IHU-Unisinos entrevista Spencer Toth Sydow, IHU-Unisinos, 22 de maio de 2020
Em meio à pandemia da covid-19 no Brasil, a notícia da parceria do Ministério da Ciência, Tecnologia, Inovações e Comunicações com as operadoras de telefonia passou praticamente despercebida por grande parte da população, ainda em choque com o número de mortes e a profunda crise política instaurada no país. O acordo prevê ceder informação sobre a geolocalização de aparelhos celulares com o propósito de identificar possíveis aglomerações de pessoas. Iniciativas como esta, no entanto, sempre levantam dúvidas sobre os direitos civis, dentre eles, a privacidade.
Mas, alerta Spencer Toth Sydow, “se os dados disponibilizados forem públicos, eles não têm direito à sigilosidade. Isto é, se esses dados não se relacionarem diretamente a indivíduos, eles não são protegidos constitucionalmente”. No caso brasileiro, a legislação que estabelece as regras de trocas e disponibilização de dados é a Lei Geral de Proteção de Dados, sancionada em 14 de agosto de 2018, que entraria em vigor em agosto de 2020 não fosse uma Medida Provisória que a postergou para 3 de maio de 2021. “O problema é que até que essa lei entre em vigor... estaremos em um limbo, de modo que várias prerrogativas, características e definições não poderão ser impostas e, menos ainda, exigidas do Estado”, pondera Sydow.
Se atualmente os usuários estão entregues à própria sorte no que diz respeito à sanção de uma lei específica sobre o tema, o cenário futuro pode ser bem diferente, até mesmo de uma certa possibilidade de libertação do panoptismo digital do qual hoje parece não haver saída. “Talvez no futuro seja possível escapar do panoptismo digital, talvez com as novas práticas culturais e sociais de criação da anonimização. Talvez, no futuro, quando a Lei de Proteção de Dados entrar em vigor, uma vez que ela permitirá o apagamento de dados, as pessoas poderão pedir o apagamento digital geral, para ter um momento de anonimização”, complementa.
Spencer Toth Sydow é doutor e mestre em Direito pela Faculdade de Direito da Universidade de São Paulo - USP e professor convidado em diversas instituições de ensino em graduação e pós-graduação. Advogado criminalista, especialista em direito penal informático, é autor dos livros Crimes Informáticos e suas Vítimas (São José dos Campos: Editora Saraiva, 2015), A Teoria da Cegueira Deliberada (Belo Horizonte: D’Plácido, 2016), Exposição Pornográfica Não Consentida (Belo Horizonte: D’Plácido, 2019), Stalking e Cyberstalking (Belo Horizonte: D’Plácido, 2017), Perversão, Pornografia e Sexualidade: reflexos no direito criminal informático (Belo Horizonte: D’Plácido, 2018) e Cyberterrorismo (Belo Horizonte: D’Plácido, 2018). Atualmente é presidente do Conselho Estadual de Direito Digital da OAB-SP e sócio-fundador do Instituto NOMOS de ensino jurídico.
IHU On-Line – Do que se trata a parceria entre o Ministério da Ciência, Tecnologia, Inovações e Comunicações e as operadoras de telefonia para rastreio da geolocalização de celulares no Brasil?
Spencer Sydow – Para começar a responder esta questão, gostaria de tratar de uma imprecisão da Constituição Federal. No Artigo 5º, Inciso XII, pode-se identificar um erro específico em relação ao tipo de sigilo que é garantido por ela. Lá está escrito “é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas...”, mas, na verdade, a forma como foi citada a palavra “dados” é não somente inadequada, como se expressa de forma não técnica.
Explico. Dados não são sigilosos em geral, mas sim dados pessoais. Se lermos novamente esse inciso perceberemos que a “inviolabilidade” guarda relação sempre com uma lógica comunicativa de indivíduos. Portanto, o sigilo seria inviolável na questão da correspondência, uma conversa entre remetente e destinatário, na comunicação telegráfica, telefônica e, de forma genérica, nos dados. Mas “dados” não são sigilosos em geral, mas naquilo que toca as pessoas propriamente ditas. Esse raciocínio parte da interpretação de que o Artigo 5º trata dos direitos individuais - afinal se todos os dados fossem sigilosos não haveria estatística ou a possibilidade de previsão do tempo, que se trata de dados públicos - previstos na Lei Geral de Proteção de Dados.
O ponto, no núcleo da questão que estamos discutindo, é uma possível violação sobre a sigilosidade dos dados, mas precisamos dizer de que dados estamos falando. Portanto, em relação à parceria entre o Ministério da Ciência e as companhias telefônicas, se os dados disponibilizados forem públicos, eles não têm direito à sigilosidade. Isto é, se esses dados não se relacionarem diretamente a indivíduos, eles não são protegidos constitucionalmente.
Parceria com operadoras
Então do que se trata a parceria entre o Ministério e as operadoras? Bem, em tese (porque não li o contrato, se é que existe um contrato ou o ato normativo que faz esta solicitação), a partir do que foi veiculado na imprensa, a parceria seria uma circunstância em que as operadoras de telefonia celular, que cada vez mais trabalham prioritariamente com dados, pela própria natureza do serviço que prestam, precisam ter as localizações geográficas dos aparelhos. Isso porque os dispositivos acionam sinais enviados por antenas, em que, costumeiramente, com muita frequência, faz-se uma triangulação pelo sinal de antenas, permitindo a localização geográfica de aparelhos, o que faz parte dos dados obtidos pelas prestadoras de telefonia. Somente pelo fato de estar próximo de uma antena, captando mais sinal de um ponto que de outro, pode-se aferir a localização de um celular.
O Ministério da Ciência tem o objetivo de usar suas prerrogativas, construídas a partir de uma situação de Declaração de Calamidade Pública. A partir deste decreto, que determina as circunstâncias impostas pela administração pública para o isolamento social, seja o nível que for, a obtenção de informações pelo poder público sobre onde está havendo aglomeração é importante e parte-se do pressuposto de que as pessoas, a maior parte delas, estão com os celulares nos próprios bolsos.
Ocorre, então, que as empresas de telefonia cedem para o poder público as posições de geolocalização dos aparelhos que estão em sua área de prestação de serviço. O objetivo é cruzar os dados geolocais e evitar aglomerações de pessoas. A vantagem disso é que se trata de uma forma constante de identificação de locais de aglomeração e, portanto, o poder público poderia ir lá e tomar uma medida de distanciamento social.
Problemas
Há alguns problemas que devem ser comentados também. Os dados que as operadoras possuem são relativos a um aparelho celular, não à geolocalização da pessoa, mas sim à geolocalização do aparelho. Então imagine, se houver 50 aparelhos celulares em uma residência, todos eles ligados, para fins de geolocalização, eles serão identificados pela operadora. Portanto, não há uma relação necessária entre uma localização geográfica dada por uma empresa que presta serviço de telefonia e a existência de uma pessoa naquela localização. Numa loja que vende celulares e possui centenas de aparelhos, para fins de geolocalização, há uma concentração enorme de telefones, mas não existem pessoas.
É uma presunção do Ministério a de que as pessoas andam sempre com seus celulares, o que também não é uma verdade absoluta. Mas em tese, se todo mundo andasse com o celular no bolso, o cruzamento da geolocalização dos aparelhos permitiria identificar a concentração de pessoas.
Existem necessidades preventivas para que não se tomem decisões pouco úteis. Obviamente um prédio de apartamentos que tenha cinquenta unidades, cada um deles com cinco pessoas com um celular, em termos geolocais, é uma enorme concentração de pessoas, mas quando o poder público vai verificar, se dá conta de que há um distanciamento social adequado, pois está cada um em seu apartamento.
IHU On-Line – A causa do monitoramento de celulares durante a pandemia parece ser nobre, entretanto, não haveria risco de uma medida como esta se transformar em ataque aos direitos civis?
Spencer Sydow – Se o processo se der nos termos que comentei acima, é seguro; isto é, se forem enviados ao Ministério apenas os dados de geolocalização dos aparelhos, sem apresentar o número do aparelho, nem dados pessoais de quem está registrado, ou seja, informações pessoais. Então, teoricamente, se alguém estiver diante de uma circunstância em que se estão repassando ao poder público, para fins de segurança e saúde coletiva, em uma calamidade pública, dados não individualizáveis, genéricos, que não pertencem à intimidade das pessoas, não haveria nenhum problema na questão da segurança.
É claro que precisamos compreender o que significa dado e dado pessoal. O “dado pessoal”, e a Lei Geral de Dados tem isso no Artigo 5º, é uma informação relacionada a uma pessoa natural identificada ou identificável. Esse dado é resguardado pelo sigilo constitucional. Esta não é simplesmente uma informação genérica, como geolocalização ou previsão do tempo, mas algo específico que permite que eu consiga saber a quem pertence esta informação. Partindo desse pressuposto, o dado de geolocalização, sem estar atrelado a qualquer outra informação, não configura dado pessoal e, portanto, ceder a informação genérica deste dado não viola a Lei Geral de Proteção de Dados e não gera insegurança ao usuário.
Se os termos gerais da Lei de Dados forem respeitados, não se violariam os direitos civis, sublinho, respeitando-se rigorosamente o tratamento e a finalidade de dados. Se chegarmos a esta circunstância, não haveria risco de violação de direitos civis. Mesmo porque o Artigo 6º fala muito claramente que os tratamentos de dados respeitam vários princípios e um dos mais importantes é o “princípio da finalidade”, que implica a realização de tratamento para propósitos legítimos, específicos e informados ao titular.
É muito importante que o governo, em fazendo esta parceria, respeite a lógica da finalidade. Se houvesse, evidentemente, qualquer desconstrução desta lógica, qualquer cessão de dados que sejam pessoais ou individualizáveis, claramente teríamos um ataque a direitos civis e o governo teria uma informação privilegiada. Se isso ocorresse, a pessoa teria sua sigilosidade violada.
Como saber se houve violação?
Em tese, uma autoridade central, como a criada pela própria Lei Geral de Proteção de Dados – a Autoridade Nacional de Proteção de Dados - ANPD –, que permanece funcional como preveem os Artigos 55 e os seguintes, deveria ter acesso àquilo que está sendo compartilhado entre as operadoras de telefonia e o governo. Se houver excesso, naturalmente, o que deve haver são medidas judiciais proibindo a parceria ou mesmo orientações para que as companhias de telefonia não cumpram o acordo.
Parte-se do pressuposto que os dados, passados os momentos de pandemia, ficarão restritos ao período determinado e que, não somente isso, sejam descartados porque sua finalidade já foi atendida.
IHU On-Line – Quais são as implicações éticas mais sensíveis diante do rastreamento digital? O que ele pode trazer de positivo e negativo?
Spencer Sydow – Novamente eu digo: há uma diferença entre rastreamento e monitoramento. O rastreamento não tem a finalidade de seguir os passos de um dono de celular, mas de identificar pontos de aglomeração. Entendo que a questão de fundo é esta, a aglomeração. É preciso que haja respeito à finalidade e descarte de dados. Esse é o ponto mais sensível. O governo precisa demonstrar o limite do uso de dados e, cessado este limite e finalidade, os dados precisam ser descartados.
IHU On-Line – Na Europa, na França especialmente, estão debatendo a implementação de um aplicativo chamado “Stopcovid”, embora iniciativas semelhantes estejam sendo usadas em Israel, China e Coreia do Sul, entre outros. Quais são os protocolos de funcionamento desses aplicativos?
Spencer Sydow – No que se refere aos países democráticos – França, EUA, Inglaterra, Israel e Coreia do Sul, não sei como a China trabalha com este protocolo de aplicativo –, a lógica funcional dos aplicativos funciona da seguinte forma: pessoas identificadas positivamente como portadoras do vírus, e que, portanto, têm um índice de contaminação alto, seriam chamadas pelo governo e aceitariam ser monitoradas – agora sim, monitoradas – para que os caminhos que elas fazem sejam controlados. Neste caso sim, as pessoas estariam cedendo seus dados pessoais. Ou seja, há uma disponibilidade pessoal de algo que é facultativo, pelo menos em um primeiro momento.
As pessoas aceitam ser monitoradas para que se verifiquem os locais que elas frequentam para a busca de formas específicas de higienização e sanitarização, se saiba com quais pessoas elas têm contato direto e indireto para que se possam testar estas pessoas para tratamento preventivo e assim sucessivamente. O objetivo é gastar menos tempo com testes genéricos.
Essa dinâmica é parecida com a lógica dos cookies da internet. Se uma pessoa acessa com certa frequência sites específicos, os sites coletam suas preferências e fazem com que os conteúdos mais acessados tenham privilégio de exibição. Essa dinâmica, transposta para a questão da covid-19, faz com que os recursos de controle sanitário e de saúde não sejam gastos genericamente, atacando especificamente os pontos de risco. Essa é a forma de funcionamento dos aplicativos, isto é, a pessoa permite que os seus caminhos e os seus contatos sejam monitorados para que o governo tenha subsídios para racionalizar medidas adequadas a necessidades específicas. Na China eu não sei dizer como funciona.
IHU On-Line – O que se pode esperar para o futuro?
Spencer Sydow – Para situações pandêmicas como esta, em linhas gerais, pode-se esperar duas coisas: 1) as pessoas confiarão no governo, entenderão a função do monitoramento, acreditando que serão respeitadas e os dados descartados na sequência, oferecendo informações para melhor controle do Estado sobre questões de segurança e de saúde; ou 2) os governos poderão impor estas medidas por meio de legislação, criando-se dispositivos de excepcionalidade para situações de calamidade pública. Neste caso, pessoas identificadas positivamente como portadoras do vírus poderão ser obrigadas a ser monitoradas para fins coletivos. Em tese, finalidades coletivas preponderam sobre individuais, ou seja, direitos coletivos são prioritários em relação a direitos individuais.
Resumindo, o que se pode esperar ou é a conscientização para a disponibilização dos dados em tempos de calamidade pública, ou uma ação impositiva que obriga as pessoas a cederem seus dados.
IHU On-Line – O pânico diante do coronavírus não poderia ser um aliado do Estado no sentido de garantir maior adesão da população civil a aplicativos e práticas de controle digital?
Spencer Sydow – Com certeza. Existe uma frase famosa do Manuel Castells que diz: “o preço da segurança é a perda da liberdade”. Prevalecendo a segurança, as pessoas abrem mão da liberdade e aceitam práticas de controle digital. É um risco sim, qualquer tipo de pânico causa risco à possibilidade de relativização de direitos civis ou, até mesmo, golpes. Não se esqueçam de que existe um golpe específico em que as pessoas baixam um aplicativo que as monitora, gerando uma série de consequências, desde extorsões criptovirais[1] até golpes de estelionato.
IHU On-Line – O escândalo da Cambridge Analytica revelou que a segurança dos dados dos usuários é frágil. Há algo que possa sugerir para que, no caso do rastreamento de pessoas em relação à covid-19, nossos dados estejam protegidos?
Spencer Sydow – O que existe no Brasil é a previsão de uma autoridade de controle de dados, entretanto, ela precisa ser efetivada. Se houver acompanhamento, cada vez que for necessária a cessão de dados, esta instituição deverá zelar para que esses dados protegidos estejam menos sujeitos a abusos.
IHU On-Line – Que implicações políticas, sociais e culturais os rastreamentos, ainda que de aparelhos celulares e não propriamente de pessoas, trazem à sociedade?
Spencer Sydow – Naturalmente, no que toca às implicações políticas, haverá uma divisão entre conservadores e liberais. Os primeiros são aqueles que acham que devemos, sim, impor medidas de rastreamento e os liberais são aqueles que acreditam que não se devem impor tais medidas. Haverá ainda quem considera que o rastreamento deve ser total, outros que deve haver justificativa e pessoas que acham que isso não pode ocorrer de modo algum. Essas, me parecem, são as implicações políticas mais importantes.
Ao mesmo tempo, haverá a divisão social de pessoas que dirão “podem me monitorar, sim, não tenho nada a esconder” e outras que dirão “não aceito, isso é um absurdo”, com o medo de que a cada vez que isso ocorra cerceie-se mais um direito.
Em termos culturais, entendo que teremos a criação de um novo comércio, pois já que temos circunstâncias de monitoramento, haverá a criação de serviços de anonimização, portanto de impedimento de rastreamento. Haverá hardwares e softwares específicos para se criar uma cultura de anonimização, como já existe em uma escola específica de Harvard, da qual faço parte, composta por 75 professores que estudam constantemente as lógicas de anonimização e para garantir o anonimato em várias circunstâncias de internet. Isso visa impedir a apreensão e a coleta de dados pessoais, pensando qual indexador usar, qual e-mail usar, quais sites rastreiam uma pessoa quando ela aceita fazer parte de uma comunidade e assim por diante.
IHU On-Line – Quando se trata de disponibilização de dados pessoais, a questão central é qual uso se pode fazer deles. Quais as diferenças entre fornecer dados para o Estado (que detém o privilégio legal da força) e para empresas (que fazem uso comercial)? Quais os riscos em uma e outra?
Spencer Sydow – Em tese, se há autoridade que verifica para quem estamos cedendo nossos dados e estuda este raciocínio, então haveria, em um Estado eficiente, poucos riscos. A autoridade nacional verifica se há abusividades, identifica e coíbe estas ações indevidas.
O fornecimento de dados a empresas produz impactos comerciais, de ordem capitalista em seu sentido mais puro, uma vez que a função das empresas é ter lucro. Uma vez que se cedem dados para uma corporação – isso se chama “composição de personalidade virtual” –, esta empresa vai acumulando informações e montando um perfil a partir do que chamamos de big data. Isso permite saber por onde você anda, o que bebe, a cor dos seus olhos, o que você compra, lê etc., e com base nisso cria-se um perfil para direcionar as propagandas e os seus produtos aos consumidores certos. Quando se deixa de assistir televisão e se passa para meios informáticos, as empresas passam a usar esses dados dos usuários para melhor explorar as pessoas. A sociologia tem uma premissa de que quanto mais informação, mais poder se tem sobre as pessoas. Se este poder for dado a uma empresa que tem finalidades comerciais, porque tem que fechar balanço e cumprir metas, o impacto será comercial.
Bem, se o Estado tiver muitos dados sobre mim, pode, também, trabalhar de uma forma financeira, a partir de arrecadação, sabendo o que eu faço, para onde viajo, o que compro, cruzando esses dados de consumo com os da Receita Federal. Isso permite que o Estado perceba se uma pessoa viaja quatro, cinco vezes ao ano, mas, mesmo assim, este mesmo CPF tem restituição do Imposto de Renda. Com essas informações, o Estado pode readequar sua arrecadação e tributação com base no padrão de vida dos contribuintes. Isso, contudo, em si, é ilegal porque o Direito Tributário tem uma forma específica de funcionar, isto é, o que gera tributação é uma hipótese de incidência, mas se o Estado tiver outros dados ele pode cruzar essas informações e verificar eventuais inconsistências das declarações.
Do mesmo modo, o Estado, conhecendo os “hábitos” das pessoas, consegue acompanhar com quem elas se relacionam, por exemplo. Em uma espécie ilegal de controle, pode-se verificar se uma pessoa consumiu droga em uma festa, acelerou muito na condução de um veículo etc. Então ele pode passar a monitorar e conhecer alguém acima do que é permitido legalmente. O Estado deveria ser mínimo, mas pode passar a ser um Estado máximo, dentre outras coisas, a partir da identificação de contravenções e delitos por meio de cruzamento de dados.
IHU On-Line – Qual o espaço do indivíduo diante da vigilância? É possível escapar do panoptismo digital?
Spencer Sydow – O Brasil deveria ter sancionada, a partir de agosto de 2020, a Lei Geral de Proteção de Dados. Por conta de uma Medida Provisória, hoje, não temos a possibilidade de esta lei entrar em vigor em agosto e, por isso, ela foi prorrogada para 3 de maio de 2021. O problema é que até que essa lei entre em vigor, garantindo todos os direitos e prerrogativas que apontei ao longo da entrevista, estaremos em um limbo, de modo que várias prerrogativas, características e definições não poderão ser impostas e, menos ainda, exigidas do Estado.
Uma questão sensível para quando a lei for sancionada diz respeito aos dados que foram coletados ao longo dos últimos 20 anos. O que faremos com eles? A resposta é: paciência, nós vamos ter que acreditar que esses dados serão bem utilizados. Talvez no futuro seja possível escapar do panoptismo digital, talvez com as novas práticas culturais e sociais de criação da anonimização. Talvez no futuro, quando a Lei de Proteção de Dados entrar em vigor, uma vez que ela permitirá o apagamento de dados, as pessoas poderão pedir o apagamento digital geral, para ter um momento de anonimização, de modo que vão entendendo o que esses dados são para as empresas e vão entendendo o quanto de informação elas cedem para estes meios. Além disso, pouco a pouco, as pessoas passarão a utilizar mecanismos de navegação mais seguros, mais anônimos e assim por diante.
Gostaria ainda de recordar que o usuário médio prefere ceder dados a pagar por um serviço. Enquanto a mentalidade dos usuários não perceber a força desses dados, preferindo cedê-los para aplicativos gratuitos, por culpa nossa ou por manipulação dos aplicativos, estaremos diante de um panoptismo, ao menos da parte empresarial.
O que podemos diante da vigilância é exigir anonimização, exigir o uso correto dos dados, exigir o apagamento, verificar a finalidade e, se há algum tipo de dúvida, utilizar dos métodos que já existem e criar novos meios para não ceder tantos dados.
IHU On-Line – Como o sistema jurídico brasileiro está preparado para assegurar as garantias civis e os direitos humanos, dentre eles, a privacidade?
Spencer Sydow – A Lei de Proteção de Dados tem uma série de instrumentos jurídicos que, associados à lógica do Direito Processual Civil e Civil, vão garantir obrigação de apagamento, de não coleta de dados, obrigação de não cessão de dados a terceiros, de descarte de dados, que é hoje possível de se fazer judicialmente, mas será possível fazer administrativamente com a autoridade que eu citei anteriormente.
Criminalmente existem algumas pequenas lógicas que estão tentando gerar privacidade, como, por exemplo, a proibição do registro de intimidade, a proibição de divulgação de material com conteúdo íntimo, proibição de coleta de dados por meio de invasão e assim sucessivamente. Neste momento já se usam algumas dessas lógicas com a legislação existente, porque se entende que dados são parte da relação de consumo, em que quem coleta dados é o fornecedor e quem fornece dados é o consumidor. No final das contas há alguma proteção, mas que, quando entrar a lei geral, será melhorada.