A semana passada foi marcada por uma declaração do CEO da Apple, Tim Cook, proferida durante uma conferência sobre privacidade em Bruxelas[1], de que as grandes empresas de tecnologia estavam criando um “complexo industrial de dados”. Sem dar nomes a quem acusava (embora tenha ficado perceptível de que se referia às empresas concorrentes Google e Facebook), afirmou que essas empresas utilizam os dados das pessoas com “eficiência militar” e que, “levado ao extremo, esse processo cria um perfil digital duradouro que permite que as empresas o conheçam melhor do que você pode se conhecer”[2]. Tim Cook defendeu a edição de uma lei federal nos EUA que proteja as pessoas contra ameaças à privacidade, à semelhança do novo regulamento europeu de proteção de dados pessoais (o RGPD)[3].
Esse movimento do executivo da Apple apenas demonstra a mudança de estratégia das “Bigtech”, diante do movimento pela aprovação de leis de proteção à privacidade individual. A Apple, embora não tenha como modelo único de negócio a monetização dos dados pessoais dos usuários por meio da venda de publicidade dirigida, também não é nenhum exemplo quando se trata da defesa das liberdades individuais. Tem sido criticada por ceder à pressão do Governo chinês para remover de sua plataforma (a App Store) aplicativos que permitem a anonimização das pessoas, contribuindo dessa maneira para o vigilantismo exercido pela China sobre seus cidadãos[4]. A atitude do executivo revela que as empresas de tecnologia enxergam agora que a aprovação de leis robustas de proteção de dados pessoais é uma tendência irreversível e universal. Depois do escândalo da Cambridge Analytica[5], que levou Mark Zukerberg a depor perante o congresso dos EUA e do parlamento inglês, bem como do vazamento de dados na rede social Google+[6], que permitiu o acesso a terceiros de dados pessoais, os congressistas norte-americanos acordaram para o problema. Muitos agora já defendem medidas legislativas para prevenir abusos com a utilização de dados pessoais, daí a mudança de postura das empresas de tecnologia. Se antes mostravam-se contrárias a todo e qualquer tipo de legislação garantidora da privacidade individual, parece terem chegado à conclusão de que é melhor aceitar algum tipo de regulamento. Agora querem participar das discussões e influenciar no processo legislativo de modo a aprovar lei menos rigorosa[7].
Era previsível, assim, uma iniciativa legislativa no âmbito federal, que se concretizou esta semana. Na quinta (dia 01.11), o Senador Ron Wyden (democrata do Oregon) apresentou um projeto de lei prevendo pesadas sanções para empresas que violarem a privacidade dos usuários de seus produtos e serviços. A Lei, que recebeu o nome de Consumer Data Protection Act[8], somente vai se aplicável a empresas com faturamento superior a 50 milhões de dólares e com mais de 1 milhão de usuários.
Não se trata de uma lei geral de proteção de dados, pois não estabelece princípios gerais e regras sobre coleta e uso de informações pessoais, não havendo semelhança com o regulamento europeu (o RGPD), a não ser na parte em que prevê multas para coibir atos de coleta indevida de dados. O projeto em essência cuida de ampliar os poderes da Federal Trade Comission (FTC)[9], espécie de agência reguladora de defesa de interesses de consumidores, possibilitando a esse órgão servir como regulador de assuntos ligados à privacidade. Atualmente, a FTC não dispõe de poderes para aplicar multas por violação à privacidade dos consumidores.
O projeto impõe às empresas que coletam dados a apresentação de relatórios anuais, acompanhados de declaração do CPO (Chief Privacy Officer), que pode pagar multa ou sofrer pena de prisão se contiver informações inexatas. As multas por descumprimento aos preceitos da lei e regulamentos da FTC podem chegar a 4% do faturamento da empresa.
O que existe de mais original no projeto do Senador Ron Wyden é a criação do cadastro “Do Not Track”, para permitir que a pessoa que não deseje ver seus dados sendo repassados a terceiros manifeste sua opção por ser deixado de fora (“opt out”). O projeto prevê que, num prazo de até dois anos após sua aprovação, a FTC deverá construir um website onde as pessoas possam manifestar sua opção por não terem seus dados transferidos. A intenção é boa, mas de duvidosa eficácia prática, pois os escândalos de vazamento de dados e uso indevido de informações pessoais que têm surgido nos últimos tempos são decorrentes de falhas de segurança ou comportamento inadequado das empresas de tecnologia. Além do mais, o projeto prevê uma série de exceções ao impedimento da transferência de dados.
O Senador Ron Wyden justificou que seu projeto traz finalmente uma significativa proteção à privacidade dos consumidores norte-americanos. O projeto, é certo, constitui uma resposta direta ao oceano de escândalos de invasão de privacidade e vazamento de dados pessoais que as grandes empresas de tecnologia norte-americanas se envolveram na última década. Todavia, é muito cedo para compartilhar do otimismo do Senador.
O problema é que os Estados Unidos não têm um conjunto sistematizado de leis de proteção à privacidade, como ocorre na União Europeia. Diferentemente dos países do bloco europeu, lá não existe um regulamento geral, aplicável a todas as atividades de processamento de dados. A opção foi por regular cada setor de maneira estanque, daí que existe uma lei para o setor bancário, uma para o setor médico, outra para o setor de seguros e assim por diante. O modelo europeu é considerado mais eficaz e tem servido como padrão universal, sendo copiado pela legislação de diversos outros países, como aconteceu recentemente no Brasil, que aprovou em julho deste ano sua Lei Geral de Proteção de Dados (LGPD)[10].
A inexistência de uma lei geral de proteção de dados pessoais enfraquece a luta pela proteção da privacidade dos cidadãos norte-americanos. De qualquer maneira, o projeto do Senador Wyden é um primeiro passo na direção certa, para combater a formação do “complexo industrial de dados” que mencionou Tim Cook.
Demócrito Reinaldo Filho
Desembargador do TJPE
Recife, 30.10.18.
NOTAS DE FIM
[1] A declaração de Tim Cook foi feita no dia 24 de outubro, durante um encontro que reuniu autoridades de proteção de dados pessoais do mundo todo – 40th International Conference of Data Protection and Privacy Commissioners (ICDPPC).
[2] Ver notícia publicada em 24.10.18, publicada em: https://www.technocracy.news/apple-ceo-tim-cook-personal-data-is-being-weaponized-against-us-with-military-efficiency/
[3] RGPD é a abreviatura para Regulamento Geral de Proteção de Dados, que entrou em vigor em 25 de maio deste ano.
[4] A Apple tem sido criticada por remover de sua App Store aplicativos que possibilitam aos usuários encriptar suas mensagens, dificultando o rastreamento de suas comunicações pelo Governo chinês. Ver notícia em 06.11.17, publicada em: https://9to5mac.com/2017/12/06/apple-china-criticisms-response/
[5] A Cambridge Alnalytica era é uma empresa inglesa que se apropriou de milhões de perfis de usuários do Facebook e utilizou seus dados para influenciar a eleição de Donald Trump e o plebiscito do Brexit. Ver notícia em: https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election
[6] O Google + é o serviço de rede social da Google, que foi desativado depois que uma brecha de segurança expôs informações de cerca de 500 mil usuários. Ver notícia publicada em 08.10.18, acessível em: https://www.techtudo.com.br/noticias/2018/10/google-encerra-google-apos-vazamento-de-dados.ghtml
[7] As empresas de tecnologia querem aprovar uma lei federal que suplante leis estaduais, como a Lei da Califórnia, aprovada em junho deste ano, considerada a mais rigorosa do país. Ver notícia em: https://www.cnet.com/news/us-privacy-law-is-on-the-horizon-heres-how-tech-companies-want-to-shape-it/
[8] O texto integral do projeto de Lei pode ser acessado em: https://assets.documentcloud.org/documents/5026543/Wyden-Privacy-Bill.pdf
[9] De fato, o objetivo do projeto é emendar o Federal Trade Commission Act, uma lei de 1914 que criou essa agência (a FTC). A Lei, sancionada por Woodrow Wilson, proíbe métodos injustos de concorrência e atos ou práticas desleais que afetem o comércio.
[10] Ver artigo de nossa autoria sobre a LGPD, sob o título “Lei de Proteção de Dados aproxima o Brasil dos países civilizados”, publicado no site Jus Navigandi, em julho deste ano, acessível em: https://jus.com.br/artigos/67668/lei-de-protecao-de-dados-pessoais-aproxima-o-brasil-dos-paises-civilizados