Centro DTIBR - Direito, Tecnologia e Inovação

Avenida João Pinheiro, 146, 10º andar, Lourdes

Belo Horizonte/MG, Brasil

CEP 30.130-927

CNPJ 32.727.924/0001-80

Clique aqui para nossa localização

Tel:  +55 31 3010-1804

Email: centrodtibr@gmail.com

Ata de Reunião - BIG DATA - PARTE 2

Grupo de Estudos - DTI Direito, Tecnologia e Inovação

Relatora: Renata Diniz



A ampliação do uso de dados criou um novo paradigma de análise, pesquisa e previsão, através do qual é possível até mesmo uma inversão das etapas: os dados não são apenas uma forma de confirmação das hipóteses pré-estabelecidas, mas agora podem também ser fonte de novas hipóteses antes impensáveis. Isso acontece, em grande medida, por causa da crescente facilidade de armazenar e estudar esses dados, através, entre outros mecanismos, do Big Data. As novas perspectivas criadas permitem análises sociais que nunca antes foram possíveis, mas trazem também dilemas jurídicos, inclusive no que diz respeito à proteção de dados pessoais.


Os avanços técnicos na área permitiram que a capacidade de armazenamento não apenas crescesse de forma extremamente rápida, mas também que ele se tornasse cada vez mais barato. Essa mudança permitiu que saíssemos de uma realidade de small data, na qual se armazena apenas as informações estritamente necessárias para a análise que se buscava, para a situação atual, na qual a prática comum é armazenar a maior quantidade de informações que for possível coletar, ainda que sua utilidade não esteja clara. Criou-se, assim, uma situação que se retroalimenta: cada vez se armazena mais dados, que por sua vez são destrinchados para demonstrar novas informações.


O primeiro dispositivo legal na Europa a abordar a proteção de dados de uma forma geral foi a diretiva de 1995. Não se tratava de um mundo pré-internet, mas a rede ainda era incipiente, o comércio eletrônico começava a ganhar força, e redes sociais abrangentes e disseminadas eram “coisa de ficção científica”. Essa diretiva já trazia os princípios fundamentais que hoje regem a proteção de dados pessoais, mas não estava preparada para lidar com a Big Data (e ainda não tinham essa necessidade).


A compatibilização do Big Data com a proteção de dados parece, à primeira vista, complexa, já que o primeiro depende do armazenamento de enormes quantidades de informação sem finalidade restrita, enquanto a segunda exige justamente que a finalidade do tratamento de dados pessoais esteja especificada, além de impor a minimização da coleta e armazenamento por tempo limitado.


Vislumbrou-se, portanto, três possibilidades para adequação do Big Data com a diretiva europeia de 1995:

  • que as empresas interessadas no processamento conseguissem um consentimento amplo dos usuários, sem limites bem definidos. Alternativa essa que a diretiva vetava, desacordo com o princípio da finalidade. Havia ainda o problema de muitos dos usuários não darem o consentimento, fragilizando a estratégia;


  • anonimização dos dados, que tiraria sua característica de pessoais. Tecnicamente, essa medida é pouco eficiente, já que a anonimização é um processo reversível, o que também faz dessa uma estratégia falha);


  • ou, por fim, utilizar o Big Data apenas para propósitos estatísticos, ou seja, não poderia ser utilizado para criação de perfis específicos de cada consumidor, mas seria permitido fazer análises de mercado e de tendências de consumo, ainda sob o amparo de uma base legal prevista na legislação.


A GDPR, apesar da enorme diferença para com o DPD, quando analisamos exclusivamente o contexto em que foram elaborados, se manteve, na maior parte, fiel ao seu antecessor, especialmente no que diz respeitos aos princípios elencados. Assim, as alternativas para a continuidade da utilização de Big Data sem ir contra a nova regulamentação (dessa vez trazida em um dispositivo ainda mais forte e comente) são as mesmas que haviam sido previstas para o DPD. O novo Regulamento ainda traz a possibilidade de tratamento de dados pessoais com propósitos estatísticos, dessa forma, há um limite claro para as possibilidades de tratamento, como a lei exige, sem torná-la incompatível Big Data.


Insta ainda ressaltar que o GDPR não define “propósitos estatísticos” com precisão, de forma que a hipótese autorizar tratamento de dados pode ser utilizada tanto pelo setor público quanto pelo setor privado. Cabe aos Estados membros prever, em suas legislações específicas, garantias de segurança para dados estatísticos.


A coleta de dados, no entanto, continua limitada de acordo com as bases legais previstas. O novo paradigma legal, assim, busca garantir a minimização da coleta dos dados pessoais, indo, aí sim, de encontro aos interesses do Big Data. Mais uma vez, caberá aos Estados membros legislar a respeito, mas apenas dentro de um escopo muito reduzido deixado pelo regulamento geral.


É necessário criar formas de exercício da autodeterminação informativa do usuário além do consentimento para o tratamento de dados, mas sim através do exercício de direitos específicos que sejam compatíveis com o Big Data e com a atual conjuntura de tratamento de dados pessoais como um todo, já que apenas esse mecanismo se mostra insuficiente para atingir o fim almejado.


Fica claro, por exemplo, a inadequação do consentimento quando tratamos da questão do tratamento de dados de grupos.


Dentro do escopo do tratamento de dados pessoais, os grupos formados muitas vezes não se enquadram no conceito sociológico de grupo: os indivíduos que o compõem não interagem ou têm qualquer relação entre si, mas apenas são categorizados de acordo com critérios definidos por terceiros que com eles não têm qualquer relação direta.


Portanto, não se trata apenas de proteção de dados dos membros individuais desse grupo ou de proteção de dados dentro do próprio grupo, mas de uma terceira categoria, em que se faz necessário não o direito de estar só ou de se abster da interferência de terceiros, mas do direito de ter seus dados utilizados de forma correta e legal, para que assim se possa garantir que não ocorrerá qualquer tipo de discriminação negativa com base nesses dados.


A questão, portanto, é em si diversa da proteção de dados de uma pessoa individual. O grupo se comporta não apenas como um conjunto de indivíduos, mas como um ente em si, com direitos e garantias próprios que devem ser respeitados. É o caso, por exemplo, de análises de seguradoras de veículos que fazem com que o preço será maior para motoristas que dirigem com frequência de noite, sem diferenciar dentro do grupo quem é a população de baixa renda que trabalha em turnos noturnos, e quem é a população jovem que dirige tarde da noite na saída de festas, que é o grupo que efetivamente se objetivou atingir com essa medida.


Não restam dúvidas de que a regulamentação para proteção de dados pessoais avançara muito nos últimos anos, e que agora estão mais preparadas para lidar com a realidade do Big Data. Apesar da impressão inicial de incompatibilidade, uma observação mais detalhada deixa claro que a proteção de dados pessoais permite sim a utilização de sistemas de análise de dados obtidos através de Big Data, ainda que com limitações que tornam esse tratamento condizente com os direitos do titular dos dados em questão.



Referências:


MAYER, Viktor. Enabling Big Data Through Europe’s New Data Protection Regulation.


MANTELERO, Alessandro. From an individual to a collective dimension of data protection