, notícias enganosas e imagens falsas no YouTube e WhatsApp”.
Vigilantismo legalizado no Brasil
Parte desse contexto mais amplo, em 2019, ano que se seguiu à aprovação da Lei Geral de Proteção de Dados (LGPD) e primeiro do governo de Jair Bolsonaro, o Brasil mergulhou em uma contradição. A aprovação da norma – que deveria entrar em vigor em agosto de 2020, mas corre o risco de ser adiada para 2021 – ampliou o debate sobre a necessidade de proteção em uma sociedade cada vez mais hiperconectada. Não obstante, cresceram as normas que atuam em sentido contrário.
Em outubro de 2019 foi publicado o Decreto nº 10.046/2019, que dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados. “Pela redação do Decreto, o governo se coloca como dono das informações dos cidadãos, e não como um controlador destas para determinadas atividades e serviços”, alertou em nota a Coalizão Direitos na Rede, que reúne organizações da sociedade civil e pesquisadores. A Coalizão destacou o fato de o decreto não delimitar a escala de coleta e tratamento de dados por parte do Estado. Assim, embora apresentado com a promessa de ser útil à aceleração dos trâmites no serviço público, a proposição contraria fundamentos da LGPD, entre eles a autodeterminação informativa dos cidadãos.
Outra incompatibilidade do decreto em relação à LGPD percebida pela Coalizão foi o fato de desconsiderar, ao criar terminologias como “atributos genéticos” e “biométricos”, a especificidade dos dados pessoais sensíveis, que são aqueles relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, à saúde ou à vida sexual, bem como dados genéticos ou biométricos, que possuem potencial discriminatório.
“Também não foi especificado como será feito o compartilhamento de dados para fins diversos dos quais o titular deu seu consentimento no momento da coleta de suas informações, nem como ele será informado dessa operação”, afirma Marina Pita, integrante do Intervozes – Coletivo Brasil de Comunicação Social e da Coalizão Direitos na Rede. Em sua avaliação, “os decretos que criam bases de dados centralizados alimentam uma visão bastante ingênua de que a eficiência da administração pública será obtida por um banco de dados gigante. Ele será lento, de difícil gerenciamento e possivelmente se converterá em alvo de ataques e vazamentos. Vale lembrar que hoje é fácil encontrar base de dados da Receita Federal à venda no comércio popular de São Paulo, por exemplo”. Devido a esses problemas, Pita acrescenta que “estamos trabalhando na análise da constitucionalidade do decreto e pretendemos entrar com ação para sustá-lo”.
Além das iniciativas do governo federal, diversas foram as propostas legislativas voltadas à legalização de ações consideradas vigilantistas. Preocupada com esse cenário, a Coalizão Direitos na Rede lançou em novembro de 2019 documento de alerta no qual analisa o teor desses projetos de lei. De acordo com a rede de organizações, são quatro as principais abordagens preocupantes: 1. projetos e iniciativas voltados à criminalização e/ou ampliação de penas para condutas realizadas na Internet ou por meio dela, sobretudo à guisa do combate ao terrorismo; 2. tentativas de expandir os poderes policiais do Estado, como projetos destinados a modificar os artigos 15 e 19 do Marco Civil da Internet, que exigem autorização judicial prévia para a disponibilização dos registros de acesso dos usuários às autoridades e para a remoção obrigatória de conteúdos da Internet; 3. esforços direcionados à imposição de obrigações legais inadequadas a provedores de serviços de Internet, bem como sua responsabilização pela falha em cumpri-las, a exemplo de projetos que exigem que plataformas de mensagens armazenem cópias das chaves criptográficas privadas de seus usuários, a fim de viabilizar o acesso excepcional das autoridades ao conteúdo das comunicações; e 4. ações e iniciativas que legitimam o tratamento massivo de dados sensíveis dos cidadãos pelo Estado sem as devidas salvaguardas, incluindo dados biométricos.
Em dezembro de 2019, no apagar das luzes do ano legislativo, esta última abordagem acabou materializada com a aprovação de parte do Pacote Anticrime, apresentado pelo ministro da Justiça e Segurança Pública, Sérgio Moro, no início do ano. A Lei nº 13.964/2019 autoriza a criação do Banco Nacional Multibiométrico e de Impressões Digitais, com o objetivo de “armazenar dados de registros biométricos, de impressões digitais e, quando possível, de íris, face e voz, para subsidiar investigações criminais federais, estaduais ou distritais”. O texto original do projeto apontava que todos os presos, inclusive provisórios, teriam esses dados pessoais sensíveis capturados. A redação final restringiu a identificação do perfil genético, mediante extração de DNA, aos condenados por crime praticado, dolosamente, com violência de “natureza grave contra pessoa”, categoria que inexiste no Código Penal, ou por qualquer dos crimes considerados hediondos.
A norma também altera a lei das organizações criminosas para incluir e regulamentar a possibilidade de ação de agentes de polícia infiltrados virtuais para investigação dos crimes previstos nesta lei e a eles relacionados, praticados por organizações criminosas, desde que demonstrada sua necessidade e indicados o alcance das tarefas dos policiais, os nomes ou apelidos das pessoas investigadas e, quando possível, os dados de conexão ou cadastrais.
O desafio da proteção legal de dados frente ao vigilantismo
No Brasil, até 2018 não havia regra que tratasse detalhadamente da proteção dos dados pessoais. A tutela tinha como fundamento a Constituição Federal, que determina a proteção da personalidade e reconhece o direito à privacidade, considerando invioláveis a vida privada e a intimidade e também o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, para fins de investigação criminal ou instrução processual penal (artigo 5°, inciso XII). Na legislação infraconstitucional, o Código de Defesa do Consumidor estabelece direitos e garantias para o consumidor em relação às suas informações pessoais presentes em bancos de dados e cadastros.
Nova referência à proteção de dados foi feita no Marco Civil da Internet (Lei n° 12.965/2014), que dispõe que a disciplina do uso da Internet no Brasil tem com um dos princípios a “proteção dos dados pessoais”. A inclusão desse dispositivo ampliou a pressão para a criação de norma específica, a qual vinha sendo discutida pelo Ministério da Justiça desde 2007. Em 2011 e em 2015, a pasta efetivou consultas públicas sobre o Anteprojeto de Lei de Proteção de Dados Pessoais. No Congresso Nacional, diversas audiências públicas versaram sobre o tema, que também foi objeto da campanha “Seus dados são você”, iniciada em 2017 pela Coalizão Direitos na Rede.
Ao longo dos anos e dos debates, a Lei Geral de Proteção de Dados Pessoais finalmente foi aprovada em agosto de 2018, consolidando a visão garantista presente em outras normas, como na General Data Protection Regulation (GDPR) da União Europeia. De acordo com o artigo 6° da LGPD, as atividades de tratamento de dados pessoais deverão observar a boa-fé e dez princípios explicitados no texto, entre os quais merecem ser destacados: finalidade do tratamento dos dados para propósitos legítimos, específicos, explícitos e informados ao titular; necessidade, que consiste na limitação do tratamento ao mínimo necessário; livre acesso, que é a garantia de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; e segurança, definida como a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. A regra dispõe que o cidadão tem o direito a obter, a qualquer momento, informação das entidades públicas e privadas com as quais o controlador dos dados, como uma plataforma de rede social, realizou uso compartilhado de dados.
A lei, contudo, não se aplica ao tratamento de dados para fins exclusivos de: segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, de acordo com seu artigo 4°. Apesar da fixação dessas exceções, o parágrafo primeiro do mesmo artigo dispõe que o tratamento de dados pessoais será regido por legislação específica.
De acordo com Danilo Doneda, doutor em Direito Civil, advogado, professor e pesquisador no projeto Discrimination vs Data Control in Brazilian Smart Cities, do Centro de Tecnologia e Sociedade da Fundação Getulio Vargas, embora existam essas quatro exceções, elas não estão excluídas do regime de proteção de dados: “A lei, ainda que não tenha sedimentado uma aplicação direta, deixa claro que esses setores não podem se eximir de estarem sob os efeitos da Lei Geral de Proteção de Dados. Para que eles se eximam, é necessário que as exceções sejam justificadas sob o prisma de que elas são necessárias e de que são proporcionais, isto é, que não acabem lesando interesses como a privacidade de forma mais grave do que o interesse que procura proteger”, detalha o especialista.
Na Câmara dos Deputados, no fim de novembro de 2019 foi criada comissão de juristas destinada a elaborar anteprojeto de legislação específica para o tratamento de dados pessoais no âmbito de segurança pública, investigações penais e repressão de infrações penais. Doneda, um dos integrantes do grupo, considera que “a função de novas leis é proporcionar que as atividades de investigação criminal sejam abalizadas, podendo ser feitas, mas sendo tomadas as devidas preocupações para que elas não exorbitem a finalidade de investigação criminal e não prejudiquem terceiros e a própria investigação”, ao mesmo tempo que “garantam direitos ao titular dos dados, de acordo com o parâmetro da LGPD”.
A hora da resistência
Além da afirmação normativa da proteção dos dados pessoais, Doneda acredita que é preciso avançar em outras áreas, inclusive as macroeconômicas, tendo em vista o tratamento de dados por conglomerados e a necessidade de se evitar monopólios baseados no controle deles, bem como na afirmação democrática de limites aos governos, já que esses cada vez mais possuem dados dos cidadãos.
Em âmbito internacional há exemplos de reações que podem inspirar o Brasil, seja a proibição do reconhecimento facial, como ocorreu na cidade de São Francisco (EUA), berço do Vale do Silício e de suas inovações, além de Oakland, Berkley, Somerville e Massachusetts, ou a mobilização e conscientização da população, como na Argentina. Neste país, a Asociación por los Derechos Civiles (ADC) empreende a campanha “Con mi cara no” (“Com minha cara, não”, em português), buscando alertar sobre os riscos da tecnologia biométrica. As saídas dependem de cada contexto, das demandas e condições de possibilidades, mas partem sempre do reconhecimento do problema e da desnaturalização de práticas que são apresentadas como banais, mas que colocam em risco toda a sociedade.
Helena Martins é jornalista, doutora em Comunicação pela UnB, professora da Universidade Federal do Ceará e integrante do Conselho Diretor do Intervozes.