Dados pessoais: setores divergem sobre dado anônimo e legítimo interesse

Há alguns dias, uma frase de Mark Zuckerberg em seu depoimento ao Congresso americano vem martelando a minha cabeça. A certa altura, quando confrontado com os hábitos de rastreamento e coleta de dados de navegação para a oferta de propaganda, o CEO do Facebook disse não considerá-los dados pessoais. Por várias vezes, com raras exceções como esta, Zuckerberg evitou informar claramente aos congressistas o que o Facebook considera ou não dado pessoal dentre os muitos que coleta diariamente de seus usuários.

Dias depois, durante a audiência pública realizada no Congresso brasileiro para subsidiar o parecer do senador Ricardo Ferraço Ferraço (PSDB-ES), atual relator do PLS 330/2013, que cria um marco regulatório para a proteção de dados pessoais, o incômodo com a frase de Zuckerberg ressurgiu, ao ouvir Rony Vainzof, Diretor do Departamento de Segurança da Federação das Indústrias do Estado de São Paulo, sustentar que dados anônimos não são dados pessoais.

Especialistas e membros da sociedade civil têm alertado, de forma recorrente, em todos os debates sobre a necessidade de uma legislação de proteção de dados pessoais no país, para três questões importantes, que têm gerado controvérsia: a conceituação de dado anônimo, a conceituação de legítimo interesse e, por tabela, a definição das situações nas quais deve haver a exigência de consentimento expresso por parte dos usuários para coleta, processamento e armazenamento de seus dados, especialmente em relação aos chamados dados sensíveis (aqueles que dizem respeito às crenças pessoais, à orientação sexual ou às condições de saúde, por exemplo).

Na própria audiência no Senado brasileiro, Bruno Bioni, pesquisador e integrante da Lavits (Rede Latino-Americana de Estudos sobre Vigilância, Tecnologia e Sociedade), ao enumerar os seis pontos que seriam a espinha dorsal do que é uma boa lei geral de proteção dados pessoais, incluiu entre eles o de que o conceito de dado pessoal seja o mais abrangente possível, de modo que caiba e esteja sob o guarda-chuva da legislação o maior número de dados possível.

A sociedade civil trabalha com o conceito de dado pessoal conforme definido pelas legislações europeias. Ou seja, "dados relativos a uma pessoa singular identificada ou identificável". O que incluiria dados sobre uma pessoa cuja identidade é evidente ou que pode, pelo menos, ser determinada através da obtenção de informações adicionais.

"Dessa maneira, a gente não vai só franquear uma maior proteção para o cidadão, em torno do tratamento de informações que possam impactar direta ou indiretamente a sua vida, mas também, ao mesmo tempo, trazer segurança jurídica para fins de inovação, porque são justamente informações de uma pessoa identificada ou identificável extremamente necessárias para fins de formatação de novos modelos de negócio e para fins de formulação de políticas públicas", defendeu Bioni.

Bioni também chamou a atenção para o consentimento do dono do dado como uma das bases legais mais importantes de todo e qualquer sistema de proteção de dados pessoais. "Nesse sentido, a gente deve caminhar para fins de fortalecer a adjetivação do consentimento como aquele sendo informado, livre, específico para dados pessoais triviais e expresso para dados sensíveis", advogou o pesquisador.

Na opinião da maioria das entidades da sociedade civil envolvidas nesse debate, o consentimento, conforme definido por Bioni, faz parte de uma estratégia para que as pessoas retomem o controle das informações que elas detêm, de que elas são titulares. "Isso, no final do dia, vai gerar mais eficiência sobre as próprias decisões que são tomadas com base nesses dados, porque, com as pessoas tendo uma maior participação no tratamento das suas informações, geram-se dados de mais qualidade, mais atuais, mais fidedignos. A gente cria uma arquitetura que reforça a confiança desse ecossistema como um todo", explicou o pesquisador.

Agora, no próximo mês de maio, a União Europeia coloca em vigor um código geral a ser seguido em seus países-membros e, naturalmente, por todos aqueles países que se relacionam com a União Europeia: o GDPR (General Data Protection Regulation). Uma de suas exigências principais é o consentimento dos usuários para a coleta de dados.

Muitos empresários consideram improvável, por maior esforço que haja, que os usuários possam ter controle total de seus dados. Falando por eles, Rony Vainzof, da Fiesp, chegou a argumentar no Senado brasileiro que uma lei de proteção de dados pessoais deveria ir além da transparência e do consentimento.

"A grande maioria dos usuários não tem a menor noção da quantidade e tipos diferentes de dados que são coletados diariamente, assim como quais os seus respectivos usos futuros", disse ele. "O consentimento expresso pode ser uma das formas, mas não a única, de autorização de forma inequívoca, e para determinadas finalidades, sob pena de inviabilizar novos negócios. Uma concepção coletiva da sociedade sobre privacidade torna-se cada vez mais importante até mesmo do que o consentimento individual", defendeu.

No entender do representante da Fiesp, estabelecer que as empresas que desenvolvam modelo de negócios baseados em dados pessoais realizem relatórios prévios de impacto à privacidade dos projetos seria um dos caminhos viáveis para minimizar problemas.

Legítimo interesse
E é aí que entra o legítimo interesse, no entender de Márcio Cots, representando a ABINC (Associação Brasileira de Internet das Coisas) e a ABComm (Associação Brasileira de Comércio Eletrônico),  compreendido como a possibilidade jurídica de tratamento de dados pessoais sem o consentimento imediato ou prévio do titular.

"Grosso modo, nós teríamos uma dificuldade quanto à inovação se a todo e qualquer momento as empresas precisassem pedir autorização quanto ao uso dos dados, razão pela qual existe, no projeto de lei, um dispositivo pelo qual as empresas poderiam utilizar os dados sem prévia autorização desde que fosse por um legítimo interesse", referindo-se ao texto do PLS 330/2013.

Na opinião de Cots, ao prever o legítimo interesse, o projeto de lei se aproximou do própria GDPR. "Consideramos importante tratarmos um pouco melhor aqui essa questão do legítimo interesse, porque, se ficar num campo muito subjetivo, teremos várias interpretações e traremos aí uma insegurança jurídica para todos os que vão ser impactados com essa legislação. E sabemos que os empresários são extremamente sensíveis quanto ao ponto de colocar algum tipo de investimento sem saberem exatamente qual é a regulamentação do negócio em que vão começar a atuar", comentou.

De fato, o regulamento europeu incentiva e reconhece a necessidade do tratamento de dados com base no legítimo interesse, mas para prevenção de fraude e controle da fraude por setores privados.

Além disso, também a sociedade civil advoga que a futura lei de proteção de dados pessoais deva prever diretrizes para a aplicação do conceito de legítimo interesse de forma equívoca, mas por outros motivos. "A questão é que o que pode ser um legítimo interesse para mim, pode não ser para você; e assim por diante. Por isso é extremamente necessário que essa futura lei preveja um teste de proporcionalidade para a aplicação desse instituto totalmente aberto e vago, porque, caso contrário, isso vai se tornar um cheque em branco cujo preenchimento vai se dar à revelia das legítimas expectativas do titular", advogou Bioni.

Arrisco a dizer que esse será um dos pontos divergentes mais debatidos durante a tramitação dos PLs de proteção de dados pessoais na Câmara e no Senado. Os empresários querem que o legítimo interesse seja regulado, considerando-se,sobretudo, que o mesmo se dê por interesse meramente econômico, para que a livre iniciativa e a inovação germinem no mercado nacional. Os usuários, por usa vez, que não o o princípio não se transforme em uma  espécie de cheque em branco, como alertou Bioni, e garanta, de fato, seus direitos e garantias fundamentais.

No momento em que o Brasil se esforça para se adaptar aos requisitos para acessão à OCDE, é fundamental que consigamos aprovar uma legislação sobre o tratamento de dados pessoais que promova o acesso aos dados de forma equilibrada. A proteção de dados pessoais possui como pilar fundamental o estabelecimento de um conjunto de direitos para os cidadãos, titulares de seus dados pessoais, e um sistema de garantias para tornar efetivos estes direitos.

Ainda que existam diferenças entre as formas com que diversos setores tratam dados pessoais, a unidade em torno de direitos e instrumentos de garantia proporciona segurança para o cidadão e para os que realizam o tratamento de dados no sentido de saberem quais são os limites que devem observar.