Na última quarta-feira, 14 de janeiro, quando o ataque ao jornal satírico francês Charlie Hebdo completava uma semana, um amigo de Brasília me confidenciou: “O governo brasileiro vai colocar o anteprojeto de proteção de dados pessoais em consulta pública agora, no fim do mês, junto com o Marco Civil. É bom que a gente comece a debater o projeto agora, que governos da Europa e os Estados Unidos já começam a questionar a pertinência das leis de proteção de dados. O ataque ao Charlie Hebdo pode trazer um recrudescimento da ideia de que o combate ao terror depende da supressão de algumas liberdades individuais, como o direito inviolável às comunicações digitais e à proteção de dados pessoais”.
Dito e feito. Enquanto o mundo inteiro, e os próprios governos europeus, se levantarem em defesa da liberdade de expressão, o presidente dos Estados Unidos, Barack Obama defendia no congresso americano a necessidade de uma nova legislação de segurança cibernética que, em resumo, livra empresas que tenham sofrido violações e vazamentos de dados de serem processadas se compartilharem dados sobre ameaças e ataques cibernéticos com o governo. E, na Europa, secretários e comissários dos países membros da União Europeia se reuniam para, justificadamente, descobrir o que deveriam fazer para evitar ataques terroristas como o recente massacre ao Charlie Hebdo.
Havia inclusive um clamor para a proibição do uso de mensageiros instantâneos que usassem criptografia, recurso recentemente anunciado pelo WhatsApp, justamente para proteger seus usuários da espionagem promovida pelos serviços secretos, pós revelações de Edward Snowden sobre as ações da NSA.
Lamentavelmente, alguns políticos decidiram propor novas formas de censura na Internet que, francamente, teriam pouca serventia para a proteção de seus cidadãos, mas um enorme potencial para violar as liberdades civis.
Em Paris, uma dúzia de ministros do Interior dos países da União Europeia, incluindo França, Grã-Bretanha e da Alemanha divulgaram um comunicado solicitando aos fornecedores de serviços de Internet meios de identificação de autores de conteúdos online que incentivassem o ódio e o terror. Os ministros também solicitaram à União Europeia que começasse a monitorar e armazenar informações sobre os itinerários dos usuários de transportes aéreos. Enquanto isso, na Grã-Bretanha, o primeiro-ministro David Cameron sugeria que o país proibisse serviços de Internet que não dessem ao governo a capacidade de monitorar todas as conversas e chamadas criptografadas.
Ontem, sexta-feira, 16 e janeiro, Obama e Cameron se reuniram e foram além. Fizeram um apelo conjunto para que as empresas de tecnologias criem formas para que os serviços de inteligência dos governos possam rastrear mensagens de mídia social.
“As mídias sociais e da Internet são os principais meios que essas organizações terroristas usam para se comunicarem”, disse Obama durante uma conferência de imprensa com Cameron nessa sexta-feira.
“As leis projetadas para o grampo telefônico tradicional têm que ser atualizadas”, disse Obama. “Como faremos isso precisa ser debatido”. “Nós não estamos pedindo backdoors”, completou Cameron. “Estamos pedindo a criação de portas dianteiras muito claras através de processos legais que ajudem a manter nosso país seguro”.
Lembrei imediatamente da conversa em Brasília, e da mensagem de apoio às vítimas do ataque ao Charlie Hebdo publicada sábado passado por Mark Zuckerberg, CEO do Facebook, em seu perfil na rede social. Hoje, já não consigo encarar o texto de Zuck como um ode à liberdade de expressão, como se chegou a supor. Soa mais como um recado às autoridades de todo o mundo, contra as diferentes formas de censura e violação de liberdades civis.
Diz ele: “O Facebook tem sido um lugar onde pessoas de todo o mundo compartilham suas opiniões e ideias. Seguimos as leis de cada país, mas nunca deixamos um país ou grupo de pessoas ditarem o que as pessoas podem compartilhar ao redor do mundo. Ontem, enquanto eu refletia sobre o ataque e sobre minha própria experiência com o extremismo, percebi que isso é o que todos nós precisamos rejeitar um grupo de extremistas que tentam silenciar vozes e opiniões de todos os outros ao redor do mundo. Eu não vou deixar que isso aconteça no Facebook. Estou comprometido com a construção de um serviço onde você possa falar livremente, sem medo da violência.”
“Assim como os governos têm o dever de proteger o público de ameaças, serviços de Internet têm o dever de nossos usuários para garantir a segurança e privacidade de seus dados”, afirmou Michael Beckerman, presidente da Associação de Internet, em um comunicado.
Oportunidade para o Brasil
É nesse cenário que o Brasil começará a debater o tão esperado Anteprojeto de proteção de dados Pessoais, gestado no Ministério da Justiça desde de antes do primeiro mandato da presidente Dilma.
Os mais otimistas, como o meu amigo, vêm no debate, ainda no início do segundo mandato, uma oportunidade de o Brasil passar do atraso à vanguarda no que diz respeito às formas de proteção das liberdades civis. Os mais pessimistas, justamente o contrário. E alertam para o perigo do debate simultâneo ao da regulamentação de mídia. Se mal conduzidos, corremos o risco de nos vermos em maus lençóis.
O que só aumenta a importância de todos nós, cidadãos, nos ligarmos desde já nos canais abertos pelo Ministério da Justiça para o acompanhamento dos debates sobre o anteprojeto de Lei de Proteção de Dados Pessoais e de regulamentação do Marco Civil, que tem pontos em aberto sobre guarda (retenção) e uso de dados pessoais. Anote aí: no Twitter: twitter.com/dadospessoais e Twitter.com/marcocivil; e no Facebook: Facebook.com/Debate-Público-Proteção-de-Dados-Pessoais e Facebook.com/marcocivildainternet.
“Ao contrário do que muita gente pensa, as brechas para mudanças no Marcio Civil são muito pequenas. Já o anteprojeto de proteção de dados é um embrião. Está tudo por fazer. É lá que devemos concentrar nossas atenções”, me confidenciou o amigo de Brasília.
Quem já viu o novo texto garante que ele é muito diferente daquele que chegou a ser colocado em consulta pública anos atrás. E que, como todo rascunho, tem imperfeições que precisam ser corrigidas.
O anteprojeto de lei tenta normatizar temas como o uso de dados pessoais sem conhecimento, sem consentimento e que violem a privacidade do usuário, incidentes de segurança como a vigilância, rastreamento e vazamentos de dados, além do fornecimento de dados pessoais para acesso a serviços, entre outros pontos. Busca reduzir a insegurança jurídica sobre os modelos de negócios baseados em dados, principalmente no que diz respeito à propriedade dos dados.
O fato é que, na era dos negócios digitais, cresce cada vez mais a necessidade das empresas estarem atentas aos regimes de proteção de dados e da sua comunicação transfronteira, algo que nos anos de governo militar nos referíamos como questão de segurança nacional. Quanto mais as empresas, indivíduos e até mesmo os governos colocam os seus dados na nuvem, mais clientes e fornecedores de serviços de computação em nuvem, principalmente, devem estar muito conscientes das leis e regulações que restringem a coleta, o armazenamento, a divulgação e a circulação de determinadas categorias de informação.
Como bem alerta John C. Eustice, da sociedade norte-americana de advogados Miller & Chevalier Chartered, em um recente artigo escrito para a Computerworld americana, na maioria dos casos, as leis de privacidade de dados são promulgadas para proteger as informações pessoais dos cidadãos de cada país. Essas leis geralmente governam a capacidade das entidades e dos indivíduos de “processar” (ou seja, coletar, preservar, organizar, armazenar, usar, etc.) os dados de outros. Dada a natureza ubíqua dos dispositivos móveis a serem utilizado para fins de negócio, um cidadão mexicano que trabalha no Canadá cujas comunicações são armazenadas por um fornecedor de serviços de computação em nuvem localizado nos Estados Unidos provavelmente desencadeará certas disposições dentro dos regimes legais de todos os três países.
Segundo Eustice, atuais ou aspirantes a clientes ou fornecedores de cloud computing, devem acompanhar de perto três aspectos dos regimes de privacidade de dados.
Primeiro, é preciso saber quando e como se deve obter o consentimento dos proprietários dos dados para processar as suas informações pessoais. Por exemplo, segundo a legislação espanhola e argentina, os utilizadores dos dados devem obter o consentimento expresso dos proprietários dos dados, por escrito, e esse consentimento é revogável a qualquer momento. Assim, se tiver empregados em Espanha ou na Argentina (ou num país com um rigoroso estatuto de privacidade de dados semelhante), é preciso obter o consentimento de cada funcionário individualmente e depois ser seletivo em termos de colocação de qualquer informação pessoal na nuvem.
Em segundo, é preciso entender os requisitos de segurança e de “reporting” de um regime de privacidade de dados. No México, a lei federal de 2010 sobre a proteção de dados pessoais detidos por entidades privadas requer a manutenção de medidas normalizadas de segurança física, técnica e administrativa, destinadas a proteger os dados pessoais de danos, alteração, perda ou uso não autorizados. Além disso, onde houver uma violação de dados, os usuários dos dados devem notificar imediatamente todos e cada proprietário de dados cujos dados pessoais possam ter sido afetados. Este é um requisito comum, pelo que os usuários dos serviços de computação em nuvem devem ter processos de comunicação capazes de notificar, de forma rápida e eficaz, os proprietários dos dados sobre qualquer potencial violação na segurança.
Em terceiro lugar, devem-se pesquisar os mecanismos de aplicação e de sanções potenciais vinculadas a qualquer transgressão de um regime de privacidade dos dados. A Argentina modelou o seu aparato de “enforcement” da privacidade de dados no de Espanha, garantindo a uma agência governamental (a Dirección Nacional de Protección de Datos Personales) o poder de impor sanções administrativas, incluindo advertências, suspensão ou cancelamento de um direito do usuário de dados para manter uma base de dados, bem como multas que variam de cerca de 200 a 20.000 dólares. Mesmo acusações criminais podem ser movidas contra os infratores flagrantes, com penas de prisão que vão de um mês até três anos. Os clientes e prestadores de serviços de cloud computing devem entender as potenciais consequências de comunicarem, armazenarem e/ou processarem informações num determinado país.
Hoje, no mundo, 101 países possuem leis gerais sobre proteção de dados pessoais e 92 destes países, como fez a Argentina, instituíram uma autoridade encarregada do tema.
O anteprojeto de Lei de Proteção de Dados Pessoais que será colocado em consulta pública trata dos três aspectos e cria a figura de uma Autoridade Pública para lidar com a sua regulamentação e fiscalização, com isenção para atuar como o Tribunal de Contas da União ou como a Controladoria Geral da União, até porque também terá a missão de fiscalizar a ação de muitos órgãos do poder Executivo.
No debate que vem aí, segundo quem já viu o projeto, essa Autoridade Pública de Proteção de Dados deve ser lançada mais como uma possibilidade, uma alternativa, e não como uma posição já fechada dentro do governo. É o ponto que mais controverso.
Segundo o Ministério da Justiça, caso esta autoridade venha a ter, dentre suas competências, funções próprias de Estado (como a de emitir sanções, por exemplo), estas competências deverão ser completamente independentes e autônomas em relação a qualquer componente multistakeholder que possa existir.
O discurso oficial do ministério é o de que o governo brasileiro considera fundamental ter um marco legal de proteção de dados no Brasil baseado no consentimento e no uso legítimo desses dados, ferramentas de exercício de direitos e padrões mínimos de segurança e privacidade para o cidadão.
A sorte está lançada. Se vamos avançar muitas casas, ou retroceder, só o tempo dirá.
Hoje, faço minhas as palavras do ministro polonês Michał Boni: “Temos que proteger a vida privada, bem como o respeito pelas liberdades civis na Internet. É necessário encontrar um meio termo entre segurança e liberdade. Não devemos limitar a liberdade em prol da segurança, mas, pelo contrário, a liberdade não pode ser uma razão para paralisar atividades desenvolvidas a fim de aumentar a segurança e assim, também, a própria liberdade”.
