A relação entre a privacidade dos dados pessoais e as relações de consumo podem ser mais estreitas, mas a própria definição do que é um dado sensível merece atenção, na opinião de pesquisadores durante o segundo dia de seminário organizado pelo NIC.br e CGI.br nesta quarta-feira, 8, em São Paulo. O projeto de lei de proteção dos dados pessoais (PLC 53/2018), o art. 5º, III, define os dados anonimizados como “dados pessoais relativos a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”. No art. 12º, entretanto, há a ressalva que a informação volta a ser pessoal quando utilizados na formação de perfil de comportamento ou “quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido”, no qual entende-se como razoável “fatores objetivos tais como custo e tempo”.
Para o consultor independente Ricardo Morishita Wada, a dicotomia entre o anônimo e pessoal deveria ser superada, sugerindo o uso do Art. 4º, inciso I do Código de Defesa do Consumidor, que traz o princípio da dignidade da pessoa “e reconhece a vulnerabilidade do consumidor, mostram a positividade e proteção do código que podem tutelar essa relação”.
Outro elemento do CDC que deveria ser utilizado, declara Wada, é relacionada ao consentimento da pessoa na coleta de dados para um serviço. “O art. 46 do CDC não está citado na lei de proteção de dados e me parece absolutamente necessário, porque fala em conhecimento prévio do consumidor e a compreensão do seu sentido e alcance – o contrato não pode surtir efeitos no âmbito jurídico se não cumpre esses dois requisitos básicos”, declara. “Você não pode estar de acordo com algo que não compreenda o alcance, é diferente de apenas conhecer.”
O consentimento ainda traz a necessidade de exceções para o tratamento de big data, por exemplo. Por isso, o consultor justifica esperar a aprovação integral do PLC 53, servindo de complemento ao Código de Defesa do Consumidor. “Eu estou muito preocupado e faço voz que a sanção seja consciente, acho que vetos podem ser desastrosos não só para o consumidor, mas para toda a sociedade, pode tornar absolutamente inefetiva a lei geral de proteção de dados porque, se o CDC não traz nenhuma exceção, a LPDP traz”, afirma.
De acordo com a analista de políticas latino-americanas da Electronic Frontier Foundation, Veridiana Alimonti, a lei vem para corrigir o problema da construção de perfil aliada à falta de transparência desses mecanismos de rastreamento e identificação. Ela cita como exemplo não apenas a coleta de cookies, mas a alternativa de uso de fingerprinting (impressão digital) ao combinar uma série de informações (configuração de navegador, cabeçalhos HTTP com informações de fuso horário, sistemas de fontes, resolução de tela, plugins instalados e idioma) para associar a uma pessoa para oferecer publicidade direcionada. “A gente é da opinião que anúncios e personalização não são problema, mas sim todo o processo feito de forma oculta e sem a devida informação”, declara. “Na prática, criam-se perfis de forma muito mais obscura.”
Alimonti entende que a assimetria de informação coloca o cidadão em desvantagem, com a coleta de dados cada vez menos sob controle. Por conta disso, também apoia a aprovação do projeto de lei. “A regulamentação vem para nos colocar no próprio lugar, que é o controle dos nossos próprios dados”, afirma. Para ela, a sanção “é fundamental” e deve se aplicar não só ao setor privado, mas ao setor público, levando em consideração os anos de debates na elaboração da proposta.
Farmácias
Um caso de falta de transparência está na solicitação de informações cadastrais relacionadas a descontos em farmácias e drogarias, como destaca em dissertação a pesquisadora da Universidade Federal do ABC, Joyce Souza. A pesquisa dela realizada no município de São Caetano do Sul (SP), identificou excesso na coleta de dados e o uso comercial/repasse a terceiros como um “mercado obscuro”, que não esclarece como são ofertados os descontos. “Por que temos de colocar religião em formulários como estes? Ao meu ver, se tivermos lei sem uma autoridade nacional, isso continuará a ocorrer”, opina. Ela entende que uma elaboração de perfil com pontuações de saúde poderia ser mais importante do que a de crédito, funcionando como sistemas de classificação e ordenamento social, mas “amplamente não inspecionados ou regulamentados, e que afetam as chances e escolhas”.
O consultor jurídico da Confederação Nacional das Empresas de Seguros Gerais, Previdência Privada e Vida, Saúde Suplementar e Capitalização (CNseg) Mario Viola, entende que o objetivo do profiling é o de estabelecer um perfil de risco. Contudo, ressaltando que não fala como representante privado ou de mercado, ele diz que é preciso colocar limites na coleta de informações, como acontecem nas farmácias. “Posso imaginar possibilidades de utilização legítima, mas no Brasil, pela lei, não se pode negar cobertura [de planos de saúde]”, cita. E ressalta que o PLC 53 traz princípio da não discriminação, com a impossibilidade de realização do tratamento de dados para fins discriminatórios, ilícitos ou abusivos, bem como o direito de revisão de perfil sem nenhum tipo de limitação.