Arquivo mensais:julho 2011

A falácia da anonimação de dados pessoais.

A profusão de instrumentos de monitoramento na Internet está na raiz de vários questionamentos sobre o risco à privacidade pela coleta dos dados de navegação. Este monitoramento, que pode ser invisível à grande maioria dos usuários, abrange as atividades de uma pessoa na rede, e pode ser considerada como uma coleta de dados pessoais, o que ensejaria a aplicação de normativas destinadas a regular o tratamento destes dados.

Uma ponderação que costuma ser feita quanto à aplicabilidade de tais normas tem origem em uma alegada característica de alguns destes instrumentos de monitoramento – a de que eles não coletariam nem armazenariam dados pessoais, visto que os dados coletados seriam submetidos a procedimentos técnicos de anonimação – ou seja, a retirada do vínculo do dado com o seu titular -, isto quando a própria coleta da informação já é feita desacompanhada da identidade do usuário, caso no qual os dados coletados já seriam, de início, anônimos.

Há dispositivos presentes na legislação de diversos países que prevêem uma exceção à aplicabilidade de normas de proteção de dados pessoais quando os dados em questão não estão vinculados a uma pessoa.

Nos últimos anos, vem se consolidando uma extensa literatura que aponta para o fato de que a falta de vínculo direto destes dados com um titular não é suficiente para que eles não acabem surtindo efeitos concretos na vida – e, em particular, na privacidade – deste titular, quando não é o caso mesmo de ser possível que a identidade desta pessoa seja reestabelecida a posteriori, em um processo que vêm se denominando como de de-anonimação.

Um recente artigo publicado pelo Center for Internet and Society da Stanford Law School por Arvind Narayanan dá uma clara mostra das possibilidades técnicas de utilização de dados “anônimos” de forma a identificar, imediatamente ou no futuro, os seus reais titulares.

Há diversos meios mencionados para esta recuperação da identidade mencionados, desde a distribuição de widgets por empresas que possuem a verdadeira identidade do usuário, passando pela “compra” ou negociação da identidade, por exemplo.

O que parece claro é a necessidade de superar a noção de que dados anônimos são, por definição, inofensivos e permitiriam qualquer tipo de tratamento à revelia da aplicação de uma normativa de proteção de dados pessoais. Os efeitos do tratamento destes dados poderão afetar, muitas vezes, um determinado indivíduo.

A batalha pela identidade na Internet

As tentativas de vincular o acesso à Internet a alguma modalidade de identificação pessoal estão presentes em diversas iniciativas regulatórias. No Brasil, é um dos temas sempre presentes em debates sobre a criminalização de algumas condutas realizadas por meio da Internet, em algumas das iniciativas de regulação das Lan Houses e, de forma generalizada, no discurso que aborda o acesso aos meios de comunicação digitais sob o prisma da segurança.

A identificação do usuário da Internet é um debate aberto justamente pelo motivo da própria estrutura da rede ter sido concebida sem maiores preocupações neste sentido. Privilegiou-se a eficiência das comunicações a um custo potencialmente baixo, em detrimento de maiores formalidades quanto às possibilidades de aceso à própria rede.

O que pode se observar mais recentemente é que a identidade passou a ser uma questão primordial não somente para finalidades ligadas à segurança e regulação da rede, mas para diversos modelos de negócios estruturados em torno de algum tipo de monetarização a partir da identidade real de usuários da rede.

O modelo das redes socias, por exemplo, é paradigmático. Já é conhecida a política do Facebook que, por exemplo, não permite aos seus usuários a utilizacão de pseudônimos ou de qualquer mecanismo que ofusquem a sua real identidade.

por sua vez, recente chegada do Google+ foi acompanhada de uma política de eliminação de perfis anônimos ou de pseudônimos por parte da empresa. A participação no Google+, portanto, parece estar vinculada à aceitação da utilização dos serviços da Google a partir de uma identidade real.

A ênfase na identificação real para o acesso a serviços que, cada vez mais, fazem parte do uso cotidiano da rede por grande parte de seus usuários implica em mais um elo rumo à identificação da maioria – senão de todos – atos realizados por um usuário na Internet. Os efeitos deste novo paradigma devem ser analisados à luz dos seus potenciais efeitos à privacidade e liberdade de expressão, sem o que podemos acabar deixando para traz um belo quinhão das liberdades pessoais que foram essenciais para que a rede se tornasse o que é hoje.

Peru adota lei de proteção a dados pessoais

No início deste mês, o Perú, após oito anos de discussões, publicou sua nova lei de proteção a dados pessoais. Em consonância com as recomendações feitas pela Organização para a Cooperação e Desenvolvimento Econômico sobre proteção da privacidade e dados pessoais, a legislação peruana estabelece regras sobre notificação, consentimento, segurança, acesso, disseminação de dados e outros.

A lei acompanha uma tendência de crescente preocupação de governos e da sociedade civil com o uso de dados pessoais em escala global por empresas – uso este possibilitado, facilitado e potencializado pela tecnologia. Os exemplos de tais usos são abundantes e vão desde empresas de Internet interessadas em oferecer propagandas altamente customizadas para cada perfil de consumidor – o que só pode ser feito através da coleta de grandes quantidades de informação sobre ele -, até a possibilidade (de moral questionável) de empresas de seguro ou de planos de saúde utilizarem-se, por exemplo, das informações sobre o perfil de navegação ou sobre o código genético de seus consumidores para decidir o valor que será pago por este. Imagine por exemplo o caso de um consumidor que tenha o valor do seu plano de saúde majorado pelo monitoramento dos hábitos alimentares do indivíduo feito com informações obtidas no seu cartão de crédito, ou mesmo a hipótese do plano cobrar valores diferenciados de acordo com os genes de seus consumidores e o eventual potencial de estarem relacionados ao desenvolvimento de determinada doença. Com os diversos bancos de dados com informações genéticas sendo dispobilizadas online para fins de pesquisa, os riscos de que elas comecem a ser usadas de forma a causar dano a pessoa sobre a qual as informações se referem é cada vez maior.

A lei visa também a armonização do sistema de proteção de dados peruano com a legislação europeia sobre proteção de dados pessoais, possibilitando a prestação de serviços que envolvam de alguma forma o processamento de dados de cidadãos europeus, por países de fora da União Europeia. A diretiva europeia de proteção de dados estabelece, por exemplo, que os dados de cidadãos europeus só podem ser processados em países que garantam níveis adequados de proteção – com exceções somente para empresas que garantam o cumprimento das normas da diretiva, ainda que esteja localizada fora da União Europeia. Dessa forma, o estabelecimento de leis próprias de proteção aos dados pessoais abre um mercado adicional para a economia local.

De acordo com a ONG Alpha-Redi, a lei peruana regula os seguintes pontos.

Conceitos base

A legislação entende como dados pessoais toda a informação sobre uma pessoal natural que a identifica ou a torna identificável através de meios que possam ser razoavelmente utilizados. Dentre eles encontram-se: dados sensíveis – constituídos por dados biométricos passíveis de identificar o titular -, dados relacionados a origem racial ou étnica, renda, opiniões ou convicções políticas, religiosas, filosóficas ou morais, filiação sindical e informações relacionadas à saúde ou vida sexual.

Entre os direitos reconhecidos ao titular dos dados pessoais estão: o direito à informação, ao acesso, à atualização, incluindo correção e exclusão, o direito de bloquear o acesso aos seus dados, de impedir o fornecimento dos dados a terceiros, de ter o tratamento objetivo dos dados, de proteção e indenização.

Consentimento

A norma possibilita que dados pessoais sejam objeto de tratamento desde que haja o consentimento prévio do proprietário e contanto que não haja lei expressa em contrário. O consentimento deve ser prévio, informado, explícito e inequívoco. No caso particular de dados sensíveis, o consentimento deve também ser feito por escrito. O consentimento pode ser revogado pelo titular a qualquer momento desde que atendidos os mesmos requisitos para a concessão.

Autoridade Competente

A Autoridade Nacional de Protecção de Dados peruana será responsável pelo Registro Nacional de Protecção de Dados Pessoais, um registro de caráter administrativo. No exercício das suas funções a Autoridade não poderá ter conhecimento do conteúdo das bases de dados pessoais, salvo procedimento administrativo em curso, o que ameniza a preocupação levantada por alguns de que o Estado teria acesso livre a tais dados.

Penalidades

Por fim, a regra estabelece os tipos de infração à lei – que podem ser classificadas em leves, graves e muito graves – bem como define aspectos dos procedimentos disciplinares, sanções e multas a serem aplicadas.

Como já foi abordado aqui no blog, o Brasil está em processo de redação de um anteprojeto de lei para a proteção de dados pessoais. Após uma fase de consulta pública em que empresas, membros da sociedade civil, academia e governo tiveram oportunidade de fazer suas contribuições, o Ministério da Justiça em conjunto com a equipe do Centro de Tecnologia e Sociedade da FGV Direito Rio está analisando as contribuições e preparará uma nova versão do anteprojeto.