• Batya Tabacnik

Privacy by design: pensando na proteção ao usuário desde a concepção dos produtos digitais

Neste artigo, buscou-se elucidar a importância de se pensar na proteção aos usuários desde os estágios iniciais da concepção e do desenvolvimento dos produtos digitais, considerando as exigências da legislação vigente. Assim, partindo da LGPD, aprofundou-se o estudo em um princípio por ela positivado, qual seja, o privacy by design. Ademais, foram trazidos exemplos de tecnologias protetivas da privacidade, as quais, embutidas no próprio design das plataformas, constituem importante mecanismo de limitação da coleta de informações pessoais.



Contextualização


No cenário brasileiro atual, vivenciamos, quase que de modo simultâneo, a ocorrência de dois importantes marcos para o ambiente digital: (i) a entrada em vigor da Lei Geral de Proteção de Dados (“LGPD”) e (ii) a chegada da tecnologia 5G. Quanto ao primeiro acontecimento, temos que a LGPD entrou em vigor no dia 18 de setembro de 2020, ainda que as previsões de penalidades a empresas entrem em vigor apenas em agosto de 2021. No que diz respeito à chegada da tecnologia 5G no Brasil, sabe-se que, por hora, o serviço será oferecido de forma transitória pela Operadora Telefônica Claro, que pretende disponibilizar aos seus usuários apenas uma prévia, na forma do 5G DSS - uma evolução natural do 4G rumo ao 5G, que aumenta a velocidade de navegação daquele em até 12 vezes. No tocante à tecnologia 5G em sentido estrito, há ainda a pendência da realização do leilão das faixas de frequência no país pela Agência Nacional de Telecomunicações - Anatel, o qual deve ocorrer somente em meados de 2021.


Ainda, cumpre ressaltar que o 5G constitui a próxima geração das tecnologias de comunicação de dados sem fio. Suas redes utilizam ondas de rádio numa frequência mais alta, que permite por volta de 10Gbps de transferência de dados, o que é 100 vezes mais rápido que a tecnologia 4G. Em termos de impactos para o Direito Regulatório, no âmbito do compartilhamento de dados, sabe-se que os novos dispositivos equipados com a tecnologia 5G irão coletar e armazenar quantidades enormes de dados de seus usuários, e saber como limitar todo esse processo é o desafio substancial que deve ser enfrentado pelas leis de proteção de dados individuais [1].


Em certa medida, parece possível afirmar que há um antagonismo entre esses marcos. Isso, porque, ao passo que a tecnologia 5G aumentará em até 100 vezes a velocidade de navegação, ocasionando necessariamente em um aumento diretamente proporcional da velocidade de captação de dados e do montante de informações pessoais coletadas e tratadas pelas plataformas digitais, a LGPD busca frear uma tal coleta excessiva e não informada dos dados pessoais visando a proteger os usuários. Nesse cenário, faz-se relevante pensar nos mecanismos dos quais a LGPD poderá se valer para resguardar a privacidade dos indivíduos, sem, contudo, comprometer os benefícios trazidos pela maior velocidade do serviço 5G.


Tendo em mente a extensão do artigo, focalizaremos a análise no estágio de desenvolvimento dos produtos digitais, pois acreditamos ser etapa fundamental no contexto da tecnologia 5G, considerando a rapidez dos fluxos e a dificuldade que se terá para fiscalizar todo o processo de tratamento dos dados uma vez postos os produtos no mercado, sendo prudente, portanto, pensar desde o início em como minimizar e proteger esta coleta na própria arquitetura da plataforma digital.


Privacy by design


Partindo da letra da lei, no artigo 46 da LGPD, temos: Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de (...) tratamento inadequado ou ilícito. § 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução. (Negrito nosso).


O princípio que está por trás deste artigo é o privacy by design ou privacy by default. Trata-se de colocar a proteção dos dados pessoais como orientadora da concepção do produto, que deve ser constituído por tecnologias facilitadoras do controle e da proteção das informações fornecidas.[2] Tais tecnologias são chamadas de Privacy Enhancing Technologies, ou simplesmente PETs. Pelo § 2º transcrito acima, fica evidente que a LGPD incorporou a noção de privacy by default ao determinar que a proteção do usuário deve ser pensada desde a concepção do produto ou serviço digital, de forma preventiva e antecipada.


Para entender melhor a funcionalidade dessa noção, traremos aqui exemplos de como as PETs podem auxiliar na concretização dos valores elencados na LGPD, embutindo-os no design das plataformas digitais.


O dever de informar


Em primeiro lugar, analisaremos o dever-direito de informação, diretamente positivado na LGPD, nos incisos IV e VI do seu artigo 6º[3]. O momento em que este dever se concretiza é nos estágios de desenvolvimento do produto, porque é durante a confecção das plataformas digitais que se decide quais informações serão fornecidas, sob que formas e quando serão disponibilizadas ao titular dos dados. Portanto, vê-se que é um campo fértil para a aplicação do privacy by design. Nesse sentido, o ato de comunicação deve ser pensado para que seja ostensivo e perceptível, assim como as informações prestadas devem ser úteis, pois qualidade é preferível à quantidade.[4]


Para que fique mais claro, podemos usar de exemplo a PET Lighbeam, extensão para o navegador que, por meio de uma interface gráfica, revela aos usuários quais são os atores envolvidos nas atividades de tratamento dos seus dados[5]. Assim, criam-se animações gráficas que ilustram como os dados pessoais podem fluir, serem transmitidos, por exemplo, para além da aplicação acessada. Vê-se, portanto, uma PET que busca facilitar a tomada de decisão do usuário, por meio de uma didática que torna mais simples e objetiva a avaliação das informações fornecidas.


Contudo, a maioria das plataformas parece ainda não ter incorporado o Lightbeam ou outros mecanismos que tornem mais fácil a visualização das políticas de privacidade. Sendo assim, uma outra possível solução que pode ser adotada pelos próprios usuários, também na forma de PET, pode ser exemplificada pelo Privacy Policy Analysis, ou apenas Polisis. Trata-se de uma extensão ao navegador que se utiliza da inteligência artificial para automatizar a leitura de políticas de privacidade, traduzindo todas as cláusulas – muitas delas redigidas de maneira truncada e complexa – formando um pequeno resumo com aquilo que realmente deve e pode ser compreendido pelo usuário padrão.[6]


A minimização da coleta de informações pessoais


Tratando agora do princípio de necessidade, positivado no artigo 6º inciso III da LGPD, temos: “necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.” Em termos práticos, para concretizar o princípio, os engenheiros de plataformas digitais devem se perguntar, a cada passo da criação do produto, se seria possível atingir o mesmo resultado pretendido por meio de uma quantidade menor de dados, que exija menos informação do indivíduo. Essa é precisamente a ideia do privacy by design, que pode ser extraída a partir de uma interpretação teleológica do dispositivo.


Maneiras de implementação desse princípio por meio do privacy by design são a anonimização[7] e a pseudonimização[8]. Nesse caso, seria adequado, por exemplo, que certos sites não exigissem o verdadeiro nome do indivíduo, mas sim apenas um nome de usuário. Entendemos que isso variará conforme as necessidades e os objetivos de cada tratamento de dados, mas, sempre que possível, deve-se deixar claro ao indivíduo que o seu verdadeiro nome não é imprescindível.[9] Assim, seria interessante pensar em ferramentas que guardassem e rastreassem as diferentes identidades utilizadas, de modo a encorajar a pseudonimização e a anonimização.


Uma possível PET é o chamado identity protector, software que controla a revelação da identidade real de um indivíduo em vários processos do sistema digital informacional.[10] Dentre as suas principais funções, podemos citar a conversão da identidade real do usuário em uma pseudo-identidade, de maneira que o indivíduo poderia programar o serviço para revelar a sua identidade verdadeira em certas circunstâncias ou a certos websites. Assim, o identity protector deve ser integrado a um sistema informacional, de modo a elevar a privacidade em todos os momentos da navegação. O programa permitiria, dessa forma, a minimização dos dados pessoais armazenados nas bases de dados, guardando as preferências e atividades do usuário sob a pseudo-identidade.


Outra forma de concretizar a anonimização é a não solicitação da data exata de aniversário do usuário, novamente dependendo dos propósitos da coleta. Por exemplo, poder-se-ia solicitar apenas o ano ou o mês do aniversário, minimizando o armazenamento de informações individuais.[11]


Não podemos deixar de mencionar também o fato de que grande parte dos dados coletados advém dos cookies, arquivos inseridos no computador do usuário que comandam a execução de anúncios[12], frequentemente solicitados pelos websites. Os cookies podem ser distinguidos em funcionais e opcionais, sendo que, enquanto os funcionais são necessários para a performance de certas funções de um site, por exemplo os ajustes de linguagem, os opcionais podem ser desativados sem que se impeça o uso adequado de um website, por exemplo as informações solicitadas para propagandas, rastreamento e análises. Nesse sentido, para minimizar a captação de dados, a coleta de cookies opcionais deve vir acompanhada de uma manifestação afirmativa clara do usuário, confirmando o seu expresso consentimento com o uso desses cookies.[13] Isso, entretanto, pode gerar um efeito adverso, pois que os usuários acabariam sendo “bombardeados” com uma avalanche de avisos, muitas vezes ignorados.


Na tentativa de solucionar esse problema, surge a PET chamada DNT, Do Not Track – Não Me Rastreie –, arquitetada para executar as escolhas dos titulares dos dados pessoais no plano da coleta.[14] Ao invés de rejeitar inúmeros pop-ups de cookies, bastaria ao consumidor acionar o botão “DNT” para que, automaticamente, fosse aplicada a sua escolha em barrar ou não a coleta. O browser externalizaria, assim, o consentimento do titular dos dados pessoais, simplificando o processo permitindo que o indivíduo faça de fato a sua escolha. O que falta para a efetiva adoção do DNT é um caráter cogente, fruto da lei, pois ele ameaça as práticas atuais das big techs, as quais dificilmente adotariam esse sistema nas suas plataformas sem imposição legal.


Inteligência Artificial e Privacy by design


Contudo, na atualidade, mais preocupante que os cookies é a captação de dados por meio dos softwares de Inteligência Artificial (“IA”)[15], que utilizam os seus algoritmos para traçar perfis sobre as pessoas. Além de informações pessoais, as próprias emoções dos usuários têm orientado os novos investimentos das big techs.


Por exemplo, a Microsoft tem investido no patenteamento da tecnologia de direcionamento de anúncios, com base em emoções, ao passo que a Apple vem implementando um sistema de processamento de movimentos, que identifica os deslocamentos dos usuários a fim de determinar seu estado mental no momento de uso do celular. Também nesse sentido, a Google investe em um mecanismo para detectar expressões faciais dos espectadores de vídeos no Youtube. A consequência última de todo esse processo é a criação de um ser humano datificado, com projeção completa no ambiente digital[16].


Também nesse sentido, em agosto do ano passado, foi tornado público que o Google trabalhava em um projeto, o Project Nightingale, pelo qual coletava dados médicos e relacionados com a saúde de milhões de pacientes dos Estados Unidos, por meio de acordos com empresas, sem que essas pessoas soubessem. Ainda que isso fosse permitido pela Lei dos EUA, e mesmo que os propósitos fossem de certa forma benéficos, no sentido de auxiliar o tratamento de pacientes, a grande questão aqui é a falta de consentimento dos titulares dos dados ao longo de todo o processo decisório, o que pode levantar perguntas acerca da legitimidade destas decisões automatizadas feitas pela IA.


Objetivando limitar os possíveis efeitos nocivos desse processo de “algoritmização” das informações pessoais (como a construção de um perfil errôneo do usuário), deve-se dar força ao princípio de transparência (aplicável diretamente aos algoritmos), de modo que se solicite, por exemplo, a revisão humana para as decisões tomadas automaticamente com base nesses perfis digitais. Também deve-se presar pelo princípio da legitimidade dos dados coletados, assim como do seu uso ético.[17] Em suma, é necessário que se promova a participação dos usuários, os quais não podem se tornar meros espectadores ou até mesmo estarem alheios às decisões envolvendo diretamente seus dados, suas vidas.


Em termos de privacy by design, a atuação humana no âmbito da IA pode ser conceituada como contestability by design.[18] Trata-se de prevenir possíveis danos a serem causados pela grande coleta de informações e pela tomada de decisões automatizadas, por meio da participação e da intervenção humana no processo. Assim, os indivíduos devem poder contestar quaisquer aspectos dos produtos e serviços com IA que ameacem os seus interesses. Por outros termos, o benefício da ideia de contestability by design repousa no fato de que um feedback em momento preliminar, ao longo da concepção da plataforma digital, pode prevenir potenciais questões ligadas ao processo decisório automatizado da IA.


Ainda que possa parecer inviável contar com a participação da sociedade ao longo do desenvolvimento do produto, existem formas de se trazer intervenção social ao processo. Por exemplo, poder-se-ia contar com feedback de acionistas importantes da companhia desenvolvedora do produto, a fim de identificar possíveis danos a direitos que poderiam surgir com o uso do sistema completo, assim como na tentativa de determinar quais informações configurar-se-iam como adequadas de serem fornecidas aos sujeitos. Outra possibilidade é trazer a opinião e as contestações de ONGs ou entidades públicas que representem interesses coletivos, os quais não seriam ouvidos caso contrário.


Portanto, a vantagem do contestability by design é justamente prevenir a tomada de decisões automáticas errôneas, decisões estas que, apesar de poderem ser contestadas a posteriori, têm a chance de serem evitadas por uma maior participação humana no processo de desenvolvimento da IA. Para as empresas, também existem vantagens na adoção do contestability by design, pois, ainda que o debate seja mais longo, o produto sairá do papel menos suscetível a questionamentos e a sanções por violações à privacidade, ganhando legitimidade e popularidade pelo fato de ter contado com ampla discussão e revisão social.


* O conteúdo deste artigo possui caráter genérico e estritamente informativo. O presente artigo não deve ser interpretado como opinião legal ou aconselhamento jurídico específico da Sanfran Jr. Para eventuais dúvidas, entre em contato com um advogado ou Empresa Júnior jurídica.


Escrito por: Batya Tabacnik

Revisado por: Camila Carvalho

[1]CENTRO DTIBR - DIREITO TECNOLOGIA E INOVAÇÃO. Direito regulatório, 5G e a Internet das Coisas. Belo Horizonte, 2019. Disponível em: https://www.dtibr.com/post/2019/02/10/direito-regulatório-5g-e-a-internet-das-coisas.

[2] RUBINSTEIN, Ira S; GOOD, Nathaniel. Privacy by design: a counterfactual analysis of Google and Facebook privacy incidents. New York University School of Law: Public Law & Legal Theory Research Paper Series, nº 12-43, 2012. Disponível em: https://ssrn.com/abstract=2128146.

[3] LGPD, Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: [...] IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;[...] VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

[4] BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019, § 4.2.3.2.1.

[5] BIONI, op. cit., § 4.2.3.2.1.

[6] Em aproximadamente 30 segundos, o Polisis consegue ler políticas de privacidade que nunca viu antes e extrair um resumo legível e entendível, disposto em uma imagem gráfica ilustrativa, que inclui quais tipos de dados um servidor coleta, para onde os dados podem ser enviados e se o usuário pode optar por não fornecer seus dados, ou pelo menos impedir que sejam circulados. Mais do que isso, os desenvolvedores do Polisis também criaram uma interface de chat, chamada Pribot, para que os usuários possam responder suas questões sobre quaisquer políticas de privacidade. Cf. GREENBERG, Andy. Na AI That Reads Privacy Policies So That You Don’t Have To. Wired, 09 de fevereiro de 2018. Disponível em: https://www.wired.com/story/polisis-ai-reads-privacy-policies-so-you-dont-have-to/

[7] De acordo com o art. 5, inciso XI, anonimização é a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”.

[8] De acordo com o art. 13, “pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro”. Ainda que na LGPD o princípio de pseudonimização esteja previsto no artigo 13, a legislação brasileira apenas dispôs que a sua utilização seria devida no contexto de estudos ligados à saúde pública. Todavia, entendemos que, a partir de uma interpretação sistemática, extensiva e teleológica, o legislador não quis restringir a utilização da técnica de pseudonimização apenas ao contexto da saúde pública, principalmente considerando a importância dada à minimização da coleta de dados no artigo 6º inciso III. KATEIFIDES, Alexis et al. Comparing privacy laws: GDPR vs. LGPD. OneTrust, 2019, p. 14.

[9] TAMO-LARRIEUX, Aurelia, Designing for privacy and its legal framework: data protection by design and default for the internet of things, 1ª ed., New York, NY: Springer Berlin Heidelberg, 2018, p. 211.

[10] SENICAR, Vanja; JERMAN-BLAZIC, Borka; KLOBUCAR, Tomaz, Privacy-Enhancing Technologies—approaches and development, Computer Standards & Interfaces, 2003, p. 153. Disponível em: https://www.researchgate.net/publication/223673501_Privacy-Enhancing_Technologies-approaches_and_development.

[11]TAMO-LARRIEUX, Aurelia, op. cit., p. 211.

[12] TOMASEVICIUS FILHO, Eduardo. Inteligência Artificial e Direitos da Personalidade: uma contradição em termos? Revista da Faculdade de Direito da Universidade de São Paulo, v. 113, jan./dez. 2018, p. 143.

[13] TOMASEVICIUS FILHO, op. cit. p. 211.

[14] BIONI, op. cit., § 4.2.2.1

[15] “Conjunto de rotinas lógicas que, aplicadas no campo da ciência da computação, permite aos computadores dispensar a necessidade de supervisão humana na tomada de decisões e na interpretação de mensagens analógicas e digitais”. TOMASEVICIUS FILHO, op. cit., pp. 135-136.

[16] BIONI, op. cit., § 2.3.2.

[17] DONEDA, Danilo. ALMEIDA, Virgílio A.F. O que é a governança de algoritmos? Politics, outubro, 2016. Disponível em: https://politics.org.br/edicoes/o-que-é-governança-de-algoritmos.

[18] ALMADA, Marco, Human intervention in automated decision-making: Toward the construction of contestable systems, ICAIL '19, Canadá, junho, 2019. Disponível em: https://www.researchgate.net/publication/327602212_Human_intervention_in_automated_decision-making_Toward_the_construction_of_contestable_systems

Recent Posts

Archived

Follow Us

  • Facebook ícone social
  • Instagram ícone social