Vigilância do comportamento. Coleta, tratamento e mercado de dados. Observação de padrões de personalidade. Construção do perfil de cada usuário. Propagandas e serviços personalizados. Vazamento de dados. Desproteção aos dados pessoais. Fragilização e esvaziamento de direitos na Internet. Essa é a realidade que vem à tona (não pela primeira vez) diante do fatídico uso de dados dos usuários do Facebook pela empresa de marketing político Cambridge Analytica.

Explicando brevemente o que houve: um aplicativo de teste de personalidade, chamado “thisisyourdigitallife” (“esta é a sua vida digital”, em tradução livre), desenvolvido por Aleksandr Kogan, associado à Universidade de Cambridge, coletou informações dos perfis de 270 mil usuários que se submeteram ao app. Até aí todas as condutas eram legítimas segundo os termos de uso do Facebook e as políticas da plataforma para desenvolvedores de apps. Junto ao dados dessas pessoas, que deliberadamente consentiram com os termos, houve coleta também de dados da rede de contatos desses participantes. A experiência, supostamente, teria finalidade acadêmica.

Porém, segundo Christopher Wylie, funcionário da Eunoia Technologies, Aleksandr Kogan repassou, a partir do teste de 270.000 pessoas, dados de 50 milhões de usuários do Facebook à Cambridge Analytica. Esta, por sua vez, fez uso desta base de dados em marketing político relacionado, principalmente, à campanha presidencial de Donald Trump, endereçando material personalizado aos cidadãos e influenciando fortemente a opinião do eleitorado através de um método psicológico.

O ato de construir perfis a partir do comportamento dos usuários e direcionar conteúdo personalizado é comumente conhecido como perfilamento (em inglês, profiling), igualmente utilizado para o encaminhamento de notícias, serviços ou anúncios na Internet. O que aparece nas timelines de redes sociais é produto deste método: a plataforma constrói estes perfis e direciona os conteúdos que provavelmente interessam a cada um, criando uma bolha informacional. A Cambridge Analytica fez uso da técnica, porém com propósitos políticos, criando um forte viés nas eleições norte americanas e, de certa forma, manipulando cidadãos. A campanha, então, torna-se menos uma questão de propostas sociais ou econômicas e mais uma questão de linguagem adaptada a cada micro-nicho.

O que torna o caso alarmante não é, exatamente, o ineditismo dessas práticas, pelo contrário: a coleta não esclarecida e não consentida de dados pessoais é a base dos modelos de negócio de diversas empresas de tecnologia que trabalham em plataformas online. Coletam, tratam, armazenam e mercantilizam perfis. É a matéria prima de um dos mercados que mais cresce no mundo. Mas o que o torna emblemático são as entranhas de como funcionam as técnicas de perfilamento para controle social.

Na sociedade da informação, dados são valiosos. Já se tornou clássica a máxima: os dados pessoais são o novo petróleo. Sendo assim, imagine uma companhia perfurando petróleo embaixo da sua casa sem que você permita ou sequer saiba. É o que ocorre com o mercado de dados pessoais. O cerne da questão é: como estabelecer uma troca justa entre a coleta de dados (para “melhorar a experiência do usuário”) e a garantia de direitos básicos? Pois, se o usuário não é consultado, não se expressa livremente. Se suas informações circulam sem seu controle, não há privacidade. Portanto, como regulamentar?

A Proteção de Dados Pessoais no Brasil

Ainda que a iniciativa privada, tal como as redes sociais, desempenhe função primordial para o desenvolvimento da Internet, as relações entre essas e seus usuários são questões de caráter público. Sendo assim, necessário que o Estado, bem como a sociedade civil, participe ativamente desta construção de forma agregada e transparente, propondo soluções e exercendo seu papel de contrapeso, reforçando a garantia de direitos.

Essa afirmação nos traz para a situação presente no Brasil: na retaguarda da maioria dos países desenvolvidos e em desenvolvimento (vide mapa), ainda não possuímos uma regulamentação nacional relativa à proteção de dados pessoais.

O Brasil enfrenta sérios riscos por não possuir tal regulamentação. Em primeiro lugar, não há como optar, de forma racional, intencional e esclarecida, se estamos de acordo com os termos de uso da aplicação. Foi o que ocorreu com o episódio descrito: usuários concediam informações sem saber, na realidade, a forma ou a finalidade para a qual a coleta era feita. Dessa forma, autoriza-se a coleta de dados para propósitos genéricos, fragilizando o poder de escolha. Impedidos de exercitar seu consentimento (ou desacordo), a liberdade de expressão é violada.

Em segundo lugar, a forma como é manuseada a informação pessoal deveria ser escolha, via de regra, do titular dos dados. Se este resolve compartilhar com pessoas ou empresas, consciente da finalidade proposta, apenas a ele lhe diz respeito. Os serviços, sobretudo online, carregam outra práxis: fazem uso de dados pessoais indevidamente obtidos para propósitos variados, inclusive políticos. Utilizadas informações pessoais sem anuência do titular dos dados, a privacidade, desta feita, sofre violação.

As instituições não se veem obrigadas a cumprir o passo a passo determinado até o tratamento consentido de informações. Isso se deve à falta de cultura, em primeira análise, e à falta de proteção legal aos dados. Mais uma vez, o caso acima é símbolo do que pode ser feito e os possíveis danos causados a uma sociedade inteira que não toma medidas em relação aos desafios lançados pelos uso colaterais de tecnologias.

Usuário desconfiado, rede comprometida.

O ambiente gerado por uma área não protegida gera insegurança e enfraquece a credibilidade. No caso em questão, o setor privado fica exposto a posteriores sanções previstas em lei, não acobertados por segurança jurídica, e, por outro lado, o usuário alimenta o sentimento de desconfiança em relação à rede. Ora, não se costuma saber os termos em que os dados são mercantilizados, bem como a forma e a finalidade por meio dos quais os entes públicos constróem suas informações sobre os cidadãos. Ato contínuo, acordos público-privados podem ser realizados e uma vigilância sistêmica é empregada, pondo em xeque o já fragilizado direito à privacidade.

Da desconfiança, a experiência que se busca na Internet se torna menos rica, pois alimentamos um sentimento de risco. Regular a Internet não é, de longe, a saída para todos os problemas da rede. Porém, tivemos experiências positivas, como o Marco Civil da Internet, mundialmente reconhecido como bem sucedido. É hora caminhar rumo à regulamentação sobre a proteção de dados pessoais, agregando mais uma camada de garantia a direitos.

Ética e risco tecnológico.

Desenvolver soluções é o vetor do avanço tecnológico e social. Refinando a ciência de dados, por exemplo, é possível revelar padrões, estatísticas, fazer surgir insights, resultando em mercados, serviços e melhorias sociais inúmeras. Porém é preciso falar, diariamente, sobre ética durante toda a cadeia de criação tecnológica, tanto para os fins desejados, bem como no próprio desenvolvimento de soluções. Do contrário, pode-se enfraquecer a opinião pública e a livre construção do pensamento, como no caso comentado.

Os usos possíveis de uma dada tecnologia, inicialmente criada para um propósito específico, são inúmeros. É o que ocorre com o Facebook, o Blockchain ou com a própria Web. Recentemente, o criador desta última, Tim Berners-Lee, declarou: “posso imaginar que o Zuckerberg está devastado por conta do mal uso e do abuso de sua criação (às vezes tenho o mesmo sentimento) (…) Porém se empresas trabalharem com governos, ativistas, acadêmicos e usuários da web, podemos fazer com que as plataformas sirvam à humanidade”.

Para além da dose de responsabilidade do criador do Facebook, a mensagem de Berners-Lee pode sugerir que a rede sempre estará ameaçada. Porém, apenas através do trabalho consciente e empenhado de todos os setores da sociedade, em conjunto, é possível construir um ambiente suficientemente seguro, evitando atentados ao bom funcionamento da democracia, como vimos no caso da Cambridge Analytica. E, protegendo dados pessoais, ajuda-se a proteger e autonomia da sociedade, assegurando direitos fundamentais e um desenvolvimento tecnológico sustentável.

André Ramiro

Diretor e Fundador do IP.rec, é mestre em Ciências da Computação no CIn/UFPE e graduado em direito pela UFPE. Foi Google Policy Fellow na ONG Derechos Digitales (Chile). É representante da comunidade científica e tecnológica da Câmara de Segurança e Direitos do Comitê Gestor da Internet (CGI.br) e membro da comissão de avaliação em projetos de pesquisa em direito e tecnologia da Fundação de Amparo à Ciência e Tecnologia do Estado de Pernambuco (FACEPE). No IP.rec, atua na área de Privacidade e Vigilância e lidera projetos relacionados a criptografia, hacking governamental, privacidade, segurança e proteção de dados. Tem atuação no advocacy para proteção de dados e para a garantia de direitos fundamentais, ações e pesquisas sobre programas de vigilância governamentais, modelos de negócio abusivos baseados em mercados de dados e políticas de criptografia e suas relações com os direitos humanos.