Por Bruno Bioni*
Há, cada vez mais, interesse por parte de profissionais de todas as áreas no tema da privacidade e proteção de dados pessoais. Em uma sociedade cada vez mais orientada e movida por dados (data-driven society), é difícil imaginar uma situação na qual o tópico da privacidade não está posto de forma direta ou indireta.
Entidades públicas e privadas de todos os tipos, não só aquelas que prestam algum tipo de serviço online, estão criando posições ou mesmo todo um time para auxiliar os chamados Data Protection Officer/DPO ou os Chief Privacy Officers (CPO). Com a chegada da nova regulamentação europeia de proteção de dados pessoais – a General Data Protection Regulation/GDPR – estima-se, por exemplo, que mais de 28 mil profissionais com essa expertise serão contratados.
No campo acadêmico não é diferente. De iniciações científicas a teses de livre-docência, é recorrente que os respectivos recortes de pesquisa estejam voltados para algumas das várias reflexões possíveis em torno da proteção à privacidade e aos dados pessoais. Há toda uma agenda de pesquisa sendo formatada.
Em meio a todo esse cenário de ebulição, muitos desejam iniciar seus estudos e se capacitar para esse novo mercado. Mas por onde começar? A lista de textos abaixo inicia uma resposta a essa pergunta. Uma escolha bastante arbitrária, devo confessar, que conjuga livros e artigos nacionais e estrangeiros, escritos por autores de diversas gerações e publicados em momentos bastante distintos. Boa leitura!
1) Privacy in the context, de Helen Nissenbaum
Multicitado por engenheiros, cientistas políticos e juristas, o livro “Privacidade em Contexto” aponta para o valor social e político da privacidade. Uma visão filosófica de que as pessoas não querem simplesmente restringir o fluxo das suas informações pessoais, mas que o seu trânsito se dê de forma apropriada de acordo com o contexto das suas esferas socais. Isso impõe pensar em “normas informacionais” que governem a “integridade” do fluxo das informações, levando-se em consideração principalmente as suas implicações sobre a capacidade de autodeterminação dos indivíduos. O relato teórico da filósofa sul-africana, atualmente professora da Cornell Tech University, joga luz sobre problemas bastante concretos e atuais, como, por exemplo, as implicações éticas sobre os diversos re(usos) de uma base de dados possibilitado por tecnologias como Big Data.
2) The Governance of Privacy, de Colin Bennet e Charles Raab
Escrito por dois cientistas políticos que conjugam as experiências norte-americana e europeia, o livro se debruça sobre o que se chamou de “caixa de ferramentas” da regulação da Privacidade. É um livro sobre teoria da regulação da proteção de dados pessoais, o qual mapeia os mecanismos de autorregulação, corregulação e regulação estatal desse campo (códigos de boas condutas, selos de certificação, autoridades garantes e privacy commissioners etc). Ao final, o leitor terá uma fotografia dos objetivos, instrumentos e impactos de toda a estrutura de “governança da privacidade”.
3) The Electronic Eye, de David Lyon
O sociólogo canadense faz uma incursão pelas entranhas do que chama de sociedade de vigilância, colocando em perspectiva que o controle e a participação social são cada vez mais condicionados pela coleta, processamento e compartilhamento de dados pessoais. Da concepção do estado welfarista (estados do bem-estar social) até a reconfiguração das relações de consumo e de trabalho, os capítulos dessa obra, escrita em 1994, permanecem atuais para compreender como a dinâmica social está toda estruturada no uso das informações pessoais do cidadão-consumidor-trabalhador para classificá-lo, categorizá-lo (social sorting), e decidir se ele terá acesso a um benefício social, a um bem de consumo e ao mercado de trabalho.
4) A vida na Sociedade da Vigilância, de Stefano Rodotà
Um dos maiores juristas da história (não só no campo da proteção de dados pessoais) e ex-presidente da Autoridade Garante Italiana de Proteção de Dados Pessoais, Stefano Rodotà é leitura obrigatória. Nessa obra, que é a tradução de parte dos artigos do jurista italiano, o leitor encontrará uma análise dogmática precisa, sem perder de vista as respectivas implicações práticas, entre direitos irmãos, mas autônomos: privacidade e proteção de dados pessoais.
5) Da privacidade à proteção de dados pessoais, de Danilo Doneda
Escrita em 2006, é impressionante como principalmente os dois primeiros capítulos dessa obra ainda permanecem extremamente atuais para questões até hoje enfrentadas no campo da proteção de dados pessoais. Ao fazer uma incursão pelos direitos da personalidade e pela interdependência entre tecnologia e privacidade (arquitetura da privacidade), os referenciais teóricos da obra de Danilo Doneda são atemporais e permanecem guiando os estudos desse campo.
6) Privacidade, mercado e informação. In Coleção doutrinas essenciais de Responsabilidade civil: direito à informação, volume 8, p. 27-40, de Ronaldo Porto Macedo Júnior
Um ensaio que vai direito em um dos grandes gargalos da proteção de dados pessoais: o de que os titulares da informação estão inseridos em relações assimétricas de poder e informacional. Ao traçar considerações sobre a sobrecarga da informação (overloaded information) e da racionalidade limitada (bounded rationality) do ser humano, o leitor se deparará com a reflexão em torno das possíveis estratégias e justificativas normativas para a equalização dessas relações desequilibradas.
7) Privacidade e proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental, de Laura Mendes
Além de fornecer os elementos teóricos da proteção de dados pessoais, Laura Mendes analisa também, de forma bastante didática e precisa, a dogmática jurídica da matéria no ordenamento brasileiro. Atenção especial é dada à feição constitucional da proteção de dados pessoais e como sendo um direito básico do consumidor, deparando-se o leitor, ao final, com questões bastante pragmáticas como, por exemplo, a análise da (i)legalidade do uso de cookies para a coleta de dados.
8) Examined lives: informational privacy and subject as object. Stanford Law review, No. 52 (1999-2000). p. 1373-1438, de Julie Cohen
Ao propor o que chama de “teoria dinâmica da privacidade informacional”, a professora de Georgetown desconstrói a retórica de que limitações ao uso de dados pessoais colidiriam necessariamente com o direito de propriedade, de escolha (autonomia da vontade), liberdade de iniciativa e de produção de conhecimento. Tais direitos não são rivais, mas convergentes a partir da perspectiva de que a circulação da informação tem um “papel social” a cumprir. O estabelecimento de “zonas de proteção” é primordial não só ao indivíduo, mas para a própria “constituição” da sociedade. Esse texto dá fundação teórica para outro, até mais citado e conhecido da autora (What is privacy for), que vai, por exemplo, estabelecer a relação de interdependência entre proteção à privacidade e inovação.
9) Understanding Privacy, de Daniel Solove
Após analisar detidamente vários dos conceitos do direito à privacidade, o jurista americano conclui que todas as construções teóricas são falhas por não capturarem um traço comum e universal de uma problemática totalmente multifacetada. Ao final, o leitor se deparará com uma taxonomia bastante útil, focada nos problemas que a violação do direito à privacidade pode ocasionar. Essa metodologia ganha ainda mais relevância na atualidade em que a (des)proteção dos dados pessoais está associada a um admirável “mundo novo” de danos e riscos, sobretudo de ordem coletiva.
10) Tutela e privacidade na Internet, de Marcel Leonardi
Após trazer considerações teóricas sobre privacidade e a teoria da regulação na Internet, Marcel Leonardi analisa os mecanismos processuais de tutela da privacidade e, em particular, frente aos intermediários (provedores de aplicação e conexão). Além de trazer considerações sobre a proporcionalidade dessas medidas, a obra não deixa passar despercebida a (in)suficiência da tutela individual e a importância em se pensar a tutela coletiva da privacidade.
11) Behavioral Advertising: The Offer You Cannot Refuse (August 28, 2012). 6 Harvard Law & Policy Review 273 (2012), de Chris Jay Hoofnagle et al
Uma pesquisa empírica metodologicamente extremamente sofisticada que reuniu pessoas do campo do direito e da engenharia com o objetivo de investigar como acontece o rastreamento da navegação das pessoas e quais são as opções para barrá-lo. Após analisar diversos websites, os pesquisadores demonstraram que várias são as tecnologias de monitoramento e, não raramente, são projetadas para “driblar” as escolhas daqueles poucos indivíduos que têm conhecimento técnico para teoricamente recusá-las. A partir dessas evidências empíricas, o leitor se chocará com a reflexão de que uma pitada de “paternalismo” (ou soft paternalismo) se faz necessário para, ao reduzir essa assimetria de informação e de poder, garantir uma esfera mínima de controle das pessoas sobre seus dados.
12) Against notice skepticism in privacy (and elsewhere). In Notre Dame law review, vol. 87:3, march, 2011. p. 1027-1072, de Ryan Calo
Ao considerar que a própria tecnologia poderia empoderar os cidadãos com um controle mais significativo dos seus dados pessoais, o texto rebate o ceticismo (cada vez mais recorrente) em torno do consentimento como um dos principais vetores para a proteção dos dados pessoais. Se tal instrumento tem sido pouco eficiente, isso pode ser atribuído à maneira pouco transparente e, não raramente, manipuladora pela qual os consumidores são informados. Ao propor a ideia de uma informação-consentimento “visceral”, a reflexão do texto permanece sendo bastante atual: como o design das tecnologias poderia facilitar o controle das informações por parte das pessoas?
13) Broken promises of privacy: responding to the suprising failure of anonymization, de Paul Ohm
Um dado não pode ser perfeitamente anônimo (“100%” insuscetível de ser reidentificado) e, ao mesmo tempo, útil. Haverá sempre o risco da reversão do processo de anonimização que poderá levar à identificação de um indivíduo. Multicitado até mesmo por engenheiros, esse artigo, escrito por um professor da Faculdade de Direito de Georgetown, quebra com a dicotomia “dura” entre dados pessoais e dados anônimos, bem como com a crença de que dados anonimizados não representariam nenhum tipo de risco. Ao se valer de conceitos técnicos como da entropia da informação, propõe-se que leis e reguladores concentrem esforços em identificar quais os riscos (toleráveis) com o uso e a reidentificação de base de dados anonimizadas. Muito embora já se tenham passados mais de oito anos da publicação desse texto, essa é ainda uma controvérsia bastante recorrente no debate de proteção de dados pessoais.
Uma pesquisa genial que contrapõe outra, também genial. Em 2011, dois professores da universidade de Berkley, Deirdre K. Mulligan e Kenneth A. Bamberg, fizeram uma pesquisa empírica em que entrevistaram os chief privacy officers (CPOs) de várias companhias americanas. O resultado da pesquisa sugeria que a privacidade dos livros (e das leis) não necessariamente corresponderia ao “chão” (da fábrica) das corporações, o que não necessariamente seria ruim. Por exemplo, apesar de os Estados Unidos não terem uma lei geral de proteção de dados pessoais, a cultura corporativa em se ter profissionais especializados em privacidade (CPOs), associado a um ecossistema de enforcement eficiente na figura do órgão regulador americano (Federal Trade Commission) e das poucas regras existentes (Fair Information Practice Principles), teria gerado boas práticas para prevenir violações e danos à privacidade dos consumidores.
Quase sete anos depois, o professor da Universidade de Nova Iorque, Ari Ezra Waldman, alargou a amostra de entrevistados. Seu estudo etnográfico considerou todo o ecossistema corporativo, não só os chief privacy officers (CPOs), mas, também, engenheiros, programadores e outros profissionais de tecnologia. Os achados da pesquisa apontam que não há uma cultura organizacional tão positiva, em termos de privacidade, quando se leva em consideração justamente quem é responsável por criar as linhas de códigos dos produtos. Se não houver interação entre advogados, programadores, engenheiros e outros profissionais, a privacidade dos livros (e das leis) ainda estará dissociada daquela do “chão” de fábrica. Essa é uma reflexão da ordem do dia quando se fala em privacidade por concepção, privacy by design.
Textos do autor
16) Xeque-Mate: o tripé da proteção de dados pessoais no Xadrez Legislativo, de Bruno Bioni
Os três pontos mais importantes de qualquer lei de proteção de dados pessoais são: a) o conceito de dado pessoal; b) o conceito de dado anônimo e; c) consentimento. Além de estabelecer um comparativo entre os três projetos de uma lei geral de proteção de dados pessoais em tramitação no Congresso Nacional sobre esses três pontos centrais, o relatório de pesquisa do Grupo em Políticos Públicas para o Acesso à Informação/GPoPAI-USP é atemporal por mapear os seus respectivos referenciais teóricos. O estudo é útil para quem queira não só se engajar no debate legislativo brasileiro, mas, também, para quem deseja compreender, em uma linguagem acessível e com exemplos práticos, o tripé que dá sustentação às normativas de proteção de dados pessoais.
A combinação do dever-direito de informação, transparência e diálogo das fontes de leis setoriais – e.g., Código de Defesa do Consumidor, Marco Civil da Internet e Lei do Cadastro Positivo – pode ser uma forma de sistematizar a proteção de dados pessoais fragmentada do ordenamento jurídico brasileiro. A partir disso, o artigo, premiado como a melhor monografia no concurso organizado pelo Instituto Brasileiro de Política e Direito do Consumidor/Brasilcon, identifica um objetivo comum entre todas essas leis setoriais que é, ao reduzir a assimetria de informação e poder, permitir que o cidadão autodetermine (controle) as suas informações pessoais – autodeterminação informacional.
18) Proteção de Dados Pessoais: a função e os limites do consentimento (no prelo, Editora GEN-Forense, 2018), de Bruno Bioni
O livro aborda aquele que é um dos temas mais importantes e, ao mesmo tempo, um dos mais desafiadores do campo da proteção de dados pessoais: consentimento. Essa ambivalência corresponde justamente à alma da obra que faz uma investigação dogmática, mas sem perder de vista aportes empíricos, para identificar qual é a função e os limites do consentimento na proteção dos dados pessoais. Além de explorar questões basilares como a proteção de dados pessoais sendo um direito de personalidade autônomo frente ao direito à privacidade, o leitor encontrará uma análise detida sobre como o direito e a tecnologia podem enfraquecer ou nutrir a capacidade do cidadão em controlar seus dados pessoais. Com isso, coloca-se em perspectiva que o consentimento deve ser funcionalizado a partir da equalização das assimetrias de poder e de informação em jogo. E, além disso, que haja uma estratégia regulatória não só focada no consentimento, mas, também, apoiada na ideia de que há um valor social na proteção dos dados pessoais e, portanto, limites devem ser estabelecidos.
*Mestre em direito pela USP e pesquisador da Rede Latino-Americana de Estudos sobre Vigilância, Tecnologia e Sociedade/LAVITS.
Texto publicado originalmente no Jota, no dia 08/06/2018