Baixe o app para aproveitar ainda mais
Prévia do material em texto
PECE - PROGRAMA DE EDUCAÇÃO CONTINUADA ESCOLA POLITÉCNICA DA UNIVERSIDADE DE SÃO PAULO ESPECIALIZAÇÃO EM DIREITO E TECNOLOGIA DA INFORMAÇÃO FELIPE HANON DOS SANTOS IoT e LGPD: Como a lei de proteção de dados pessoais vai influenciar à proteção da privacidade no ecossistema da internet das coisas SÃO PAULO 2018 FELIPE HANON DOS SANTOS IoT e LGPD: Como a lei de proteção de dados pessoais vai influenciar à proteção da privacidade no ecossistema de internet das coisas Monografia de conclusão do Curso de Especialização em Direito e Tecnologia da Informação do Programa de Educação Continuada da Escola Politécnica da Universidade de São Paulo Orientador: Profº. Caio César Carvalho Lima São Paulo 2018 Autorizo a reprodução e divulgação total ou parcial deste trabalho, por qualquer meio convencional ou eletrônico, para fins de estudo e pesquisa, desde que citada a fonte. RESUMO: Todas as evoluções tecnológicas influenciam positiva ou negativamente o desenvolvimento e comportamento da sociedade em todas as suas esferas sociais como negócios e direito, por exemplo. Atualmente estamos presenciando mais uma etapa evolutiva da internet, chamada de Internet das Coisas ou IoT (Internet of Things), que consiste em dar poder de processamento, comunicação e independência a todos os objetos (coisas) que agora podem comunicar-se entre si. O IoT está se desenvolvendo e amadurecendo justamente numa época em que a coleta e processamento de dados tem ganhado o protagonismo em diversos setores, públicos ou privados, onde considera-se que tal atividade representa um risco a privacidade do indivíduo. Devido as suas características inatas, o ecossistema de internet das coisas tem um grande potencial de coleta de dados, e consequentemente de dano à privacidade, o que precisa ser levado em conta nos debates e estudos sobre a recém aprovada lei geral de proteção de dados. O presente estudo visa demonstrar como o IoT corresponde a uma potencial ameaça à privacidade do indivíduo e como a lei geral de proteção de dados pessoais pode atuar diante deste risco. Diante do amplo alcance do ecossistema da internet das coisas, é quase que inviável dissertar sobre todas as suas áreas abarcadas, por tanto, limita-se aqui a falar das questões relacionadas a privacidade nas áreas da saúde, casas e cidades inteligentes, tomando como base alguns dos 12 principais pontos da LGPD proposto pelos ilustres advogados idealizadores do “Portal da Privacidade”. Palavras-Chave: Privacidade. Proteção de Dados Pessoais. IoT. LGPD ABSTRACT: Technological evolution influences positively or negatively the development and behavior of society in all its social spheres such as business and law, for example. Currently, we are witnessing another evolutionary stage of the internet, called Internet of Things or IoT, which consists in giving power of processing, communication and independence to all objects (things) that can now communicate with each other. IoT is developing and maturing right at a time when data collection and processing has gained prominence in several sectors, public or private, where it is considered that such activity represents a risk to the individual privacy. Due to its innate characteristics, the Internet of Things ecosystem has a great potential for data collection and, consequently, for privacy damage, which needs to be taken into account in the discussions and studies on the recently approved general data protection law. The present study aims to demonstrate how IoT corresponds to a potential threat to the individual privacy and how the general data protection law can act on this risk. Given the broad reach of the Internet of Things ecosystem, it is almost impracticable to lecture on all its covered areas, so it is limited here to talk about privacy issues in the area of health, smart homes and cities, based on some of the 12 main points of the GDPR proposed by the illustrious lawyers idealizers of the “Privacy Portal”. Keywords: Privacy. Protect Personal Data. IoT. LGPD LISTA DE FIGURAS Figura 1 - Teoria dos Círculos Concêntricos da Esfera da Vida Privada Figura 2 - Representação simplista da definição de sistema de informação Figura 3 - O custo per capita médio da violação de dados nos últimos cinco anos Figura 4 - Custo per capita por segmento Figura 5 - Foto e seus metadados Figura 6 - Site iknowwhereyourcatlives visão geral Figura 7 - Site iknowwhereyourcatlives cidade de São Paulo Figura 8 - Site iknowwhereyourcatlives zona leste de São Paulo Figura 9 - Site Decolar.com utilizando API do Google Maps para mostrar local do Hotel Figura 10 - Roteador Intelbras HotSpot 300 utilizando API do Facebook para autenticação Figura 11 - Leis e Projetos de Lei geral sobre proteção de dados e privacidade em 2018 Figura 12 - Fair Information Practice Principles Figura 13 - 12 principais pontos sobre a LGPD Figura 14 - 5 Perguntas a serem respondidas pelo mapeamento de dados pessoais Figura 15 - Miniaturização e queda no preço de dispositivos eletrônicos Figura 16 - Evolução das coisas conectadas Figura 17 - Blocos básicos da IoT Figura 18 - Arquitetura de Referência IoT Figura 19 - Tipos de Sensores e estímulos Figura 20 - Sensores Samsung Galaxy S5 Figura 21 - Impacto Potencial de IoT no Mundo em 2025 Figura 22 - Previsão global do mercado e receitas para a tecnologia Wearables Figura 23 - Espectrograma Shazam Figura 24 - Perfil caminhada usuário Figura 25 - WIfI LIvRE SP Figura 26 - Representação de comunicação direta de um comando no sistema Figura 27 - Representação de comunicação indireta de um comando no sistema Figura 28 - Representação de comunicação de um comando externo no sistema Figura 29 - Componentes Amazon Echo LISTA DE ABREVIATURAS E SIGLAS AIPD - Assessment Impact on Data Protection API - Application Programming Interface BNDES - Banco Nacional de Desenvolvimento Econômico e Social CCF - Cadastro de Emitentes de Cheques sem Fundo CDC - Código de Defesa do Consumidor DNA - Ácido Desoxirribonucléico FIPPs - Fair Information Practice Principles GDPR - General Data Protection Regulation ICO - Gabinete da Comissão de Informação IoT - Internet of Things ITU - International Telecommunication Union LGPD - Lei Geral de Proteção de Dados M2M - Machine-to-Machine MCTIC - Ministério da Ciência, Tecnologia, Inovações e Comunicações MGI - McKinsey Global Institute MIT - Massachusetts Institute of Technology PUMA - Plano de Unificação, Modernização e Alinhamento RAM - Random Access Memory RFID - Radio-Frequency IDentification SCPC - Serviço Central de Proteção ao Crédito da Associação Comercial SEC - Securities Exchange Commission SGBD - Sistema Gerenciado de Banco de Dados SGPCM - Secretaria-Geral da Presidência do Conselho de Ministros TIC - Tecnologia da Informação e Comunicação SUMÁRIO 1. INTRODUÇÃO .................................................................................................................... 10 2. PRIVACIDADE ......... ........................................................................................................... 16 2.1. Privacidade e dados pessoais ......................................................................................... 21 3. DADOS ............................................................................................................................... 25 3.1. Economia dos dados ......................................................................................................26 3.2. Custo da violação dos dados .......................................................................................... 29 4. FORMAS DE COLETA DE DADOS ........................................................................................ 32 4.1. Metadados ..................................................................................................................... 32 5. APIs ................................................................................................................................... 36 6. PROTEÇÃO DE DADOS PESSOAIS ....................................................................................... 39 7. LGPD .................................................................................................................................. 41 8. O QUE É A IoT .................................................................................................................... 51 8.1. Sensores e Atuadores ..................................................................................................... 56 8.2. Aplicações IoT ................................................................................................................. 58 9. GERAÇÃO DE DADOS EM IoT ............................................................................................. 60 9.1 Saúde (Werables) ............................................................................................................ 61 9.2 Cidades ............................................................................................................................ 65 9.3 Casas ................................................................................................................................ 68 10. CONCLUSÃO .................................................................................................................... 74 REFERÊNCIAS......................................................................................................................... 76 10 1. INTRODUÇÃO: Numa entrevista sobre “fake news” dada para Folha de São Paulo1, o historiador americano Robert Darnton faz a seguinte afirmação: "nós historiadores temos o hábito irritante de dizer ao mundo que o que as pessoas veem hoje como novidade sempre existiu", o contexto era outro, porém essa fala - guardada as devidas proporções - reflete o cenário tecnológico que vivemos atualmente. Hoje estamos presenciando a ascensão de diversas tecnologias como big data, inteligência artificial, realidade aumentada, computação em nuvem, internet das coisas entre outras, e todas elas sendo “vendidas” como grandes novidade, sendo que são apenas a concepção de ideias e conceitos tidos há tempos e que só agora o avanço tecnológico permitiu suas idealizações. O IoT, por exemplo, vem ganhando destaque a partir do ano 2008 (SANTOS et al, 2016) chegando a 2012 já sendo considerada uma tecnologia emergente (Gartner, 2015), porém essa funcionalidade paras as “coisas” era pensada até mesmo antes da década de 90, pois já nos anos 60 a NASA conectava sensores (alguns chegavam a ser engolidos) nos astronautas para transmitir seus sinais vitais à base de Houston (SIQUEIRA, 2008), alguns autores como Deoras (2016) imputam a primeira demonstração prática de internet das coisas ao evento “INTEROP '89 Conference” de 1990, onde John Romkey conectou uma torradeira a um computador com acesso à internet, porém antes disso, em 1980 membros do departamento de tecnologia da Universidade de Carnegie-Mellon, instalaram sensores numa máquina de venda de Coca-Cola e a conectaram em rede, com o objetivo de saber remotamente a temperatura e estoque do equipamento (FACHINI, 2017), o que se enquadra ao conceito de IoT que vemos hoje e portanto é antecessor a demonstração da torradeira podendo ser considerado a primeira demonstração de IoT. É obvio que quando comparado ás suas fases embrionárias, os dispositivos IoT de hoje em dia apresentam gritantes diferenças de seus antecessores, isto é natural do processo da evolução tecnológica, as funcionalidades 1 FOLHA. Notícias falsas existem desde o século 6, afirma historiador Robert Darnton. Disponível em: <https://www1.folha.uol.com.br/ilustrissima/2017/02/1859726-noticias-falsas-existem-desde-o-seculo-6-afirma-historiador-robert- darnton.shtml>. Acesso em: 05 set. 2018. 11 e eficiência do objeto podem - e devem - evoluir, mas seu conceito é algo que permanece imutável, o que ajuda a dar uma base sólida para o desenvolvimento da tecnológica. O artigo “The Computer for the 21 st Century” de Mark Weiser2, ilustra melhor este aspecto, pois nele Mark descreve uma visão do computador para o século XXI, onde diz que as tecnologias que se tornam "transparentes", ou seja, que parecem quase que invisíveis a percepção humana, tendem a ser as mais abrangentes. Segundo o autor, esta espécie de esquecimento da tecnologia ao seu redor não é um fenômeno tecnológico mas sim humano. Atualmente vemos isto acontecendo com uma série de tecnologias como a internet ou a eletricidade que são usadas para as mais diversas atividades sem ao menos serem notadas (a menos que falte), e é exatamente isto que tende a acontecer com o universo da internet das coisas. O IoT está se tornando realidade graças a evolução tecnológica, especialmente pela diminuição e popularização dos sensores que coletam os dados (ALMEIDA, 2015), claro que é a junção de uma série de fatores que torna tal tecnologia possível, mas a evolução do hardware tem um papel de destaque neste cenário, basta ver que o primeiro computador digital (ENIAC) entrou em operação em 1946 com capacidade de fazer apenas 5.000 operações por segundo ( 5.000 adições, 357 multiplicações ou 38 divisões por segundo) (BARTIK, 2013), pesando 30T ocupando 180 m², funcionando com 200 bits de memória RAM, através de 17.468 válvulas, 1.500 relés, muitos capacitores, resistores e outros componentes.3 Essas válvulas deram espaço para os transistores que foram diminuindo através do tempo permitindo a criação de aparelhos cada vez menores e mais eficientes. Para ser ter uma noção do quanto a evolução do hardware foi significante e exponencial, vale dizer que em 1970 a Intel lançou uma memória DRAM de 1 kbit usando tecnologia pMOS de porta de silício com células de três transistores4, e que atualmente processadores da linha I7 da mesma fabricante já possuem mais de 4,7 bilhões de transistores5. A evolução tecnológica altera o comportamento da sociedade, assim como a revolução industrial representou uma quebra de paradigma no processo de 2 WEISER, Mark. The computer for the 21st century. Disponível em: <http://www-ihm.lri.fr/~mbl/Stanford/CS477/papers/Weiser- SciAm.pdf>. Acesso em: 05 set. 2018. 3 Lourenço, L. História da informática ENIAC. Disponível em: <https://www.hardware.com.br/guias/historia-informatica/eniac.html>. Acesso em: 12 set. 2018. 4 OKA, M. História do transistor. Disponível em: <http://www.lsi.usp.br/~dmi/manuais/historiadotransistor.pdf>. Acesso em: 12 set. 2018. 5 INTEL. Especificações do produto intel® core™ i7-6950x. Disponível em: <https://ark.intel.com/pt-br/products/94456/intel-core-i7-6950x- processor-extreme-edition-25m-cache-up-to-3_50-ghz>. Acesso em: 12 set. 2018. 12 produção da indústria e ditou o ritmo do desenvolvimento das grandes cidades, a invenção da internet, revolucionou a forma de comunicação da sociedade, e na medida em que foi se desenvolvendo e ganhando mais robustez foi influenciando praticamente todos os fatores comportamentais sociais e abarcando as mais diversas atividades da vida das pessoas, atualmente a maioria das tarefas do cotidiano como estudar, trabalhar, namorar ou comprar são feitas através de um computador conectado à internet,assim sendo, todas as esferas que compõem nossa sociedade são forçadas constantemente a se atualizarem para acompanhar o ritmo ditado pela rede, e os que não o faz, a história nos mostra que estão fadados ao fracasso extinção como, por exemplo, é o caso da antiga locadora de vídeos em VHS e DVD Blockbuster, que em seu auge chegou a ter mais de 9 mil lojas só nos EUA, porém não teve visão de mercado para acompanhar as tendências tecnológicas e acabou perdendo espaço, principalmente para o serviço de stream Netflix, o qual recusou comprar por 50 milhões de dólares no ano 20006, e viu o valor de mercado dela chegar a quase 10 bilhões de dólares em novembro de 20107, enquanto ela própria, a Blockbuster, pedia concordata com dívidas de mais de US$ 1 bilhão, encerrando sua presença física em 2013 fechando suas 300 lojas restantes nos EUA8. Os poderes judiciário e legislativo também vêm se adaptando constantemente “aos novos tempos”, a fim de dar respostas às necessidades da sociedade, como conta a advogada Patrícia Peck Pinheiro, especialista em direito e tecnologia autora do livro “Direito Digital”: “A todo o momento surgem novas informações e novas tecnologias. Essas mudanças exigem dedicação e um contínuo aperfeiçoamento. Por exemplo, o bitcoin9 e blockchain10 ganham espaço no mercado, preciso aprender e entender do que se trata para poder fazer um contrato, um parecer ou uma petição que envolva essas inovações”11, diz ela. O legislativo, por sua vez, procura dar ferramentas para que o judiciário trabalhe em cima dessas novas tendências, e faz isso através de leis como a Lei n. 11.419, de dezembro de 2006 que 6 TECMUNDO. História Netflix. Disponível em: <https://www.tecmundo.com.br/netflix/118311-historia-netflix-pioneira-streaming- video.htm>. Acesso em: 22 ago. 2018. 7 ESTADAO ECONOMIA. Netflix ameaça estúdios e tv a cabo. Disponível em: <https://economia.estadao.com.br/noticias/geral,netflix- ameaca-estudios-e-tv-a-cabo-imp-,645961>. Acesso em: 01 out. 2018. 8 ESTADÃO. Blockbuster fecha as portas após 28 anos. Disponível em: <https://link.estadao.com.br/noticias/geral,blockbuster-fecha-as- portas-apos-28-anos,10000032611>. Acesso em: 06 ago. 2018. 9 Bitcoin é uma criptomoeda descentralizada, sendo uma forma de dinheiro eletrônico 10 A blockchain é uma tecnologia de registro distribuído que visa a descentralização como medida de segurança 11 AURUM. Como o direito está transformando novos advogados. Disponível em: <https://www.aurum.com.br/blog/direito-digital-esta- transformando-advocacia/#otua>. Acesso em: 26 set. 2018. 13 dispõe sobre a informatização do processo judicial, o judiciário também estabelece ferramentas que se aproveitam do poder da tecnologia como projeto “Plano de Unificação, Modernização e Alinhamento” (PUMA) do TJSP que já levou o processo eletrônico a Varas Cíveis e de Família de algumas comarcas do estado, outra inciativa deste poder foi a decisão de não mais receber ações ingressadas em papel nas Varas Cíveis do Fórum João Mendes, sendo aceita apenas ações eletrônica feitas com certificado digital padrão ICP-Brasil12. Porém como a tecnologia é extremante dinâmica e rápida é normal que novas demandas aparecem sem que o Estado esteja preparada para atende-las. Dentro deste cenário de ascensões tecnológicas, novas relações sociais são criadas, novas formas de contratos surgem, novos tipos negócios aparecem, enfim, a tecnologia e o novo sempre estão relacionadas, porém, assim como o historiador Robert Darnton disse, o novo pode não ser tão novo assim. Hoje a tecnologia permite a coleta, guarda, processamento e análise de um grande volume de dados, nunca visto antes, e isto está sendo usado em todas as esferas da sociedade, desde o setor público coletando dados de viagens para entender melhor o fluxo de usuários do transporte de uma região, passando pelas agências de marketing coletando dados para traçar um perfil mais exato de seu público alvo até empresas que fazem dessa coleta de dados o seu negócio. Segundo uma pesquisa de 2015 feita pela Business Software Alliance (BSA) cerca de 2,5 quintilhões de bytes são criados todos os dias13, número que tende a crescer exponencialmente na medida em que a internet das coisas vai se popularizando. O interesse nos dados sempre existiu, pois para que alguém possa tomar uma decisão, primeiro é preciso que este se informe sobre o tema, ou seja, coletar e organizar dados, para extrair a informação necessária para a tomada da melhor decisão, isto fica muito claro no ambiente empresarial, onde decisões definem o futuro da organização. Neste sentido o que mudou não foi a importância do dado, mas sim a forma de obter, armazenar e processar todos eles, o big data visto hoje, nada mais é que uma forma mais ampla de data warehouse (armazenamento de dados) que consiste numa coleção de dados (banco de dados) otimizada para consultas e orientada por assuntos, que tem por 12 JUSBRASIL. Varas Cíveis do fórum João Mendes recebem primeiros processos eletrônicos. Disponível em: <https://tj- sp.jusbrasil.com.br/noticias/100191991/varas-civeis-do-forum-joao-mendes-junior-recebem-primeiros-processos-eletronicos?ref=serp>. Acesso em: 26 set. 2018. 13 WHAT’S THE BIG DEAL WITH DATA? Business Software Alliance (BSA). Disponível em: <https://data.bsa.org/wp- content/uploads/2015/12/bsadatastudy_en.pdf>. Acesso em: 26 set. 2018. 14 objetivo dar suporte aos processos de tomada de decisão (INMON, 2005), este conceito é posto academicamente desde de 1980 porém utilizadas pelas empresas só a partir 1990 (MOODY, 2000). A manipulação eficiente de dados gera maior receita, diminui custos e otimiza o tempo, segundo matéria da revista Exame, o Banco Itaú foi o primeiro a utilizar o data warehouse no Brasil e com isso viu sua taxa de retorno de mala direta de promoções subir de 2% para 30% enquanto o gasto com o seu envio diminuía cerca de 80%, ainda segundo a matéria, com esta tecnologia foi possível diminuir para 5 min o cruzamento de dados feito pela Serpro que antes demorava 15 dias, a matéria também cita o caso (nunca comprovado, mas incessantemente citado nas palestras/aulas sobre o tema) do Walmart que com seu data warehouse descobriu que a venda de cerveja e fraldas descartáveis estavam associadas e colocou-as lado- a-lado aumentando assim a vendas destes produtos14. Os exemplos citados mostram o evidente o papel da informação (dados organizados) na tomada de decisão, na medida em que a tecnologia foi evoluindo, este conceito de análise de dados da própria empresa foi se expandindo, alavancado principalmente com a popularização da internet, sendo possível que dados antes obtidos apenas “dentro” da empresa fossem obtidos através de qualquer lugar, e que os tipos de dados antes limitados como nome, endereço, renda, posse, etc. passassem a ser também clicks, curtidas, posição geográfica, refeições feitas e qualquer outra coisa que se possa coletar e armazenar, o que devido aos IoTs e seus sensores passa a ser praticamente tudo. No anseio corporativo em ter mais lucro com menos esforço, as empresas investem cada vez mais recursos para a extração de dados dos conteúdos gerados pelos usuários. Plataformas como as redes sociais Facebook, Twitter, YouTube, por exemplo, são utilizadas para impulsionar o alcance das informações por meio da monetização do conteúdo (PADOVANI, 2018), neste cenário, a característica ubíqua da internet que tende a ser herdada pelos dispositivos IoT, faz com que a pessoa fique num estado constante de “on-line”, sendo uma fonte permanente geradora de dados, o que pode representar uma ameaça à direitos fundamentais da pessoa humana como sua dignidade e direito à privacidade (art. 5°, X), ou o sigilo de dados (art. 5°, XII) trazidos pela ConstituiçãoFederal de 1988, que há época não teria como prever as 14 EXAME. O que cerveja tem a ver com fraldas. Disponível em: <https://exame.abril.com.br/revista-exame/o-que-cerveja-tem-a-ver-com- fraldas-m0053931/>. Acesso em: 01 out. 2018. 15 especificidades da tecnologia nos tempos de hoje, nem seu uso exacerbado pela sociedade, portanto, não conseguindo assim abarcar a todos os aspectos contemporâneo de dados e privacidade. Por outro, nossa Carta Magna alicerçou fielmente os princípios fundamentais que foram utilizados na atual lei de proteção de dados pessoais (Lei nº 12.965/2018 - LGPD) que dispõe sobre a proteção de dados pessoais na era da sociedade da informação, estabelecendo direitos e responsabilidades, disciplinando a forma de coleta de dados, criando conceitos como dados sensíveis ou dados pessoais entre outros aspectos que aumenta a segurança jurídica das atividades relacionadas a dados, colocando o Brasil pareado com outros países da América do Sul e União Europeia que já têm suas legislações maduras por estarem vigentes há mais tempos. Enfim, tendo em conta que no fundo os dados pessoais são uma expressão direta da personalidade, que é guardada fortemente por vários ordenamentos jurídicos, e que o panorama atual da tecnologia anuncia um forte impacto sobre ela em todas atividades da sociedade, dando destaque para área da saúde com os dispositivos vestíveis, casas com assistentes domésticos e cidades inteligentes com o Estado coletando dados através dos objetos da internet das coisas, é importante que se faça uma análise de como e o quanto o IoT será influenciado pela legislação, por que o quando é agora. 16 2. PRIVACIDADE O dicionário Aurélio define privacidade como sendo “qualidade do que é privado, do que diz respeito a alguém em particular”, e inclui como sinônimo a palavra intimidade que tem “caráter do que é íntimo, secreto”, referindo-se também a vida privada e particular, nessa mesma linha, o professor Tércio Sampaio vê a privacidade sendo regida pelo princípio da exclusividade, cujos atributos principais são a solidão (o estar só), o segredo e a autonomia (JÚNIOR, 1993), princípios também contidos no art. 12 da Declaração Universal dos Direitos do Homem, de 1948, em que se lê: "Ninguém sofrerá intromissões arbitrárias da sua vida privada, na sua família, no seu domicilio ou na sua correspondência, nem ataques à sua honra e reputação. Contra tais intromissões ou ataques toda pessoa tem direito à proteção da lei". De uma forma um pouco mais vaga para os tempos de hoje, a Constituição Federal de 1988 segue a mesma linha protegendo a privacidade do indivíduo, onde em seu art. 5° inciso X diz que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, (...), ” as legislações sob o guarda-chuva de nossa Carta Magna, como o Código de Defesa do Consumidor e o Código de Processo Civil, defendem esses princípios de forma mais especificas em suas searas. Westin (1967) tem o “ficar só” como o estágio mais completo da privacidade que tem várias etapas, para ele, este estágio só é atingido quando o indivíduo tem a oportunidade de realizar um diálogo consigo mesmo, sem interferência de outras pessoas, alcançando assim um estado de solidão, já quando há uma relação mais próxima com seus pares (cônjuges, amigos ou parentes) essa privacidade é caracterizada por intimidade (WESTIN, 1967). Além da vontade e direito que o indivíduo tem de não tornar público o que não lhe convém, existem situações especificas que de fato não deve ser conhecidas, como por exemplo, informações de doenças, dados financeiros entre outros, aqui o indivíduo entra em um estado de reserva, onde é preciso assegurar a privacidade do referenciado ao mesmo tempo em que se garante a disponibilidade de dados do interesse social, fazendo com que dessa forma a privacidade seja encontrada neste anonimato do indivíduo e não na disponibilização dos dados (WESTIN, 1967). O que vai de encontro com o entendimento de Wallace (2008) que explica que o anonimato é um meio de garantir 17 a privacidade, onde o estado de anonimato tem o objetivo de evitar discriminações e represálias da mesma forma que protege outros indivíduos pela responsabilidade da ação, destaca também que o direito à privacidade não é absoluto, uma vez que ele se baseia em outros direitos coletivos ou individuais, diz ele: O desejo do indivíduo por privacidade nunca é absoluto, uma vez que a participação em sociedade é igualmente importante. Assim, cada indivíduo está continuamente envolvido em um processo pessoal de equilíbrio entre o desejo de privacidade e o desejo de exposição e comunicação com os outros, à luz de condições do ambiente e de normas sociais na sociedade em que vive. O indivíduo o faz em face das pressões da curiosidade dos outros e dos processos de vigilância que toda sociedade necessita para a implementação de normas sociais (WESTIN, 1967, p. 7) Westin (1967) entende a privacidade não como um fim ou um estado, mas sim como uma forma que o indivíduo acha para conseguir atingir seus objetivos pessoais e adaptar seus “mecanismos emocionais” as relações sociais do dia-a-dia, mostrando, então, que a privacidade é maleável de acordo com a situação. O autor estabelece quatro porquês de o homem buscar a privacidade, são eles: • Autonomia pessoal: relacionado essencialmente ao receio de não manipulado, descoberto ou comandado por outro, onde a ameaça mais séria a esta autonomia seria a possibilidade de permitir que descubram seus segredos por meios físicos (anotações, documentos, evidencias) ou psicológico (persuasão, enganação), pois tais segredos podem fazer com que o indivíduo fique vulnerável, até mesmo se submeter ao controle de quem detém essas informações. Pode controlar a publicidade dessas informações é um ponto essencial para o sentimento de autonomia. • Liberdade emocional: estado onde o indivíduo pode desfrutar da condição de anônimo na rua, ficar alheio a grupos a ponto de se desviar, temporariamente, de protocolos sociais, tendo um comportamento que normalmente se tem apenas quando está em solidão (falar palavrão, pôr os pés na mesa, dedo no nariz etc.). 18 • Autoavaliação: de suma importância para que o indivíduo possa assimilar as informações recebidas, “assim, a privacidade proporciona um tempo para analisar, reformular e originar novas ideias, estudos de criatividade mostram que é na reflexão durante um momento de solidão que um pensamento é verbalizado”. (AFFONSO, 2018 p.55) • Comunicação limitada e protegida: se todos dissessem o que pensam e o que sentem o tempo todo, seria uma ameaça a vida social. Aqui encontra-se dois aspectos onde i) o indivíduo pode compartilhar informações com quem confia e ii) estabelece limites entre a esfera pública e privada. “A privacidade é, em si, um conjunto de direitos, derivada de outros direitos, como a vida, a liberdade e os direitos de propriedade. Não se trata, portanto, de um grupo específico de direitos, mas do entrelaçamento de grupos de direitos” (AFFONSO, 2018 p.59), nessa mesma linha Thomsom (1975) diz que o direito à privacidade está em todo lugar sobreposto por outros direitos. Donedá (2006) considera difícil definir privacidade em um único conceito, tendo em vista as várias concepções inerentes a ela, Wang (2011) destaca que, na maioria das vezes buscou- se o sentido de privacidade através de conceitos como controle de acesso, intimidade ou autonomia e não a um conceito especifico, Leonardi (2011) entende que devido a essa ausência de definição, falta política pública e praticidade na resolução de julgados, prejudicando assim o processo jurídico, uma vez que é difícil expor a proteção do bem tutelado (privacidade) e vincularos danos causados, se nem próprio bem tem uma definição exata. Para Ferraz (2013) a privacidade como direito fundamental apresenta uma estrutura básica com três elementos: i) o sujeito: titular do direito, ii) o conteúdo: a faculdade especifica que é atribuída ao sujeito e iii) o objeto que é o bem protegido que pode ou não ser uma rés (coisa além do corpo físico) no caso dos direitos reais, ou um interesse no caso dos direitos pessoais. Para Doneda (2006) e Rodotà (2008), a privacidade surgiu como um direito vinculado a burguesia, complementando essa tese Navarro (2013) explica: O nascimento da privacidade, como conceito próprio, coincidiu com a desagregação da sociedade feudal - na qual o isolamento era privilégio de poucos -, e com o crescimento da classe burguesa, o que favoreceu aos 19 que dispusessem de meios materiais a tanto a reprodução, ambiente urbano, das condições que satisfaziam essa necessidade. (NAVARRO, 2011 p.3) A burguesia se diferencia das demais classes por sua capacidade de usufruir por completo da própria intimidade, isso faz com que seja adotada uma postura individualista que posteriormente se transforma num instrumento de isolamento do indivíduo burguês em relação à sua própria classe [...] sendo assim, o surgimento da privacidade não se dá por uma experiência "natural" de cada indivíduo, e sim a partir da aquisição de um privilégio por parte de um grupo. Por isso a tutela do bem jurídico foi modelada principalmente através das bases características do direito burguês por excelência, onde a propriedade; e que exigências análogas àquelas que a burguesia fez valer ou não foram reconhecidas em qualquer media à classe operária ou foram somente mais tarde (RODOTÀ, 2008). Por estarem intrinsecamente relacionados, termos como intimidade, privacidade e vida privada se confundem, então para delimitar tais conceitos Heinrich Hubmann criou a "Teoria dos Círculos Concêntricos da Esfera da Vida Privada"15, onde a esfera interna é chamada de Intimsphare (Intimo), onde o sujeito pode manter segredo em relação ao coletivo, tendo assim o maior grau de privacidade. Aqui impera o "estar só" do prof. Tércio, a esfera do meio é a Geheimnisphare, uma esfera também secreta porém com uma forma mais ampla que a primeira, aqui secreto também impera porém não mais na forma do estar só, sendo estes segredos compartilhados com os entes mais próximos como cônjuges e amigos, e ,por fim, a terceira e última esfera chamada de Privatsphare onde se desenvolve a personalidade da pessoa que é a esfera privacidade e que o conhecimento dos fatos da vida das pessoas, o acesso público é restrito, caracterizando a vida privada (SZANIAWSKI, 1992). Podemos analisar melhor a teoria de Hubmann na imagem abaixo: 15 HUBMANN, Heinrich. Das persönlichkeitsrecht. Münster: Böhlau-Verlag, 1953, apud COSTA JR., Paulo José da, Op. Cit., p. 30 20 A distinção entre a esfera pública e a privada, que para os romanos e os gregos era clara, perde nitidez na era moderna. Para aqueles, o privado (privus), que não se confundia com riqueza privada, era o terreno do que era próprio ao homem, como ser jungido ao trabalho e à sobrevivência, à busca de que lhe era útil. Já o público era o âmbito do político, do encontro dos homens para o seu governo. Esta distinção, na era moderna, se vê atravessada pela noção do social, comum tanto ao público (político) como ao privado (família). (Ferraz, 1993 p.441) A palavra tecnologia deriva dos vocábulos gregos tekhné (arte, indústria, habilidade) e logos (argumento, discussão, razão)16, observando este conceito mais amplo da palavra, podemos definir que tecnologia é tudo que o homem utiliza ou constrói para atingir um determinado fim. Sendo assim, podemos considera como avanço da técnica, a utilização, pelos povos primitivos, de pedras em forma de lâminas para caçar, se defender ou cortar madeira (MAGRANI, 2018). “Com o passar do tempo, a ideia de tecnologia foi ganhando novos contornos e especificações, e envolve, atualmente, uma extensa rede de pesquisadores e projetos interdisciplinares” (Ibidem p.30), neste sentido, até mesmo a “leitura” das pinturas rupestres pode ser caracterizada como invasão à privacidade dos que lá habitavam, Doneda (2006) analisa que é evidente que a tecnologia sempre esteve envolvida com privacidade 16 NEVES. Qual a origem etimológica da palavra tecnologia? Disponível em: <http://ferfavano.blogspot.com/>. Acesso em: 01 out. 2018. Figura 1 - Teoria dos Círculos Concêntricos da Esfera da Vida Privada. Fonte: O autor 21 independente da época ou da sociedade: “[...] o advento de estruturas jurídicas e sociais que tratem do problema da privacidade são respostas diretas a uma nova condição da informação, determinada pela tecnologia” (DONEDA, 2006, p. 37), o que também é demostrado pela fala de Moor (2006) que diz que a privacidade e um conceito em constante evolução, que sofre influência do ambiente social e tecnológico do ambiente em que atua. 2.1 Privacidade e dados pessoais: Correia e Jesus (2013) explanam que, dentro deste cenário da tecnologia da informação, acontece uma congruência entre proteção da privacidade e proteção de dados pessoas, porém, com direitos distintos e autônomos. Neste sentido, sobre a privacidade, os autores seguem a mesma linha dos citados anteriormente, tendo a esfera privada máxima como o estado de solidão (ficar só) visto até aqui, já no caso dados pessoais eles se referem ao tratamento automatizado dos dados, abordando a possibilidade de o indivíduo poder controlar como esses dados são utilizados, caracterizando assim a autodeterminação informativa. Para Altman (1975) o conceito de privacidade deveria se embasar na possibilidade de o indivíduo ter controle seletivo dos dados sobre si e saber das potenciais consequências do exercício deste controle. Com as novas tecnologias, os dados gerados através das atividades das pessoas estão armazenados por quase que ilimitado e disponíveis por meio de diversas plataformas eletrônicas, o que faz com que o atentado a privacidade ocorra também de forma indireta Dong et al (2015). Neste cenário de transporte descentralizado de dados, o acesso as informações não está mais sob a guarda e domínio apenas de uma pessoa, passando a ficar acessível à terceiros que nem sempre autorizados a fazer uso dos dados. Quando os dados saem da guarda e controle direto dos usuários, fica a cargo dos engenheiros, como primeiro responsáveis, garantir que os usuários consigam controlar, de forma imediata, o acesso aos seus dados pessoais, com isso, os riscos à privacidade, por conta de possíveis acessos não autorizados no futuro, são minimizados Doty (2015). Todo sistema de informação, seja ele automatizado (apenas computadorizado) ou manual (com a participação de pessoas, máquina e métodos) possui um ou mais desses passos: coleta, processamento e transmissão de dados, em cada uma dessas etapas 22 do tratamento de dados gera preocupações especificas sobre o ponto de vista de proteção de dados pessoais, sendo que o impacto sobre essa privacidade sofre influência direta do modo em que essas tarefas são executas Karat (2004). Ainda que o indivíduo não tenha criado de fato a informação, no sentido de sua concepção, ele é a titular legitimo de seus direitos, pois "seu vínculo com o indivíduo é por demais estreito para que pudesse ser de outra forma. Quando o objeto dos dados é um sujeito de direito, a informação é um atributo da personalidade". (CATALA, 1983 p. 20, tradução nossa). Segundo Setzer (1999), dado é “uma sequência de símbolos quantificados ou quantificáveis” e informação é “uma abstração informal (isto é, não pode ser formalizada através de uma teorialógica ou matemática), que representa algo significativo para alguém através de textos, imagens, sons ou animação”17, a Convenção de Strasbourg, de 1981 definiu dado pessoal como sendo “«Dados de carácter pessoal» significa qualquer informação relativa a uma pessoa singular identificada ou susceptível de identificação («titular dos dados»)”18. Para Doneda (2011) referente a utilização dos termos "dado" e "informação", o conteúdo de ambos se sobrepõem em várias circunstancias, por isso muitas vezes acaba em confusão na utilização dos termos, pois, “ambos os termos servem para representar um fato, determinado aspecto de uma realidade. Não obstante, cada um carrega um peso particular a ser considerado” (DONEDA, 2011 p.94). Na figura abaixo pode-se observar melhor como um sistema de informação se relaciona com o dado. 17 SETZER, Valdemar W. Dado, conhecimento e competência. DataGramaZero Revista de Ciência da Informação, São Paulo, p. 28, dez. 1999 18 Convenção nº 108 – Convenção para a proteção das pessoas em relação ao tratamento automatizado de dados pessoais, art. 2º. 23 Sobre a relação da tecnologia com os dados pessoais, e consequentemente com a privacidade, Fairfield (2005) diz: [...] mais transações tenderão a ser registradas; os registros tendem a ser mantidos por mais tempo; A informação tende a serem dadas a mais pessoas; mais dados tendem a ser transmitidos através de canais de comunicação públicos; menos pessoas saberão o que está acontecendo com os dados; os dados tendem a ser mais facilmente acessíveis; e os dados podem ser manipulados, combinados, correlacionados, associados e analisados para produzir informações que não poderiam ter sido obtidas sem o uso de computadores (FAIRFIELD, 2005, p. 38, tradução nossa). Para Ferraz (2011), ninguém detém um nome, imagem ou reputação para si próprio, sendo uma condição de comunicação, e mesmo que seja de conhecimento geral tais informações e seus titulares, isto não deve se transformar em objeto de troca do mercado, salvo na hipótese de haver consentimento. Doneda (2011) demonstra que “ informação pessoal está, quase como ato reflexo, ligada à privacidade por uma equação simples e básica que associa um maior grau de privacidade em menor difusão de informações pessoais e vice-versa. ” (DONEDA, 2011 p.94), tendo nessa afirmação um ponto de partida para demonstrar como a proteção de dado pessoais se transformaram em um desdobramento da tutela do direito à privacidade, conseguindo assim, a proteção no nosso ordenamento jurídico. Devido ao aumento significativo da importância dos sistemas de informações, a proteção de dados pessoais passou a percorrer também a seara Figura 2 - Representação simplista da definição de sistema de informação. Fonte: O autor 24 tecnológica (DONEDA, 2006), para ele, através da proteção de dados pessoais, garantias que antes eram relacionadas à privacidade agora passam a ter um entendimento mais amplo abrangendo outros interesses observando as diversas formas de controle que a manipulação de dados pessoais fez surgir. Kerr (2016) entende que para uma efetiva proteção da privacidade nos meios de sistema de informação, é necessário que se tenha uma harmonização entre os sistemas jurídicos e técnico através de diretrizes legais que proporcionam e atuem como requisitos na construção de sistemas digitais que atuam no tratamento de dados pessoais. 25 3. DADOS “A moeda, como hoje a conhecemos, é o resultado de uma longa evolução. No início não havia moeda, praticava-se o escambo, simples troca de mercadoria por mercadoria, sem equivalência de valor. ”19 Peixes eram trocados por cereais, animais por pedaços de terras e assim por diante. Algumas mercadorias, pela sua utilidade, passaram a ser mais procuradas do que outras. Aceitas por todos, assumiram a função de moeda (meio pelo qual são efetuadas as transações monetárias. Todo ativo que constitua forma imediata de solver débitos, com aceitabilidade geral), circulando como elemento trocado por outros produtos e servindo para avaliar-lhes, surgiu assim a figura da “moeda-mercadoria”. Vários itens foram usados como moeda-mercadoria1, essas mudanças se davam de acordo com as necessidades da sociedade, hora foi o gado, outra o sal, o cacau entre outros, ou seja, na medida em que a sociedade evoluía novos itens eram mais procurados e destarte mais valorizados. Atualmente estamos vivendo na Sociedade da Informação - também chamado de Sociedade do Conhecimento ou Nova Economia20 - nesta nova sociedade a informação (ou os dados que a geram), passaram a ter grande valor sendo também mais um tipo de moeda-mercadoria das empresas, principalmente das gigantes da tecnologia. Com a justificativa de proporcionar melhor experiência e serviços mais adequados para o usuário, as empresas coletam os dados através de diversas plataformas e serviços da web (MAYER-SCHÖNBERGER, 2011), porém tais melhorias não são o único motivo para a coleta dos dados, tendo em vista que eles são de grande valor para o mercado. “Informação sempre foi objeto de grande cobiça pela sociedade em geral. Corporações, governos, pesquisadores, acadêmicos e todos os demais setores da sociedade, a fim de aprimorar seus conhecimentos e otimizar resultados” (MATOS, 2005 p.5), para Octaviano et al. (1999, p. 175) a “informação é considerada a quinta necessidade do homem, precedida por ar, água, alimentação e abrigo [...]”, não seria diferente pois sendo informação o ato ou efeito de informar(-se) (FERREIRA et al. 1999), é evidente sua importância para sobrevivência do homem, numa análise mais aprofundada, a informação pode até preceder algumas necessidades fisiológicas, já 19 BANCO CENTRAL DO BRASIL. Origem e evolução do dinheiro. 20 POLIZELLI, Ozaki et al. Sociedade da informação: Os d esafios da era da colaboração e da gestão do conhecimento. 1 ed. São Paulo: Saraiva, 2008. 258 p. 26 que o ato de alimentar-se é precedido primeiro do ato de informa-se do que é alimento e o que não pode ser ingerido, por exemplo. Seguindo uma outra linha, Houaiss el al. (2001) define informação como ato ou efeito de comunicação ou recepção de um conhecimento ou juízo. As definições dos dicionários mostram que o termo “informação” é flexível e depende do contexto onde é empregado, portanto, tratando- se de processamento de dados, o presente estudo adota a definição de Rabaça & Barbosa (1995, p.335), onde informação "é o significado que um ser humano atribui a dados, por meio de convenções usadas em sua representação". Neste capítulo, onde o título “DADOS” é abordado, inicia explorando as definições e conceitos de informação não por acaso, analisando diferentes contextos, tais como apresentado por Jirí Zeman e por Henri Atlan, identifica-se uma constante na definição de informação, sempre associada a organização (FRANCELIN, 2013), para Zenam (1970) e Atlan (2008), “informação é organização”, também pudera, basta analisar a etimologia da palavra, que encontra suas raízes no termo informare do grego “colocar em forma” (ZEMAN, 1970), ou seja, “formar, modelar”, sendo assim, entende-se por informação, o resultado do conjunto da organização de dados, logo, o objetivo da manipulação e organização dos dados é gerar informação, de encontro com essa ideia, temos o entendimento da professora Hildete Prisco Pinheiro, doutora em bioestatística pela University of North Carolina (1997), para ela "dados são observações documentadas ou resultados da medição. A disponibilidade dos dados oferece oportunidades para a obtenção de informações"21. Assim como o estudo mais aprofundado da privacidade mostrou a complexidade de se chegar a um conceitopara esta palavra que, apesar de ser frequentemente utilizada no dia-a-dia e parecer tão “simples” de entender, revela-se rodeada de significados distintos, o debruçar sobre o significado e conceito de dados, especialmente no cenário da atual sociedade da informação, apresenta inúmeros desdobramentos. 3.1. Economia dos dados: Entendido a relação intrínseca entre dado e informação, agora pode-se explanar o paradigma econômico-tecnológico da informação, proposto por Castells 21 PINHEIRO, Hildete Prisco. O que são dados? 27 (2002), onde ele analisa o conceito e dados empíricos explanado que “todas as realidades são percebidas de maneira virtual, uma construção da percepção simbólica da realidade virtual, constituída de símbolos formadores da prática da comunicação eletrônica" (CASTELLS, 2002 p.459). Neste cenário o autor vê a internet como uma rede de computadores com alcance mundial, na qual trafegam dados e informações, propiciando total liberdade de troca de conhecimento entre pessoas, possibilitando, assim, uma integração universal (CASTELLS, 2002). Vance Packard (1957) já descrevia como o marketing moldava sua estratégia conforme o comportamento do usuário, demostrando os grandes esforços - e êxito neles - dispensando para canalizar os costumes involuntários do indivíduo, como as decisões na hora da compra e através de ato que estava "escondido" na consciência. O avanço tecnológico proporcionou um aumento significativo na capacidade de coleta, armazenamento e processamento dos dados como um todo (MAGRANI, 2018), e nesta ‘nova economia’, empresas ágeis são as que conseguem adquirir e administrar a maior quantidade possível de informação, no menor tempo e com a maior eficiência. (QUEIROZ, 2002), Segundo Pariser (2012), a Amazon foi uma das pioneiras a aproveitar os benefícios da manipulação de dados, quando em 1994 começou a explorar o poder de personalização e relevância, que a tecnologia começava a proporcionar, para melhorar as indicações de livros de seu site, tornando-as mais a assertivas e dinâmicas, assim como faziam os antigos livreiros que conheciam o gosto de seus clientes. "Não se está mais diante do par massa-indivíduo. Os indivíduos tornaram-se 'dividuais', divisíveis, e as massas tornaram-se amostras, dados, mercados ou 'bancos'". (DELEUZE, 1992 p. 222)”. Sobre a importância dos dados e sua relação com o avanço tecnológico, o advogado Tiago Farina Matos e o autor Eli Pariser relatam: Enganam-se aqueles que dizem ter a informação se transformado num valioso recurso em decorrência dos avanços tecnológicos. Na verdade, tal bem sempre teve seu “valor de mercado” nas alturas. O que há de novo e, portanto, a faz parecer algo como um recém descoberto poço de petróleo, é o fato de que, graças ao exponencial crescimento tecnológico, abrindo espaço para a comunicação eletrônica, nunca foi tão fácil e rápido obter e gerenciar informações dos mais variados assuntos, não importando tempo nem lugar. (MATOS, 2005 p.5) 28 Na Amazon, a busca de mais dados sobre o usuário é interminável: quando você lê livro em seu Kindle, os dados sobre as frases que realçou, as páginas que virou e se começou a leitura do início ou preferiu antes folhear o livro são todos enviados de volta aos servidores da Amazon, sendo então usados para indicar quais livros você talvez leia a seguir. (PARISER, 2012, p. 32) Pariser (2012), explica que o motor de busca do Google estuda o costume dos usuários para produzir resultados personalizados, o sistema é capaz de aprender com a atividade humana e propor automaticamente fontes de informação que julga serem potencialmente relevantes em suas pesquisas, além do comportamento humano, o algoritmo utiliza tudo que é possível coletar (local, pesquisas antigas, cookies, horário, termos mais pesquisados na região, termos pesquisados anteriormente pelo usuário etc.), em 2009, o Google publicou 57 sinalizadores que iriam proporcionar uma busca personalizada para todos os usuários e nesses quase dez anos este número de sinalizadores vêm aumentando exponencialmente (PARISER, 2012), Eli Pariser, presidente do conselho diretor do portal MoveOn.Org, afirma que “vivemos em uma sociedade cada vez mais algorítmica, na qual nossas funções públicas, desde registros policiais até as redes elétricas ou matrículas em escolas, são controladas por códigos.” (ibidem, p. 201). Dentro deste cenário pode-se constatar a relevância deste bem imaterial, mas que vale tanto quanto um bem corpóreo, que é a informação, para Ronaldo Lemos, os dados são o “petróleo da internet”22, “a partir disso, é possível identificar uma constante mudança sobre a percepção do ciberespaço e das possibilidades de regulação e governança, no que diz respeito ao alcance de instrumentos normativos que assegurem a proteção” (FORTES, 2014 p.161) da privacidade, e consequentemente ajudando a neutralizar possíveis abusos de poder do Estado ou do Mercado, referente ao tratamento dos dados dos cidadãos. Na atual sociedade da informação se você não está pagando por alguma coisa, você não é o cliente; você é o produto à venda pois as empresas pagarão para ter seus dados Pariser (2012), os "rastros" digitais são frutos da coleta de dados gerados através da interação usuário-ambiente digital, resultado assim na vinculação destes dados (inclusive dados sensíveis) com um indivíduo. Esses dados colaboram 22 ISTO É DINHEIRO. 10 perguntas para Ronaldo Lemos, especialista em direito digital 29 para um melhor conhecimento dos hábitos das pessoas, podendo contribuir tanto para diminuição da privacidade quanto para diferença acentuada de domínio da informação entre os usuários do ambiente digital, podendo gerar efeitos também no ambiente material, não apenas no digital, para Mason (1986) essa exposição é uma “descrição minuciosa” feita por “nós mesmos” com o uso do conector “e”, para o autor a ameaça se apresenta no valor que o dado exerce para tomada de decisões, quando cada vez mais dados ficam cada vez mais valiosos para o setor comercial, Vance Packard (1967), também alerta sobre o poderio da centralização dos dados: [...] o maior perigo em um banco de dados centralizado seria a possibilidade de colocar um poder tão grande nas mãos de pessoas que podem apertar alguns botões de computadores. Quando os detalhes de nossas vidas são armazenados em um computador central ou em outros grandes sistemas de armazenamentos, todos nós nos sujeitamos, de certa forma, ao controle exercido pelos operadores destas máquinas (PACKARD, 1967, p. 44, tradução AFFONSO) 3.2. Custo da violação dos dados: Assim como a “mineração” de dados pode proporcionar grande lucros para os que o detém, a negligência no tratamento destes dados pode desvalorizar significativamente uma empresa ou até mesmo extingui-la, é o caso do Yahoo que nos anos 2000 alcançou o valor US$ 125 bilhões, chegando a recusar uma oferta de venda no valor de US$ 45 bilhões da Microsoft em 2008, porém foi vendida quase dez anos depois por cerca de 1/10 desse valor (KLEINA, 2017). A gritante desvalorização do conglomerado Yahoo é consequência de uma série de decisões erradas pela não observância do cenário em que atuava e, em última fase, porém mais significativa para conjuntura atual, pela negligência na proteção dos dados de seus usuários. Segundo a própria empresa, em agosto de 2013 houve o maior vazamento de dados digitais da história, com comprometimento de dados de mais de 1 bilhão de usuários (FERRARI, 2016) e em 2014 outro ataque aconteceu aos dados de 500 milhões de usuários, ambos os ataques só foram divulgados em dezembro e setembro de 2016 sucessivamente, em meio a uma negociação de venda para Verizon no valor de US$ 4,8 bilhões, que por contadas falhas de segurança acabou sendo abaixado em US$ 4,4 bilhões (G1, 2017). As perdas financeiras não se deram somente no momento da 30 venda, por conta do segundo vazamento o Yahoo foi multado em US$ 15 milhões pela SEC (Securities Exchange Commission), dos EUA, fez um acordo de US$ 80 milhões com os investidores e outro acordo de mais US$ 47 milhões com os consumidores (ROHR, 2018). Em 2017, a Verizon, que comprou o Yahoo em junho, revelou que a violação de contas do Yahoo foi três vezes maior do que fora divulgado, totalizando três bilhões de contas violadas (MULLEN; FIEGERMAN, 2017). Em julho de 2018 o Facebook foi multado em 500 mil libras pelo ICO (Gabinete da Comissão de Informação), autoridade de proteção de dados do Reino Unido, por não ter evitado que os dados de seus usuários caíssem nas mãos da consultoria política Cambridge Analytica23 (AUTRAN, 2018), vale ressaltar que a multa imposta é referente ao valor máximo a ser aplicado de acordo com a legislação vigente à época do fato, que foi em 1998, sob o regulamento da atual GDPR a multa seria de 4% do faturamento bruto do grupo, o que daria cerca de 17 milhões de libras. (IDGNOW, 2018) As violações de dados não se dão apenas por falhas de segurança, mas diz respeito também como a empresa age no tratamento24 de dados, em abril de 2013 o Google foi multado pelo Ministério Público de Hamburgo por coletar dados de conexão Wi-fi não protegida, dentre os quais havia também dados pessoais. (O GLOBO, 2013) Um estudo de 2017 feito pela IBM Security em parceria com a o Ponemon Institute, revelou que o custo da violação de dados aumentou significativamente entre 2013 e 2017, passando de um custo médio de R$ 116 por registro comprometido em para R$ 246, como mostra a figura abaixo: 23 Para maiores informações: G1. Entenda o escândalo de uso político de dados que derrubou valor do Facebook e o colocou na mira de autoridades. Disponível em: <https://g1.globo.com/economia/tecnologia/noticia/entenda-o-escandalo-de-uso-politico-de-dados-que- derrubou-valor-do-facebook-e-o-colocou-na-mira-de-autoridades.ghtml> 24 BRASIL. Lei nº 13.709 artigo 5º, inciso X : toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração 31 Figura 3 - O custo per capita médio da violação de dados nos últimos cinco anos. Fonte: POMENON, 2017 A pesquisa chega à conclusão que a principal causa dos vazamentos de dados são os ataques maliciosos ou criminosos 44%, contra 31% de erro humano e 25% de falhas no sistema. E mostrou também que quanto mais registros são perdidos, maior é o custo da violação dos dados, mostra também que alguns segmentos tem um custo mais elevado que outros, empresas de serviços financeiros e tecnologia apresentam números acima da média geral que é de R$ 246, já as empresas dos setores públicos (governo), varejo (lojistas) e transportes tiveram um custo per capita abaixo da média geral, como mostrado na figura abaixo: Figura 4 - Custo per capita por segmento. Fonte: POMENON, 2017 32 4. FORMAS DE COLETA DE DADOS: 4.1. Metadados: “A compreensão do termo metadados está atrelada à definição conceitual ‘dados sobre dados’, que abarca uma gama de possibilidades para a descrição e a representação de recursos em ambientes informacionais (tradicional ou digital) ” (CASTRO; SANTOS, 2018 p. 742). Castro e Santos (2018) explicam que o termo "metadados" foi cunhado por Jack E. Myers ainda na década de 60, ou seja, bem antes do auge dos computadores e da internet, onde esse termo, na maioria das vezes, aparecia relacionado aos sistemas gerenciadores de banco de dados (SGBD), mas que em sua essência já eram usados pelas bibliotecas nos esquemas de estruturas de descrição como o “Anglo American Cataloguing Rules – second edition” (AACR2r) e o formato “Machine Readable Cataloging” (MARC 21). Schuster et al. (2017) explicam que apensar de o metadado não mostrar o conteúdo em si de uma mensagem ou coleta, a combinação entre eles pode revelar expressivas informações sobre o titular destes dados, normalmente tais dados são os que estão longe da percepção do usuário na fase da coleta nos ambientes digitais, sendo assim, é normal que o indivíduo não se dê conta do alcance da coleta e não se dê conta do alcance das possíveis consequência do compartilhamento dos seus dados, uma vez que ele não tem ciência de tudo que é coletado. Em matéria para o jornal Ther Guardian25, Judith Duportail conta solicitou ao Tinder26 todos e quaisquer dados que eles tinham relacionado ao seu perfil no aplicativo. A jornalista conta que obteve uma lista com mais de 800 likes27, datas, lugares, comportamentos e outras informações que ela mesmo tinha ciência de ter fornecido para a plataforma, no entanto, além dessas informações o Tinder tinha suas fotos do Instagram28, segundo ela, (mesmo depois dela ter deletado a conta no 25 THER GUARDIAN. I asked tinder for my data. it sent me 800 pages of my deepest, darkest secrets. Disponível em: <https://www.theguardian.com/technology/2017/sep/26/tinder-personal-data-dating-app-messages-hacked-sold> 26 Tinder é um dos aplicativos de relacionamento mais populares do mundo para conhecer pessoas novas. Disponível em: < https://www.help.tinder.com/hc/pt-br/articles/115004647686-O-que-%C3%A9-o-Tinder- > 27 Ato de gostar de algo no ambiente digital. Disponível em: < https://super.abril.com.br/comportamento/a-verdade-sobre-os-likes/ > 28 Instagram é um programa de bate-papo com convidados que conversam de um jeito leve sobre as mais profundas questões humanas. Disponível em: < https://www.instagram.com/quemsomosnos.oficial/ > 33 aplicativo de fotos), os gostos e interações no Facebook29 e outros dados como seu histórico de localização durante os bate-papos. Apesar de não ter ciência dessa coleta de dados, Judith concordou que eles fossem coletados ao aceitar os termos do uso do aplicativo. Atualmente toda atividade praticada pelo indivíduo no ambiente material pode gerar dados ou informação no ambiente digital, inclusive informações de cunho pessoal definido por Parent (1983) como algo que nem todos gostariam que outras pessoas, exceto as pessoas próximas, soubessem, ou até mesmo atos em circunstâncias tão sensíveis que o sujeito prefira guarda-las apenas para si mesmo. A tecnologia atual permite que o computador “saiba” de coisas que não necessariamente foram “ditas” a ele diretamente. Através dos metadados30 é possível obter informações além das explicitadas na hora da coleta, através do compartilhamento de uma simples imagem pode-se também compartilhar informações de onde a foto foi tirada, qual smartphone foi usado, qual tipo de lente do aparelho dentre outras informações, como mostrado na imagem abaixo: 29 Facebook é a maior mídia e rede social do mundo com mais de 1 bilhão de usuários ativos, onde as pessoas podem construir comunidades e aproximar o mundo. Disponível em: < https://pt-br.facebook.com/pg/facebook/about/?ref=page_internal > 30 Um conjunto de dados - atributos - referenciais, metodologicamente estruturados e codificados, conforme padrões internacionais, para localizar, identificar e recuperar pontos informacionais de textos, documentos e imagens disponíveis em meios digitais ou em outros meios convencionais (ALVES; SANTOS, 2013, p. 40). Figura 5 - Foto e seus metadados. Fonte: O autor 34 O professor, da Universidade da Flórida, Owen Mundy criouo projeto “I know where your cat lives” (eu sei onde o seu gato mora) para mostrar o quão as pessoas podem estar expostas na internet. O projeto consiste em procurar nas redes sociais imagens marcadas com a palavra "cat", e extrair das fotos postadas a localização de onde ela foi tirada. Este projeto explora dois usos da internet: a apreciação sociável e humorística de felinos domesticados e o status do uso de dados pessoais por startups e megacorporações internacionais que estão aproveitando a onda de privacidade reduzida para todos. Este site não visualiza todos os gatos na net, apenas aqueles que permitem que você rastreie onde seus donos estão. (MUNDY, 2014, tradução nossa) O repórter Bruno Ferro, do "Diário da Região" testou a precisão do site e visitou 5 lugares que o site mostrava que as fotos que cotiam gatos foram tiradas e confirmaram três deles, nos outros dois não havia ninguém em casa. Ferro (2014) explica que nas outras partes do mundo as fotos marcadas com a hashtag31 (#) "cat" realmente se referem ao animal e tinham ele na imagem, já no Brasil como a palavra "gato" também pode ser uma gíria para se referir a uma pessoa bonita várias fotos de pessoas foram marcadas com essa hashtag. Abaixo figuras que mostram os registros do site e ajuda a perceber o alcance e precisão da ferramenta. 31 Consiste de uma palavra-chave antecedida pelo símbolo #, conhecido popularmente no Brasil por "jogo da velha". Disponível em: <https://www.significados.com.br/hashtag/> Figura 6 - Site iknowwhereyourcatlives visão geral. Fonte: O autor 35 Figura 7 - Site iknowwhereyourcatlives cidade de São Paulo Fonte: O autor Figura 8 - Site iknowwhereyourcatlives zona leste de São Paulo. Fonte: O autor 36 5. APIs: API é a sigla em inglês que significa “Application Programming Interface” é interface de programação de aplicação que serve para integrar plataformas em diversas para compartilhamento de serviços, processos, dados e diversos outros itens que seja possível. Orenstein (2000) explica que este recurso é usado quando um programa não consegue fazer determinada tarefa sozinho, quando isto acontece ele chama uma função da API que foi definida para o programa que está sendo chamado, para o autor, quase todo aplicativo depende de APIs do sistema operacional subjacente para executar suas funções básicas como, por exemplo, acessar sistemas de arquivos. Basicamente, uma API é um programa responsável por padronizar o modo como o programador vai solicitar serviços de outro programa (ORENSTEIN, 2000). Ainda nesta linha, o autor explica que uma API é criada quando o criador da aplicação tem a intenção que outros desenvolvedores utilizam sua plataforma, o Google e Facebook são grandes exemplos desta prática, uma vez que disponibilizam suas APIs para que qualquer um integre suas funcionalidades a seus respectivos serviços. Abaixo duas figuras que ilustram como as APIs são utilizadas pelos desenvolvedores: Figura 9 - Site Decolar.com utilizando API do Google Maps para mostrar local do Hotel. Fonte: O autor 37 A Graph API é a principal maneira de obter dados dentro e fora da plataforma do Facebook. É uma API de baixo nível baseada em HTTP que os aplicativos podem usar para consultar dados programaticamente, publicar novas histórias, gerenciar anúncios, fazer upload de fotos e realizar uma ampla variedade de outras tarefas. (FACEBOOK, 2018, tradução nossa) O caso “Cambridge Analytica”32 que possibilitou a empresa obter dados de mais de mais de 50 milhões de pessoas, sem o consentimento das mesmas, para fazer propaganda política só fora possível, dentre outros fatores, principalmente pelo uso que a Cambridge Analytica fez da API do Facebook, pois através deste recurso foi possível canalizar um enorme número de dados e correlaciona-los. O diretor de estratégia digital da TIBCO, Rob Zazueta, relata que ficou surpreso com a quantidade de dados que conseguiu coletar através da primeira API que o Facebook lançou, que tinha o intuito de possibilitar aos desenvolvedores a criação de jogos e aplicativos que aprimorassem o objetivo central do Facebook à época que era "conectar pessoas e permitir que eles compartilhassem suas vidas com seus amigos online", Zazueta 32 Para maiores informações: G1. Entenda o escândalo de uso político de dados que derrubou valor do Facebook e o colocou na mira de autoridades. Disponível em: <https://g1.globo.com/economia/tecnologia/noticia/entenda-o-escandalo-de-uso-politico-de-dados-que- derrubou-valor-do-facebook-e-o-colocou-na-mira-de-autoridades.ghtml> Figura 10 - Roteador Intelbras HotSpot 300 utilizando API do Facebook para autenticação. Fonte: O autor 38 (2018) relata que na ocasião pode navegar livremente pelo feed33 de notícias e lista de amigos de determinados usuários, além de poder replicar a interação social destes apenas com alguns comandos, o autor diz que apesar de os termos de uso proibir práticas como captura e armazenamento de dados, a plataforma não tinha nenhum ou pouco dispositivos de segurança que o impedissem de fazê-lo, e que aparentemente não havia qualquer ferramenta que possibilitava detectar se alguém tinha ou não violado as regras. Para o autor, há uma possibilidade de a Cambridge Analytica ter coletado os dados antes de 2015 que, segundo ele, foi quando o Facebook começou a limitar os dados fornecidos pelas APIs. Em entrevista dada para “O Diário de Caratinga” o professor e filósofo Mario Sergio Cortella, ao ser perguntado sobre o conceito de ética responde: ”ética é o conjunto de valores e princípios que usamos para responder a três grandes questões da vida: (1) quero? (2) devo? e (3) posso? Nem tudo que eu quero eu posso; nem tudo que eu posso eu devo; e nem tudo que eu devo eu quero” (CORTELLA, 2016, grifo nosso), a utilização das APIs deveria pautar-se nestes princípios, tendo em vista que nem todo dado desejado pode ser coletado; nem todo dado disponível pode ser coletado; e tudo que deve ser feito para resguarda-los deve ser feito, mesmo que não queira fazer. 33 A origem da palavra “feed” vem mesmo do inglês e significa “alimentar”. No caso, o internauta que não tem tempo para navegar por vários sites à procura de conteúdo seria “alimentado” com todas as atualizações que ele normalmente buscaria. Disponível em: < https://www.tecmundo.com.br/rss/252-o-que-sao-feeds-.htm > 39 6. PROTEÇÃO DE DADOS PESSOAIS A intromissão de terceiros, inclusive por parte do Estado, na vida privada das pessoas, sempre foi objeto de discussão da humanidade, a partir dos anos 70, quando os bancos de dados começaram a ser informatizados essa discussão começou a incluir questões sobre o que poderia ser sabido a partir da catalogação dos dados (aquisição de informação) do cidadão através dos bancos de dados computacionais (DONEDA, 2018). Este fenômeno aconteceu, principalmente, em países com forte tradição de "bem-estar social" como a Alemanha (1970) e Suécia (1973)34 que, inclusive, e não por acaso, foram os primeiros países que produziram as leis de proteção de dados pessoais (DONEDA, 2003). Logo após vieram as legislações dos Estados Unidos (1974), Alemanha (1977) e França (1978), porém, antes mesmo da promulgação dessas leis a comunidade Europeia já buscava proteger a vida privada de seus cidadãos, a Declaração Europeia de Direitos do Homem de 1950 já trazia em seu art. 8°35 noções sobre a privacidade assim como o art. 12° da DeclaraçãoUniversal dos Direitos Humanos de 194836. Em 1981 o único instrumento jurídico internacional vinculativo vigente na União Europeia para a proteção de dados era a Convenção 10837, atualmente os Estados-membros também conta com a GDPR38 (General Data Protection Regulation), uma atualização da diretiva 95/46/CE que tinha o objetivo de harmonizar e estabelecer uma igualdade no tratamento de dados pessoais pelos membros da União Europeia, estabelecendo direitos básicos aos titulares dos dados e promovendo princípios básicos na tutela, tratamento e manipulação destes dados pessoais. Aqui foram estabelecidos os critérios e padrões para transferência internacional dos dados (ainda sem menção de aplicação à extraterritorialidade), e também fora criado a figura da autoridade responsável pela fiscalização e arbitragem no setor de dados pessoais chamada "autoridades centrais de proteção de dados”. A diretiva 95/46/CE, por ser diretiva, ficava dependente da transposição de cada jurisdição nacional, sendo necessário que 34 A primazia na elaboração destas leis cabe ao Land alemão de Hesse, que promulgou a primeira lei de proteção de dados em 1970. O primeiro país a elaborar um estatuto nacional do gênero foi a Suécia, com a Datalag de 1973 (DONEDA, 2003 p.3) 35 Art. 8. Qualquer pessoa tem direito ao respeito da sua vida privada e familiar, do seu domicílio e da sua correspondência. Convenção Europeia dos Direitos do Homem, 1950. Disponível em: <https://www.echr.coe.int/documents/convention_por.pdf> 36 Art 12. Ninguém sofrerá intromissões arbitrárias na sua vida privada, na sua família, no seu domicílio ou na sua correspondência, nem ataques à sua honra e reputação. Contra tais intromissões ou ataques toda a pessoa tem direito a proteção da lei. ONU. Declaração Universal dos Direitos Humanos. Paris, 1948. Disponível em <http://www.un.org/en/universal-declaration-human-rights/> 37 CONSELHO DA EUROPA. Manual da legislação europeia sobre proteção de dados. Luxemburgo: Serviço das Publicações da União Europeia, 2014. 212 p 38 Lei geral de proteção de dados da União Europeia 40 os países adotassem o texto em seu direito interno para poder ser aplicado, isto acabava gerando uma diferença no nível de proteção de dados em cada país (OLIVERIA et al, 2018), então em 2016, com o intuito de unificar a proteção dos seus cidadãos, a União Europeia substituiu a antiga diretiva pelo regulamento nº 679/2016 (Regulamento Geral de Proteção dos Dados Pessoais). Agora como regulamento, sendo norma interna e não mais apenas uma diretiva, o instrumento é diretamente aplicável aos 28 Estados-membros sem necessidade de adoção por parte países do grupo. Este regulamento passou a ser aplicável a partir de 25 de maio de 2018. Atualmente 126 países possuem leis de proteção de dados pessoais (DONEDA, 2018), dentre eles estão a Argentina que tem sua lei desde 1994, Chile que possui uma legislação desde 1999, Uruguai com a sua em vigência desde 2008, Colômbia vigente desde 2010 e Peru que aprovou sua lei em 2011 (FILHO, 2018) e os países da União Europeia como Espanha, Portugal Alemanha e Reino Unido, como mostrado na figura abaixo: Figura 11 - Leis e Projetos de Lei geral sobre proteção de dados e privacidade em 2018. Fonte: BANISAR, 2018 41 7. LGPD No Brasil a lei sobre proteção de dados pessoais é de 14 de agosto de 201839, com vacância de 18 meses, ou seja, só passará a ser aplicada a partir do ano 2020. É de consenso entre os operadores do direito que a legislação brasileira adequou-se tardiamente ao panorama mundial, de qualquer forma, com grande inspiração na GDPR Europeia, a lei nº 13.709/2018, conhecida como LGPD (Lei Geral de Proteção de Dados), trouxe o Brasil à uma posição de igualdade para com seus parceiros mundiais, segundo Filho (2018), por não ter uma legislação de proteção de dados pessoais, o Brasil chegou a perder investimentos estrangeiros por conta da insegurança e “isolamento jurídico”, que a falta de uma lei específica causava. O desenvolvimento da disciplina de proteção de dados teve seu início a partir da aplicação de concepções do direito à privacidade e da proteção da pessoa frente ao desenvolvimento da tecnologia (DONEDA, 2003), “os dados pessoais são cumulações de fatos e acontecimentos que formam a personalidade de cada indivíduo, os dados pessoais podem contar de forma precisa a história de vida de cada cidadão. ” (SOUZA, 2018 p.5). A partir dessas declarações, fica explicita a intrínseca e inevitável relação que há entre os dados pessoais e a privacidade, pois o acesso aos dados pessoais pode significar uma violação de privacidade, uma vez que pode contar, com detalhes, a história de um indivíduo. Partindo desta premissa, vemos que no ordenamento jurídico brasileiro já existem leis anteriores a LGPD que protegem a privacidade do indivíduo, e consequentemente seus dados pessoais, começando pela Constituição de 1988 que guarda a intimidade e vida privada do cidadão (BRASIL, 1988), passando pelo CDC (Código de Defesa do Consumidor) de 1990, que garante ao cidadão o direito de acesso às suas informações e dados pessoais cadastradas nos bancos de dados incluindo suas fontes oriundas (BRASIL, 1990) e alcançando outras leis especificas como a lei n° 12.965/2014 (Marco Civil da Internet) que garante a proteção dos dados pessoais, na forma da lei (BRASIL, 2014). Acontece que a proteção proporcionada por estes instrumentos além de ter uma interpretação “genérica” e superficial ao que se refere a dados pessoais, é aplicada exclusivamente ao ambiente para que a eles foram propostos, como é o caso do CDC que se aplica apenas nas relações de consumo e do marco civil da internet que é aplicado somente 39 http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm 42 referente a dados trafegados na rede mundial de computadores, a LGPD veio para homogeneizar (ou chegar perto disso) o entendimento do judiciário e dar segurança jurídica para todos os envolvidos no tratamento de dados pessoais. As leis de proteção de dados pessoais, tem conceitos fortemente embasados no FIPPs (Fair Information Practice Principles), que foi um documento elabora através de estudos das agências dos governos dos EUA, Europa e Canadá, que visava analisar como era coletada e usada as informações das pessoas, chamadas como "Práticas de informação", e a partir daí garantir que tais práticas fossem justas e que pudessem garantir a privacidade do indivíduo (AFFONSO, 2018), o documento foi preparado pelo comitê consultivo dos EUA e deu origem a um conjunto de princípios e diretrizes para a proteção de dados pessoais, usado na proposição das leis de diversos outros países (GELLMAN, 2017), dentre 8 princípios propostos no documentos destacam-se 5 listados a seguir: 1. Aviso e Consciência: para que o dado possa ser coletado é necessário que o indivíduo seja avisado sobre a coleta e o que poderá ser feito com os dados coletados. É imprescindível que o indivíduo esteja ciente da coleta antes de ceder seus dados pessoais, pois, a validade dos outros princípios depende da ciência do titular do dado sobre as políticas de privacidade do serviço. Isto posto, identifica-se as seguintes questões: a) quem coleta os dados; b) o que vai ser feito com estes dados; c) com quem os dados serão compartilhados; d) de quais fontes e de que forma os dados serão coletados; e) quais as condições para coleta de dados (obrigatória ou voluntária) e as consequências para o titular dos dados, caso haja uma recusa em sua coleta (limitação do serviço, pagamento por funções extras, recusa do fornecimento do serviço etc.) f) o que o detentor destes dados faz para garantir a confidencialidade, integridade e qualidade destes dados,
Compartilhar