O impacto da legislação brasileira de proteção de dados sobre a publicidade comportamental

Por Carla Segala Alves e Yasmine Oliveira

 

Na denominada “sociedade de informação”, a obtenção de dados pessoais desempenha papel essencial nas relações comerciais. Isto porque, atualmente, as referidas relações passaram a ser pautadas, muitas vezes, no rastreamento e processamento de dados (tracking e data mining), bem como nas práticas publicitárias direcionadas ao usuário, por meio do profiling[1].

Isso gera como consequência a crescente preocupação com possíveis impactos aos direitos relacionados à privacidade e ao desenvolvimento de personalidade do usuário de internet. Apesar da legislação brasileira vigente já tratar, de forma esparsa, do direito à privacidade, a Lei nº 12.965/2014[2], popularmente conhecida como o Marco Civil da Internet, e o Decreto nº 8.771/2016[3], que a regulamentou, trouxeram relevantes previsões relacionadas à privacidade, que impactam a forma como dados pessoais são tratados atualmente.

Dentro da temática da utilização de dados para a previsão de comportamentos humanos, importa destacar que, em outubro deste ano, o prêmio Nobel de Economia foi concedido ao renomado economista norte-americano Richard Thaler. Ele foi um dos grandes responsáveis pela união entre os efeitos da psicologia humana na economia, baseando-se na premissa de que a sociedade toma decisões que podem ser consideradas irracionais em seu dia a dia, inclusive levando em conta apenas questões culturais e subjetivas, intrínsecas à personalidade individual. Essa teoria ficou conhecida como “economia comportamental”, e segue uma linha de raciocínio distinta da corrente tradicional, demonstrando que as alterações econômicas muitas vezes não podem ser previstas, ou sequer explicados após sua ocorrência[4].

Em uma análise paralela, a publicidade comportamental segue linha de raciocínio semelhante, já que objetiva a máxima eficiência quanto à mensagem publicitária, por meio de sua veiculação em veículos de mídia dirigidos precisamente a perfis determinados, ou seja, almeja a inserção da publicidade de forma a atrair especificamente aquele consumidor. Assim, com o avanço da tecnologia e a ampliação do uso da internet, ocorreu aumento substancial da obtenção de informações dos consumidores com a alteração do fluxo informacional entre fornecedor e consumidor, possibilitando formas de abordagem individualizadas, sendo que atualmente, o consumidor não é somente o destinatário da publicidade contextual elaborada pelas empresas e órgãos, mas também fonte destas informações, as quais muitas vezes determinam como se dará seu tratamento.

Evidente, portanto, que a legislação acerca de privacidade e proteção de dados pessoais tem impacto profundo na corrente prática de mercado. Entretanto, o ordenamento jurídico brasileiro não inviabiliza referida prática, sendo plenamente possível a realização de publicidade comportamental de acordo com a legislação vigente

Para tanto, deve haver cuidadoso estudo acerca dos efeitos da publicidade comportamental, tendo em vista a possibilidade de a manipulação de dados pessoais para tal finalidade influenciar futuras decisões do indivíduo, uma vez que a veiculação de conteúdo publicitário apenas de produtos que se encaixam do perfil resultante da prática de profiling pode, por exemplo, eventualmente restringir o número de alternativas que serão oferecidas ao consumidor, caracterizando o fenômeno denominado boxing[5], no qual os produtos fornecidos são “encaixotados” em torno de suposições elaboradas em decorrência da análise comportamental dos consumidores, o que pode corresponder à publicidade abusiva, nos termos do Código de Defesa do Consumidor[6].

Além da redução de alternativas oferecidas em decorrência do boxing, outra atividade que pode ser realizada a partir do estudo do perfil do consumidor é a diversificação de preço a ser cobrado (adaptative pricing), por meio da identificação de consumidores que estão inclinados a pagar mais por determinado produto, o que pode constituir violação à legislação consumerista brasileira.

É clara, assim, a necessidade de que, quando da exploração da publicidade comportamental, sejam preservados os direitos dos consumidores – não apenas o direito à privacidade, como também a proteção das informações pessoais do usuário e o estabelecimento de regras objetivando o afastamento e desincentivo de práticas abusivas.

Neste sentido, importante destacar que o Marco Civil da Internet prevê, em seu artigo 7, a necessidade de que sejam fornecidas informações claras e completas acerca da coleta, uso e tratamento de dados pessoais, havendo a necessidade de consentimento do usuário para a prática de tais atos, bem como a necessidade de obtenção do consentimento livre, expresso e informado do usuário para o compartilhamento dados pessoais com terceiros.

Portanto, embora não haja, no Brasil, regulamentação expressa acerca da publicidade comportamental, devem ser respeitados os requisitos previstos no Marco Civil para o tratamento de dados pessoais. Além disso, em razão das previsões do Código de Defesa do Consumidor[7] e do Código de Autorregulamentação do CONAR[8], acerca da necessidade de identificação clara de qualquer conteúdo de caráter publicitário, faz-se necessária a identificação clara e direta da publicidade comportamental que lhe é dirigida ao usuário.

Por fim, é de grande relevância que seja respeitado o direito do consumidor à autodeterminação informativa, por meio da possibilidade deste de impedir ou modular a coleta de informações acerca de seus hábitos, limitando, consequentemente, a prática de profilling. Neste sentido, foram desenvolvidas ferramentas administradas por grupos ou coalizões do setor privado, as quais visam facilitar o direito do consumidor de não possuir sua navegação monitorada, como a NAI Opt-out Tool (Network Advertising Initiative), que visa facilitar a revogação do consentimento dos diversos mecanismos de monitoramento da navegação administrados por empresas membros da NAI[9]. Outra ferramenta sugerida é a Do Not Track List[10], pela qual seria possível ao usuário de internet optar por não se submeter ao monitoramento de sua navegação. Tal mecanismo inspira-se na Do Not Call List, a qual impede o marketing telefônico e que teve sua viabilidade comprovada em anos de utilização.

Deste modo, é evidente que a publicidade comportamental corresponde a fenômeno irreversível, incorporado às relações de consumo e à prática publicitária, sendo lícita, nos termos da legislação brasileira atualmente posta, desde que respeitados os requisitos para coleta, uso e tratamento de dados pessoais, em especial o quanto disposto no Marco Civil, bem como as regras constantes da legislação consumerista acerca da identificação publicitária e da vedação à publicidade abusiva.

 

[1] Forma de tratamento de dados pela qual se agrupam informações dos titulares de dados pessoais, com a consequente formação de seus perfis, expressando características de sua personalidade.

[2] BRASIL, Lei nº 12.965, de 23 de abril de 2014, a qual estabelece princípios, garantias, direitos, e deveres para o uso da internet no Brasil.

[3] BRASIL. Decreto nº 8.771, de 11 de maio de 2016, que Regulamenta a Lei no 12.965, de 23 de abril de 2014, para tratar das hipóteses admitidas de discriminação de pacotes de dados na internet e de degradação de tráfego, indicar procedimentos para guarda e proteção de dados por provedores de conexão e de aplicações, apontar medidas de transparência na requisição de dados cadastrais pela administração pública e estabelecer parâmetros para fiscalização e apuração de infrações.

[4] Disponível em http://epocanegocios.globo.com/Economia/noticia/2017/10/entenda-teoria-que-deu-richard-thaler-o-nobel-de-economia.html. Acesso em 28.12.2017.

[5] ABRAMS, Martin. “Boxing and concepts of harm”, in: Privacy and Data Security Law Journal, set. 2009, pp. 673-676. Acesso em 6 de dezembro de 2016. http://theprivacyprojects.org/wp-content/uploads/2009/08/PDSLJ-article.pdf.

[6] Código de Defesa do Consumidor: Art. 37. É proibida toda publicidade enganosa ou abusiva. (…) § 2° É abusiva, dentre outras a publicidade discriminatória de qualquer natureza, a que incite à violência, explore o medo ou a superstição, se aproveite da deficiência de julgamento e experiência da criança, desrespeita valores ambientais, ou que seja capaz de induzir o consumidor a se comportar de forma prejudicial ou perigosa à sua saúde ou segurança.

[7] Código de Defesa do Consumidor: Art. 36. A publicidade deve ser veiculada de tal forma que o consumidor, fácil e imediatamente, a identifique como tal. Parágrafo único. O fornecedor, na publicidade de seus produtos ou serviços, manterá, em seu poder, para informação dos legítimos interessados, os dados fáticos, técnicos e científicos que dão sustentação à mensagem.

[8] Código do CONAR: Artigo 28 – O anúncio deve ser claramente distinguido como tal, seja qual for a sua forma ou meio de veiculação.

[9] Disponível em: http://www.networkadvertising.org. Acesso em 28.12.2017.

[10] Disponível em: https://www.ftc.gov/news-events/media-resources/protecting-consumer-privacy/do-not-track. Acesso em 28.12.2017.

 

Carla Segala Alves é Advogada associada do Opice Blum, Bruno, Abrusio e Vainzof Advogados. Especista em Propriedade Intelectual e Novos Negócios pela Fundação Getúlio Vargas/SP (FGV-SP). Bacharel em Direito pela Universidade Presbiteriana Mackenzie.

Yasmine Oliveira é Advogada associada do OBA, especializada em direito empresarial pela FGVSP, bacharel pela Universidade Presbiteriana Mackenzie

 

Os artigos publicados no Digital Rights.cc são de autoria de colaboradores da plataforma e não representam as opiniões ou posicionamentos do Digital Rights.cc. A plataforma do Digital é um espaço plural que tem como finalidade contribuir para a discussão do Direito e Tecnologia em âmbito nacional e internacional, bem como garantir que diferentes atores na área de tecnologia possam ter voz e expressar suas opiniões, fato este que enriquece para um debate multisetorial e pluriparticipativo.

Quer também publicar no Digital? Envie seu artigo para editorial@digitalrights.cc que nós entraremos em contato com você. 

A Receita Federal pode coletar dados de usuários de redes sociais?

Agora é oficial: a Receita Federal está olhando o que você posta nas redes sociais. Não é mais conversa de bar; no último dia 14 de março, o próprio órgão utilizou uma rede social (Twitter) para confirmar o que já se falava em alguns canais da mídia.

Segundo a nota oficial divulgada, “a Receita Federal utiliza informações de redes sociais de forma rotineira na análise e seleção de contribuintes para fins de fiscalização. Na execução da fiscalização é muito comum que o Auditor-Fiscal analise as redes sociais para identificar bens e possíveis interpostas pessoas (laranjas) nos relacionamentos do contribuinte fiscalizado. Já na área de seleção e programação da ação fiscal, a Receita Federal está utilizando modelos de inteligência artificial que realizam buscas na internet e incluem essas informações dentre os parâmetros para seleção do contribuinte para fiscalização (malha)”.

Basicamente, a Receita Federal vem se utilizando de tecnologias para obtenção de dados disponíveis na internet que já é bastante difundida no setor privado e atendem aos mais diversos fins (ampliação de bancos de dados de empresas de saúde, do setor financeiro, de bureaus de crédito etc).

Dentre outros citados na comunicação, estes são alguns exemplos concretos de usos que o órgão faz ou já fez das informações extraídas de redes sociais:

  • A partir de fotos analisadas, a Receita descobriu relação de um laranja com o real proprietário da uma empresa;
  • A Receita percebeu a real situação financeira de um cidadão em razão de comentários de seu filho (de idade não revelada) sobre bens e viagens caras de seu pai;
  • Constantemente, agentes da Receita monitoram as amizades entre usuários de redes sociais, a fim de descobrir laranjas e transferências patrimoniais; e
  • Determinada vez, a Receita verificou que um laranja, “dono de empresa” que faturava 100 milhões por ano, postava fotos de “churrasco na laje”, demonstrando incompatibilidade de sua situação de proprietário daquela empresa.

Do ponto de vista jurídico, a medida, que, segundo a própria Receita, tem relevante eficácia na caça aos sonegadores, levanta alguns pontos de preocupação, quais sejam:

  1. Qual o fundamento legal que justifica a utilização de redes sociais de forma rotineira na análise e seleção de contribuintes para fins de fiscalização?

Em primeiro lugar, é relevante mencionar que a utilização de dados variados tem se tornado uma tendência na fiscalização de contribuintes ao redor do mundo.

No Brasil, em teoria, o Fisco pode se valer de todas as informações não protegidas por sigilo. Nesse sentido, a fim de analisar a possibilidade de o Fisco obter informações por meio de redes sociais, é importante tecer alguns comentários sobre a oponibilidade de sigilo ao Fisco.

Inicialmente, pode-se citar o sigilo bancário, previsto no artigo 5º, X, da CF/88 e no artigo 1º da Lei Complementar 105/2001. A mesma Lei Complementar nº 105/2001, que garante o sigilo bancário, autoriza o acesso dos dados pelo Fisco, nos casos considerados indispensáveis, não condicionando esse acesso à obtenção de decisão judicial.

Recentemente, a possibilidade de o Fisco acessar os dados bancários dos contribuintes independentemente de decisão judicial foi considerada constitucional pelo Supremo Tribunal Federal, no julgamento das ADI 2390, 2386, 2397 e 2859. Nesses casos, afirmou-se, em suma, que o acesso aos dados bancários pelo fisco coaduna-se com o dever dos contribuintes, de pagar tributos, e do Fisco, de bem tributar e de fiscalizar. Além disso, entendeu-se não se tratar de qualquer quebra de sigilo, mas de transferência do sigilo da instituição financeira para o Fisco.

Esse tema, na realidade, não foi discutido somente no Brasil. Como também é sabido, os Estados Unidos iniciaram os movimentos nesse sentido com o Foreign Account Tax Compliance Act (“FATCA”), que trata do intercâmbio de informações financeiras de cidadãos norte-americanos. A OCDE também inseriu esse ponto em seus avanços mais recentes, com o Common Reporting Standard (“CRS”), que trata da troca de informações entre os países signatários da convenção multilateral sobre assistência mútua em matéria tributária.

Todo esse pano de fundo é relevante para se concluir que os países têm se articulado para obter cada vez mais informações sobre os contribuintes, a fim de evitar o fenômeno mundialmente observado da sonegação fiscal, que ganhou extrema relevância nos últimos anos, sendo o principal enfoque de recentes medidas e recomendações da Organização para a Cooperação e Desenvolvimento Econômico (“OCDE”)[1].

Sopesando esses valores, do direto ao sigilo perante o Fisco e da necessidade de combate à sonegação, apontada como um fator de instabilidade do bem-estar social global, é até compreensível o posicionamento da Receita com relação à obtenção de dados pessoais na internet, tal como recentemente divulgado, pois, se o Fisco pode acessar até mesmo informações protegidas pelo sigilo constitucional, poderia em tese, também, valer-se de dados que o próprio contribuinte disponibiliza na internet.

Portanto, estritamente do ponto de vista do Direito Tributário, a medida formalmente anunciada pela Receita não encontra óbices jurídicos.

  1. Quais são os limites da legalidade da medida?

Em que pese o Fisco, do ponto de vista do Direito Tributário, poder acessar as informações dos contribuintes postadas na internet, tal fato não significa que inexistam limites para esse acesso e tratamento dos dados coletados.

Nesse sentido, a utilização das redes sociais por um ente público deve respeitar os princípios da administração pública, notadamente o da moralidade, previsto no artigo 37 da Constituição Federal. Assim, o Fisco, mesmo arguindo a seu favor a necessidade de combate à sonegação fiscal, não poderia utilizar-se de meios ardilosos para obter informações que o usuário definiu como privadas para determinados grupos. Portanto, hipoteticamente, não poderia o Fisco proceder à criação de perfil de usuário falso nas redes sociais para obter informações que não são divulgadas em modo público e irrestrito.

Ainda assim, na prática tributária, é possível observar uma tendência que confere menor grau de prevalência dos argumentos protetivos de cunho mais formalista. Em outras palavras, tem-se relativizado, cada vez mais, eventuais vícios nos meios de fiscalização e lançamento, se verificada a real existência de crédito tributário, o que também enfraquece argumentos dos contribuintes contrários à utilização de dados pessoais postados em redes sociais nos procedimentos investigativos.

  1. Há norma jurídica específica para coleta de dados de usuários de internet?

Para além da possibilidade genérica de acesso por parte de Receita a dados públicos (e até mesmo sigilosos, como dados bancários) para fins de fiscalização e seleção de contribuintes, especificamente com relação aos dados coletados de usuários de internet, é necessário observar que há regras específicas, aplicáveis a entes públicos e privados, positivadas pelo Marco Civil da Internet (Lei Federal n. 12.965/2014, que, em seu artigo 1o: “estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil e determina as diretrizes para atuação da União, dos Estados, do Distrito Federal e dos Municípios em relação à matéria”).

Nesse sentido, importante destacar que o Marco Civil determina, sem exceção, que os dados pessoais dos usuários de internet não serão coletados e/ou compartilhados com terceiros sem que haja consentimento do titular (artigo 7o, incisos VII e IX). De tal forma, o artigo 7o do Marco Civil da Internet confere algum controle ao usuário sobre a circulação de seus dados na internet mesmo em hipóteses em que este os publica em redes sociais, por exemplo.

Isso porque, à luz do direito à privacidade e à proteção dos dados pessoais conferido pelo Marco Civil da Internet, ao menos em tese, um dado pessoal publicado por um usuário de rede social (ainda que em modo público) não deveria ser tratado para outra finalidade que não o da mera exposição pública naquela rede social sem o seu consentimento[2]. Nas palavras de Renato Leite Monteiro, “dados públicos também podem ter natureza pessoal, o que deve conferir aos seus titulares controle sobre a sua divulgação e coleta, caso não haja previsão em lei determinando a publicidade”, ou seja, o fato de um dado ser público ou estar disponível publicamente na internet não é suficiente para afastar a proteção que lhe é conferida pelo Marco Civil.

Portanto, do ponto de vista do direito à privacidade no âmbito virtual, regulamentado (parcialmente) pelo Marco Civil da Internet, a prática da Receita Federal ora analisada, em tese, pode ensejar questionamentos, os quais serão contrapostos, por certo, com os fundamentos que autorizam o Fisco a obter dados (especialmente que não estejam acobertados por sigilo) para fins de seleção e fiscalização de contribuintes.

  1. Quais os padrões de segurança adotados pela Receita para evitar o vazamento das informações coletadas?

Superada a possível controvérsia sobre a legalidade (e seus limites) da Receita para coleta e utilização de dados de usuários de redes sociais, a medida oficialmente anunciada desperta preocupação com relação à segurança dos bancos de dados mantidos pelo órgão, agora sabidamente enriquecidos com informações extraídas das redes sociais.

Apesar de admitir que, cada vez mais, as bases de dados apresentam mais detalhes sobre os contribuintes (inclusive informações potencialmente sensíveis), a nota oficial disponibilizada não apresenta os padrões de segurança que são adotados pela Receita Federal. Vale lembrar, inclusive, que, quando o caso do site TudoSobreTodos.se [3] veio à tona, especialistas chegaram a suspeitar de que tais dados poderiam ter sido obtidos a partir de acesso indevido à própria base da Receita Federal, o que até o momento não foi totalmente confirmado (muito menos desmentido).

Ademais, já que a comunicação da Receita Federal não sinalizou quais procedimentos de segurança da informação são adotados, espera-se que sejam seguidos, no mínimo, aqueles trazidos pelo artigo 13 do Decreto 8.771/2016 (que regulamentou o Marco Civil da Internet), aplicáveis a provedores de conexão e aplicação de internet, já que ao menos incluem a encriptação dos dados.

Nesse ponto, é relevante relembrar que no julgamento das ADI 2390, 2386, 2397 e 2859, anteriormente citadas, o STF expressamente consignou a obrigatoriedade de o Fisco prezar pelo sigilo dos dados bancários obtidos. Nessa linha, na hipótese de a Receita acessar os dados dos contribuintes, deve, ao menos, prezar pela maior segurança possível dos dados obtidos.

  1. As leis existentes atualmente são suficientes para garantir a tutela dos dados dos usuários ante a nova realidade de coleta e tratamento de dados por órgãos do Governo?

Em conclusão da análise acerca do anúncio feito recentemente pela Receita Federal, podemos perceber que as leis que temos hoje no Brasil não são suficientes para trazer a necessária segurança à proteção da privacidade dos cidadãos, que representa um direito constitucional fundamental, nem para garantir à Administração Pública o respaldo na coleta e tratamento de dados pessoais de usuários de internet no Brasil.

No caso em comento, se de um lado os fundamentos de Direito Tributário justificam a coleta e uso de dados das redes sociais na atividade desenvolvida pelo Fisco, de outro, a falta de ampla regulamentação sobre o tema é suficiente para nos trazer dúvidas sobre a legalidade de tais atos, sendo que a mesma incômoda sensação de insegurança afeta toda a economia digital no Brasil, que não encontra respostas totalmente objetivas e claras sobre quais as possibilidades e limites da mineração de dados na internet.

Isso porque o Marco Civil da Internet traz uma regra desacompanhada de exceções, segundo a qual a única hipótese clara de tratamento de dados de usuários de internet (seja por entes públicos ou privados) passa pela prévia obtenção de consentimento do usuário.

Diante de tantas dúvidas jurídicas com relação ao ato mais corriqueiro da economia digital atual (a coleta e tratamento de dados pessoais para os mais diversos fins), algumas certezas podem ser extraídas:

(i) precisamos urgentemente de uma Lei Geral sobre Proteção de Dados, que concilie segurança jurídica de quem trata dados com tutela da privacidade dos indivíduos, e

(ii) a regulamentação sobre proteção de dados no Brasil não pode deixar de abranger os atos praticados pela Administração Pública. O atual cenário jurídico da proteção de dados no Brasil é catastrófico tanto para o vigilante quanto para o vigiado.

 

Luis Fernando Prado Chaves é advogado no escritório Opice Blum, Bruno, Abrusio e Vainzof em São Paulo e especialista em Propriedade Intelectual e Novos Negócios pela FGV Direito SP, onde também é pesquisador externo na linha de pesquisa sobre privacidade e proteção de dados do Grupo de Ensino e Pesquisa em Inovação (GEPI).

Guilherme Almeida de Oliveira é advogado no escritório Schneider, Pugliese em São Paulo e especialista em Direito Tributário pelo Instituto Brasileiro de Direito Tributário (IBDT).

 

Artigo publicado em 05.04.2017 no Justificando – Carta Capital e disponível em http://justificando.cartacapital.com.br/2017/04/05/receita-federal-pode-coletar-dados-de-usuarios-de-redes-sociais/.


[1] Como exemplo, note-se que a OCDE já chegou a influenciar em proposta de combate à sonegação no Brasil, apresentada pelo então ministro da Fazenda (Joaquim Levy): https://www.cartacapital.com.br/politica/deputados-derrubam-proposta-ocde-sonegacao-7275.html. Acesso em 04.04.2017.

[2] Os entendimentos jurídicos, por ora, admitem que o consentimento seja obtido por meio de aceite expresso às políticas de privacidade mantidas pela plataforma (opt-in), as quais devem ser redigidas de maneira clara e objetiva, prevendo as formas de acesso de terceiros aos dados pessoais inseridos pelos usuários.

[3] Página na internet que expunha dados pessoais de brasileiros com possibilidade de consulta, entre outros dados, ao número de CPF e endereço.

Por que a Internet das Coisas revolucionará o Direito Digital?

O Governo brasileiro começa a dar seus primeiros passos no estudo dos desafios para a implementação da Internet das Coisas (em inglês, “Internet of Things”, ou simplesmente “IoT”). Mas, antes de começar a falar sobre, pergunta-se: o que é Internet das Coisas e por que este assunto merece ser protagonista de uma agenda própria?

Internet das Coisas[1] é o termo utilizado para designar a interação entre máquinas (“machine to machine”, ou simplesmente “M2M”), a partir de suas identificações por radiofrequência, tags, sensores etc., de forma que, por meio de protocolos de transmissão de dados específicos, elas possam atingir uma finalidade em comum[2]. Resumidamente, IoT é a tecnologia por meio da qual, a partir de determinadas regras técnicas, as máquinas (hardwares) trocam informações e comandos entre si, fazendo com que determinada ação seja executada.

Na Europa, o assunto vem sendo estudado há mais tempo pelas respectivas autoridades competentes. Por exemplo, em março de 2015, a Comissão Europeia lançou o programa de Alliance for Internet of Things Innovation (AIOTI), com o intuito de fomentar o desenvolvimento do ecossistema de IoT no União Europeia. Além disso, foi adotado o plano Digital Single Market (DSM) Strategy, que tem como objetivo colocar a Europa um passo à frente da comunidade global no desenvolvimento da tecnologia de IoT, assim como, promover a interoperabilidade necessária entre os dispositivos para a sua efetiva implementação.

No Brasil, o assunto, em âmbito governamental, é encabeçado pela Câmara IoT do Ministério da Ciência, Tecnologia, Inovações e Comunicações (MCTIC), pelo Banco Nacional de Desenvolvimento (BNDES) e pelo Consórcio composto pelo Centro de Pesquisa e Desenvolvimento em Telecomunicações (CPqD), a consultoria McKinsey Global Institute e o escritório de advocacia Pereira Neto Macedo.

Referido Consórcio apresentou, no final do ano passado, um plano de estudo sobre IoT, a ser executado em nove meses contados a partir de novembro/2016, dividido nas três seguintes fases: (i) diagnóstico do potencial impacto da Internet das Coisas no Brasil, (ii) verificação da situação atual do país para desenvolvimento da tecnologia e (iii) criação do Plano de Ação 2017-2022, o qual, por sua vez, envolve a implementação de políticas públicas de fomento para IoT.

Como uma das medidas para se estudar os desafios para a implementação de políticas públicas de fomento para IoT, foi realizado, no último dia 07, na Escola de Direito de São Paulo da Fundação Getúlio Vargas, workshop de altíssimo nível sobre o tema, no qual foram debatidos assuntos como desafios técnicos para implementação da IoT, entraves regulatórios e, claro, impactos jurídicos da utilização massiva da IoT, sobretudo com relação ao tema da privacidade e proteção de dados pessoais.

E é justamente este último que chama a atenção para o Direito Digital.

Esse novo ramo do direito, multidisciplinar e totalmente dinâmico, sofrerá provavelmente uma de suas grandes revoluções à medida em que a IoT for, de fato, uma realidade de Norte a Sul do País. Atualmente, temos sólida regulamentação dos serviços de conexão e aplicação da Internet, mas fato é que a IoT não abrange apenas tais serviços. Trata-se, na verdade, de ecossistema tecnológico de extrema complexidade, o qual, certamente, ensejará novos desafios jurídicos na medida em que for implementado.

Nesse sentido, especial destaque deve ser feito à questão da privacidade, considerando que muitos dispositivos eletrônicos que fazem ou farão parte do ecossistema de IoT têm como característica intrínseca a coleta e tratamento massivo de dados, o que, muitas vezes, pode envolver o armazenamento e compartilhamento de dados pessoais (até mesmo de dados sensíveis).

Quanto a esse tema, cumpre ressaltar que ainda não existe no Brasil uma Lei Geral de Proteção de Dados Pessoais, mas apenas legislações infraconstitucionais, as quais não são suficientes para conferir adequada segurança jurídica a empresas e usuários/consumidores com relação ao tratamento de dados no âmbito das novas tecnologias, como a de IoT. Hoje, tramitam no Congresso, pelo menos, 3 (três) relevantes Projetos de Lei sobre Proteção de Dados Pessoais (PL 4.060/2012, PL 5.276/2016, PLS 330/2013), os quais ainda estão sendo objeto de estudo e debate.

Para além da defasagem no estudo de políticas públicas para IoT em relação a outras nações, o Brasil também convive com o amargo constrangimento de ser um dos países mais atrasados na edição de Lei Geral sobre Proteção de Dados, fato este que vem freando, inclusive, o investimento de empresas de tecnologia no Brasil, por não sentirem a segurança jurídica necessária para fazê-lo.

Por outro lado, o atraso tupiniquim no debate sobre IoT e sobre proteção de dados pessoais traz, se assim é possível afirmar, alguma vantagem para os debates que atualmente acontecem. Isso porque, no presente contexto, temos a oportunidade de estudar e debater políticas públicas de regulamentação sobre dois temas totalmente correlatos, sendo certo que as discussões sobre o desenvolvimento de IoT não podem deixar de lado o estudo sobre proteção de dados e vice-versa.

Em outras palavras, temos uma chance – que não podemos deixar passar – de estabelecer uma das regulamentações sobre proteção de dados mais avançadas do mundo, ao mesmo tempo em que estamos estudando políticas públicas que devem garantir o desenvolvimento do ecossistema IoT sem abrir mão dos direitos dos usuários.

Nesse contexto, podemos elencar três pontos fundamentais que devem fazer parte do debate sobre proteção de dados e desenvolvimento da IoT no Brasil:

  • O que será considerado como “dado pessoal” para o Direito brasileiro? Responder a essa pergunta é o primeiro passo para a segurança jurídica do desenvolvimento de IoT no País. Assim, os responsáveis pelo funcionamento do ecossistema poderão saber quais atos/produtos estão sujeitos à regulamentação da proteção aos dados pessoais e quais estão à margem da aplicação de tal sistema jurídico;
  • Quais os padrões de segurança que devem ser adotados? Essa questão é fundamental para evitar ataques cibernéticos (que podem colocar em risco a segurança física e psíquica dos usuários), bem como episódios de vigilância estatal em massa dos usuários da tecnologia de IoT. Por outro lado, a discussão entre privacidade e investigação tende a se acirrar, na medida em que as soluções técnicas de segurança da informação e estratégias de negócio forem evoluindo. Por exemplo, no final do ano passado, a gigante Amazon se recusou a fornecer gravações do produto Echo de um pessoa investigada por assassinato, sendo que embates como este devem ser cada vez mais frequentes no cotidiano.

Esses são apenas alguns pontos inicias que relacionam o ecossistema de IoT ao estudo do Direito Digital. Para além de tais entraves e desafios, o fato mais interessante de se notar é a verdadeira revolução da Governança da Internet. À época da construção do Marco Civil da Internet, que serve para regulamentar a Internet das pessoas, os principais atores das discussões a nível de regulamentação eram: representantes do governo, entidades de defesa do consumidor e de usuários de Internet, algumas distribuidoras de mídia e entretenimento e provedores de Internet (sejam eles de conexão ou aplicação).

No caso da Internet das Coisas, considerando a variedade de produtos e serviços que passarão a fazer parte do mundo digital, é, simplesmente, inestimável o número e o tipo de players que deverão estar interessados nos debates sobre sua governança. Em síntese, empresas e diversos setores que nunca estiveram imersos no âmbito de regulação do uso da tecnológica e, até o momento, estavam à margem da discussão sobre Governança da Internet, devem entrar no debate, o que, sem sombra de dúvidas, servirá para enriquecer as futuras regulamentações e políticas públicas sobre IoT no Brasil.

O enredo ainda é semelhante: tirar o atraso do Brasil com relação ao estudo da tecnologia em âmbito jurídico e político e garantir o desenvolvimento tecnológico preservando-se direitos (no caso da IoT, sobretudo o direito à privacidade). Os atores é que vão mudar: além dos velhos conhecidos de outrora, entrarão em cena novos agentes, novas indústrias, novos setores, novas organizações, com novas ideias.

Espera-se que setores técnicos e jurídicos estejam em plena sintonia, a fim de estabelecermos no Brasil uma moderna e exemplar regulamentação sobre o tema, bem como políticas públicas sobre proteção de dados pessoais e IoT que garantam, ao mesmo tempo, o desenvolvimento tecnológico do País e a preservação dos direitos fundamentais dos seus cidadãos.

Luis Fernando Prado Chaves (luisprado@digitalrights.cc)

Maria Cecilia Oliveira Gomes (mariacecilia@digitalrights.cc)

 

Artigo replicado da página Justificando: http://justificando.cartacapital.com.br/2017/02/20/por-que-internet-das-coisas-revolucionara-o-direito-digital/


[1] “This so-called Internet of Things—or machine-to-machine connectivity and communications —promises to usher in “a third computing revolution” and bring about profound changes that will rival the first wave of Internet innovation. The first use of the term “Internet of Things” is attributed to Kevin Ashton, who used it in the title of a 1999 presentation”. Adam Thierer, The Internet of Things and Wearable Technology: Addressing Privacy and Security Concerns without Derailing Innovation, 21 RICH. J.L. & TECH. 6 (2015), http://jolt.richmond.edu/v21i2/article6.pdf.

[2] Atzori et al., The Internet of Things: A survey, Comput. Netw. (2010), doi: 10.1016/j.comnet.2010.05.010.